第三方軟體/服務提權

m0userathxy發表於2024-08-04

1.Serv-u提權

Serv-U FTP Server,是一種被廣泛運用的FTP伺服器端軟體,支援3x/9x/ME/NT/2K等全Windows系列。可以設定多個FTP伺服器、限定登入使用者的許可權、登入主目錄及空間大小等
漏洞概述:
1)5.04以下版本可用ServUX.exe進行遠端溢位。
2)許可權配置不當可用svu.exe新增管理員帳號。 svu.exe -i ip -u 使用者 -p 密碼 -a 路徑
3)serv-u目錄檔案存在修改許可權,直接修改配置檔案新增管理使用者。
(1):直接透過指令碼大馬的Serv-u提權功能提交一句話命令新增管理員帳號。
一句話:

cmd.exe /c net user best best /add & net localgroup Administrators best /add //意思是無回顯的建立一個賬號為best,密碼也為best的使用者,再將這個使用者新增到管理員組裡完成提權.

(2):透過修改配置檔案提權
直接透過修改Serv-u的配置檔案,路徑為:C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
在配置檔案裡新增一個新使用者,例如best,由於使用者密碼在Serv-u的配置檔案裡是經過MD5加密的,如果難破解可以透過在本地搭建一個Serv-u環境,建立一個使用者,然後在配置檔案裡可以看到經過MD5加密的密碼,使用自己的密碼來當做使用者best的密碼.然後在本地的命令列裡使用這個使用者登入到ftp,然後執行:
quote site exec net user best666 best /add
quote site exec net localgroup administrators best666 /add
這兩條命令就可以在系統裡新增一個使用者名稱為best666,密碼為best的使用者並將其新增到管理員組裡來完成提權.

2.FlashFXP提權

FlashFXP是一款連線工具,這種工具用完之後他的賬號和歷史記錄是儲存的.只要在shell上發現FlashFxp的安裝目錄,滲透測試人員只需透過木馬下載quick.dat、sites.dat、stats.dat這三個檔案進行本地替換,直接覆蓋本地的 FlashFxp檔案,開啟FlashFxp就可以看到管理員登陸過的資訊,就可以獲取登入密碼.此外還可以用星號檢視器這類工具直接檢視登入密碼.有了登入密碼之後就可以按照上面的套路進行提權了

3.PCanyWhere提權

PCanyWhere是Symantec(賽門鐵克)開發的一套老牌遠端控制軟體。在伺服器上安裝主控端,客戶安裝被控端,透過主控端控制被控端.這款軟體的最大問題就是使用者名稱和密碼都在配置檔案裡,所以我們只需下載對方的配置檔案在進行破解就可以登入對方的伺服器了.
預設安裝路徑為C:\Program Files\Symantec\pcAnywhere\ *.cif檔案預設路徑為C:\DocumentS and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\,透過木馬把PCanyWhere的配置檔案下載下來,然後拖到PCanyPass.exe工具例就可以看到使用者名稱和密碼,然後使用使用者名稱和密碼登入伺服器,如果要提權就新增一個使用者,在將這個使用者加到管理員組裡就可以完成提權了.

4.Gene6 FTP提權

Gene6 FTP預設安裝路徑是C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini其中Remote.ini是主配置檔案,管理員登入的ip、埠和密碼都儲存在這。但Gene6管理員帳號只充許本地登入。 對於滲透測試人員來講只需要透過Webshell轉發埠就可以進行遠端連線。具體操作是透過webshell上傳lcx.exe 把埠轉發,如:lcx.exe –tran 600 127.0.0.1 8021 接透過另外一臺機器安裝一個gene6遠端連線600埠建立一個域再建立一個有許可權的帳號,注意Gene6可單獨定義SITE命令呼叫
寫一個能執行命令的批處理檔案,並上傳到目標主機.

@echo off
net user hack hack /add
net localgroup administrators hack /add

在SITE COMMANDS那個地方再進行配置,COMMAND那輸入你的命令執行的名字,這裡隨便寫什麼都可以,EXECUTE這裡輸入你的BAT的命令執行檔案的路徑.也就是剛上傳的那個檔案的路徑.

透過quote site exec執行檔案

5.VNC提權

VNC(Virtual Network Computing,虛擬網路計算)是一套由英國劍橋大學AT&T實驗室在2002年開發的輕量型跨平臺遠端控制計算機軟體
vnc的預設埠是5901,使用埠掃描如果有便安裝了vnc
可以透過指令碼大馬讀登錄檔獲取密碼,如果不行利用菜刀上傳一個cmd.exe到有讀寫許可權的目錄然後setp c:\路徑...\cmd.exe #切換至上傳的cmd來執行命令

Cmd/c"regedit/ec:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "

獲取的密碼,將得出的十進位制數去掉第一個數其他轉換成16進位制,破解16進位制數得到密碼
vncx.exe -W 回車
輸入16進位制數,連線vnc,讀取,vncx4.exe -w 8個數 自動破解密碼,使用我們vnc工具連線

6.Radmin提權

一款遠控工具,埠掃描 4899 埠,Radmin server2.X、Radmin server3.0都存在一個“致命”漏洞 —— radmin hash提權漏洞
上傳 radmin.asp 木馬讀取 radmin的加密密文,下載radmin工具連線
老版本的Radmin會在登錄檔中保留密碼的Hash值,透過WEBSHELL、遠端掛馬讀取登錄檔中的密碼Hash值並在本地破解密碼進行遠端連線來達到提權目的

獲取MD5Hash值

HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//預設密碼登錄檔位置
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort //預設埠登錄檔位置

使用RadminHash進行登入
在Radmin-Hash客戶端輸入RAdmin客戶端的Hash值即可登入。然後在Radmin-Hash客戶端新建服務端,輸入所要連線的IP或者掃描存活主機進行連線

檢視遠端螢幕
在Radmin客戶端選擇螢幕控制,輸入Hash值即可檢視遠端主機螢幕。

獲取並破解密碼
用mimikatz解析使用者密碼,也可以透過上傳getpw.exe檔案獲取使用者的sam值,再透過LC5解密。

登入遠端桌面
在本地開啟遠端桌面聯結器,輸入遠端IP進行登入。

轉自:https://www.cnblogs.com/1996-11-01-614lb/p/14354831.html#gallery-1
https://www.jianshu.com/p/acd4817cb9da
https://blog.csdn.net/syy0201/article/details/103762148

相關文章