Windows系统漏洞提权
2016-08-09 17:43
148 查看
假设已经在目标服务器上面上传了webshell
![](https://img-blog.csdn.net/20160809174316834?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
查看目标服务器的相关信息:
用户:
![](https://img-blog.csdn.net/20160809174353747?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
网络、端口:
![](https://img-blog.csdn.net/20160809174432326?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
组件:
![](https://img-blog.csdn.net/20160809174503014?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
接着执行cmd命令:
![](https://img-blog.csdn.net/20160809174528139?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
点击执行:
![](https://img-blog.csdn.net/20160809174557156?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
由此可以知道,系统cmd.exe不可用,可能是被删除或者是禁止掉。需要我们自己上传一个cmd.exe,这里要注意上传的目录一定要是可读可写可执行的目录。
我们直接在网站根目录下上传一个cmd.exe
![](https://img-blog.csdn.net/20160809174645750?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
![](https://img-blog.csdn.net/20160809174658695?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
Asp文件上传功能无法使用,服务器支持aspx,所以我们可以使用asp webshell
新建一个aspx webshell
文件
![](https://img-blog.csdn.net/20160809174743767?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
新建完成之后,我们访问这个aspx webshell文件,点击执行cmd命令。一般aspx的权限比较大,可以直接执行系统cmd。
因为在aspx中执行命令,网页卡死,所以使用这个webshell上传了一个cmd.exe,重新回到原来的webshell里面执行命令。
![](https://img-blog.csdn.net/20160809174820205?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809174837821?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809174856815?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
因为要利用到系统漏洞,所以要查看系统补丁。
![](https://img-blog.csdn.net/20160809174927103?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809174948488?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809174959743?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
发现有好多系统漏洞补丁都没有安装。那我们就可以根据漏洞编号使用对应漏洞的利用工具进行攻击,这里我们使用IIS6.exe进行提权。首先使用aspxshell上传IIS6.exe。
![](https://img-blog.csdn.net/20160809175032801?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809175048364?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
接着执行IIS6.exe
![](https://img-blog.csdn.net/20160809175114646?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
做到这一步也算是提权成功了,如果想要长期控制目标主机,就要继续往下走。
1.修改管理员账号密码(不可取会被发现,并对目标主机造成影响,使得管理员无法登陆)
2.添加一个管理员(不可取,容易被发现)
3.读取管理员账号密码(需要管理员账户没有注销)
4.读取管理员密码hash
5.木马种植,远程控制
在这里介绍一个可行的办法,系统用户里面有一个系统帮助账户,这是系统自带的账户不易被察觉。我们可以将之提升为system权限。
![](https://img-blog.csdn.net/20160809175156022?wat<br/>a3e8<br/>ermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809175206916?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
![](https://img-blog.csdn.net/20160809175216494?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
读取管理员密码,先查看管理员账户是否注销。
![](https://img-blog.csdn.net/20160809175255729?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
系统管理员正在运行,接下来就上传利用工具,获取管理员账户密码。
![](https://img-blog.csdn.net/20160809175321385?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
获取完账户密码后连接3389端口即可。
查看目标服务器的相关信息:
用户:
网络、端口:
组件:
接着执行cmd命令:
点击执行:
由此可以知道,系统cmd.exe不可用,可能是被删除或者是禁止掉。需要我们自己上传一个cmd.exe,这里要注意上传的目录一定要是可读可写可执行的目录。
我们直接在网站根目录下上传一个cmd.exe
Asp文件上传功能无法使用,服务器支持aspx,所以我们可以使用asp webshell
新建一个aspx webshell
文件
新建完成之后,我们访问这个aspx webshell文件,点击执行cmd命令。一般aspx的权限比较大,可以直接执行系统cmd。
因为在aspx中执行命令,网页卡死,所以使用这个webshell上传了一个cmd.exe,重新回到原来的webshell里面执行命令。
因为要利用到系统漏洞,所以要查看系统补丁。
发现有好多系统漏洞补丁都没有安装。那我们就可以根据漏洞编号使用对应漏洞的利用工具进行攻击,这里我们使用IIS6.exe进行提权。首先使用aspxshell上传IIS6.exe。
接着执行IIS6.exe
做到这一步也算是提权成功了,如果想要长期控制目标主机,就要继续往下走。
1.修改管理员账号密码(不可取会被发现,并对目标主机造成影响,使得管理员无法登陆)
2.添加一个管理员(不可取,容易被发现)
3.读取管理员账号密码(需要管理员账户没有注销)
4.读取管理员密码hash
5.木马种植,远程控制
在这里介绍一个可行的办法,系统用户里面有一个系统帮助账户,这是系统自带的账户不易被察觉。我们可以将之提升为system权限。
读取管理员密码,先查看管理员账户是否注销。
系统管理员正在运行,接下来就上传利用工具,获取管理员账户密码。
获取完账户密码后连接3389端口即可。
相关文章推荐
- 虚拟主机封杀webshell提权!!!!!!!!!!
- ***防线提权工具包
- 提权成功了:既然过滤了'/'字符,为什么不再加一个'/'呢
- Serv-U防溢出提权攻击解决设置方法
- SQL SERVER2005 提权
- SQL 提权 常用命令
- 360安全卫士本地提权代码及利用程序
- win2000下需要将域用户提权成管理员
- 入侵提权的批处理
- 谈对星外主机提权利用
- 提权
- 遇到SA权限不能多句执行的情况,语句提权。
- 在win7下提权随心所欲修改文件或文件夹
- WinXP sp2/sp3 本地提权 0day 啊
- 为Android应用程序读取/dev下设备而提权(一)
- MYSQL简单提权--Mix.dll My_udf.dll(老东西,做个备份)
- mysql提权提示can't open shared library 'udf.dll'解决办法
- win2003服务器一招废掉所有木马(防提权)
- 利用for命令提权