昔日

Windows服务器SYSTEM权限Webshell无法添加3389账户情况突破总结

chengker:

Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。总结原因有以下几点:
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理

———————–I. 杀软篇—————————–
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件,如果使用webshell进行添加administrators账户时,360会阻止并提示管理员,导致添加失败。
那么如何突破360的限制?360不能完美的支持Server系统,也就是说,其实很简单。
阻止Webshell添加账户的主要是360主动防御,而结束了主动防御,360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字,居然出现在360论坛上,原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去,说360查不出来,希望更新病毒库云云,结果360工程师看了以后说更新360就能杀到了,结果网管说更新了还是杀不到。然后工程师说装什么什么的,网管说装了,还是杀不到,然后工程师就缩头乌龟了。可见360在server上面很垃圾,用小白的话说就是,请把拿着打口水仗的钱多花在研发产品上吧。
好了,扯淡到此为止,突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表,然后

taskkill /im 进程名.exe /f

复制代码
把主动防御结束
360相关进程如下:
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基本上360的阻碍就清除了,该加账户加账户,该pr就pr了。
Windows下Apache+PHP的特殊性,导致很多php站的webshell有SYSTEM的权限,所以结束360简直易如反掌啊。
即使不是SYSTEM,也有办法的,例如ASPX,asp.net有个操纵进程的功能。看代码(直接从webshell上面拔下来的):

protected void kp_Click(object sender, EventArgs e)
{
Process[] kp = Process.GetProcesses ();
foreach ( Process kp1 in kp )
if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
{
try
{
kp1.Kill();
Response.Write(" 

评论

热度(3)

  1. 昔日chengker 转载了此文字
  2. 最爱墓尸妹纸chengker 转载了此文字