第三方应用软件提权
[第三方软件 Serv-u提权]
Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等
Serv-U提权分两种
1.有修改权限
2.无权限修改
第一种情况时
0.判断是否安装serv-u
serv-u的默认端口是43958 可以用nmap 扫描确认
1.检查是否有可写权限
1、通过修改配置文件提权
首先找配置文件
一般安装目录 c:\Program Files\Serv-u\SerUDaemon.ini
修改配置文件,最后提交,成功添加一个新用户,有权限的系统管理员
复制一个 修改名字
password 密码格式 是 gw+md5 我从https://www.cmd5.com/ 把gw123456 加密 注意gw是他的 属于密码规则
把加密完的密码去替换复制的密码 password=gw+md5(gw123456)
maintenance=system 是代表系统权限 user=你命名的用户
找到安装目录,将文件添加一个有修改权限
image成功添加系统管理员
密码用cmd5解密,=后面两位不用管,直接解密后面就ok
image成功添加用户后,我们可以通过工具FlashFXP进行连接
image也可以用cmd.exe连接
imagecmd访问 ftp 连接 ip 输入你刚刚添加的用户密码
输入
quote site exec net user username password /add
quote site exec net localgroup administrators username /add
利用ftp命令quote site exec 添加用户 加入administrators 权限组
打开3389连接
第二种情况无修改权限
1.利用md5 直接去解密(ini 文件密码在ftp连)
2.默认密码,默认用户
image账户:LocalAdministrator ,密码:#l@$ak#.lk;0@P
命令cmd /c net user DisKill /add & net localgroup administrators DisKill /add
添加了一个隐藏用户查看方法net user tls$
3.不是默认密码时 直接把SerUAdmin.exe 下载下来 进行查看密码
image 直接 image记住这里选an字符串
image. 后面就是密码 把它替换到
image这也叫溢出提权
FlashFXP 替换文件漏洞提权
0x01 前言
介绍
FlashFXP是一个功能强大的 FXP/FTP 软件,融合了一些其他优秀 FTP软件的优点,如像 CuteFTP 一样可以比较文件夹,支持彩色文字显示;像 BpFTP 支持多文件夹选择文件,能够缓存文件夹;像 LeapFTP 一样的外观界面,甚至设计思路也差相仿佛。支持上传、下载及第三方文件续传;可以跳过指定的文件类型,只传送 需要的文件;可以自定义不同文件类型的显示颜色;可以缓存远端文件夹列表,支持FTP代理及 Socks 3&4;具有避免空闲功能,防止被站点踢出
用途
FlashFXP可用于:
• 发布和维护你的网站。 • 上传和下载文件,照片,视频,音乐和更多! • 本地和远程文件传输或备份。 • 共享您的文件与您的朋友和同事使用功能强大的站点管理器。 • 我们强大的传输调度安排和自动化文件传输。
特点
1) 基于官方便携安装版破解打包,去后续检测更新提示 2) 集成密钥文件,启动即为已授权版 3) 禁止联网验证注册信息,后续不反弹 4) 补充汉化翻译了官方简体中文语言,默认启动为中文,删多语言、帮助文档 4.x
**FlashFXP 中的“FXP” 是什么意思? **
FXP是指在两台服务之间的直线传输。也可以称为“站到站传输”(Site to Site Transfers)。 **注:**FXP过程需要服务两台服务器均支持方可进行。它利用服务器之间的高速连接,实现文件的高效传输,几乎不会占用本机的带宽资源。
FlashFXP 的不足?
FlashFXP 无法像CuteFTP那样实现的多窗功能,CuteFTP 可在一个窗口中打开多个站点。此外,FlashFXP 尚不支持多进程传输,所有的下载和上传任务均是以单线程进行。
0x02 环境配置
操作系统:windows 2003 企业版
FTP服务:使用serv-u服务器,常规提权方法均失效
权限情况:其他常规方法都无法提权
使用工具:ASP、. NET版本Shell一个
0x03 FlashFXP 提权思维导图
提权思路:利用FlashFXP替换文件漏洞,可以读取管理员链接过的站点账号密码。
思路扩展:通过社会工程学猜测其他的密码同样如此,借此机会扩大权限
image0x04 操作演示
**1. **首先获取WebShell,我们可以利用大马或菜刀,将quick.dat下载下来(因为链接的账号密码都保存在quick.dat这个文件中)
注:falshfxp默认安装目录:C:\Program Files\flashfxp
image**2. **接下来打开我们拿到的webshell,下载quick.dat这个文件,下载后,打开我们本机的FlashFTP把原先的文件提换掉,打开本机软件,查看历史记录,可以看到受害者主机quick.dat 文件里的服务器、用户名、密码等信息,如果想要获取密码,可下载星号密码查看工具查看暗文。
**星号密码查看工具地址:**[https://www.arpun.com/soft/8153.html](https://www.arpun.com/soft/8153.html)
参考链接:
[http://m.mamicode.com/info-detail-1385885.html](http://m.mamicode.com/info-detail-1385885.html)
[https://www.docin.com/p-434258776.html](https://www.docin.com/p-434258776.html)
Gene6 FTP提权
Gene6 FTP Server这个FTP软件简略易用,比SU的保险性高的多.
他的默认管理端口是8021,只容许本机盘算机连接.外部计算机即便你得到管理帐,你也不能登陆进去.
这一点和我们的SU一样,SU的管理端口是43958.
Gene6 FTP Server的帐户配置文件在:C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini;在配置文件中找到md5加密的密码
那么我们只能通过webshell上传lcx.exe 把端口转发,如:lcx.exe –tran 600 127.0.0.1 8021 接通过另外一台机器安装一个gene6远程连接600端口创建一个域再创建一个有权限的帐号,注意Gene6可单独定义SITE命令调用执行文件文件可以通过webshell上传
上传为这样还不能提权.这里到了我们最核心的一步.
1.写一个能执行命令的批处理文件,并上传到目标主机.
@echo off
net user hack hack /add
net localgroup administrators hack /add
2.然后在SITE COMMANDS那个地方再进行配置.
COMMAND那输入你的命令执行的名字.我写的是HACK DESCRIPTTION这个是写描述的.这里随便你写什么都可以的.
EXECUTE这里输入你的BAT的命令执行文件的路径.也就是你刚上传的那个文件的路径.点OK就可以了.现在我们来看下我们本地的帐号情况.
只有两个帐号.
现在我们登陆FTP进行提权操作.输入提权命令 .
quote site hack
200 Command executed 命令成功执我们来看下加上帐号没有.
已经多了一个HACK的帐号,权限为管理权限.提升权限已经成功.,通过quote site exec 执行就行
PCanyWhere提权
PCAnyWhere简介
PcAnyWhere是一款远程控制软件,它出现的目的是为了方便网管人员管理服务器。安装之后默认监听5631端口。它可以将电脑当成主控端去控制远方的另外一台同样安装有PcAnyWhere的电脑(被控端),实现互传文件,内建FIPS 140-2验证AES 256位元加密,可以确保阶段作业的安全性。
提权原理
PcAnyWhere提权的原理是PcAnyWhere在建立被控端后,会在服务器上产生一个配置文件“pca.***.cif”,这个文件所在的目录并非在安装目录中,而是在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中。
在配置文件中保存着加密后的链接账户信息,当攻击者下载到这个文件之后,就可以对这个文件进行解密,之后即可获得用户名与密码,之后再使用本地的PcAnyWhere进行登录链接即可获得远程控制。
提权操作演示
环境部署
首先下载PcAnyWhere到本地,之后分别在靶机(Windows Server 2003 R2)、攻击主机Windows XP 中进行安装,之后再Windows Server 2003 R2中建立被控制端程序,设置用户名:hps 密码:*************,之后我们可以发现在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中
存在一个用于记录该用户的文件:
image我们最终的目的就是通过在Windows Server 2003 R2上的WEBshell来下载该文件到攻击主机上,之后再进行破解,最后再使用攻击主机上的PcAnyWhere进行连接!下面进行具体操作!
在Windows XP中使用菜刀连接一句话木马
image之后进入C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\下,下载文件
image之后可以使用明小子、通天门来对该文件进行解密,获得最后的用户名与密码,之后在本地创建PcAnyWhere的控制端进行连接即可!
image image实现远控,提权!
imageVNC提权
VNC(Virtual Network Computing,虚拟网络计算)是一套由英国剑桥大学AT&T实验
室在2002年开发的轻量型跨平台远程
控制计算机软件
“vnc的默认端口是5901使用端口扫描如果有便安装了vnc
我们在实验时安装服务端就可
我们可以通过脚本大马读注册表获取密码如果不行利用菜刀上传一个cmd.exe到有读写权限的目录然后setp c:\路径...\cmd.exe #切换至上传的cmd来执行命令
Cmd/c"regedit/ec:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "
获取的密码
将得出的十进制数去掉第一个数其他转换成16进制
破解16进制数得到密码
vncx.exe -W 回车
输入16进制数
连接vnc
读取
vncx4.exe -w 8个数 自动破解密码
然后使用我们vnc工具连接
Radmin提权
一款远控工具
端口扫描 4899 端口
上传 radmin.asp 木马读取 radmin的加密密文
下载radmin工具连接
或者
Radmin安装方法直接把server.exe 和admdll.dll放在vm里面,cmd下运行server.exe /setup 设置密码及输入注册信息就ok了;安装完之后可以通过C:>cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server
Parameters""导出hash值,再通过hash版Radmin连接就可以
cmd/c"regedit/ed:\IFEO.reg"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options""
cmd/c"regedit/ed:\123.reg"HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\Parameters""