Windows服务器SYSTEM权限Webshell无法添加3389账户情况突破总结

转自：http://bbs.blackbap.org/thread-2331-1-1.html

近好多Silic的朋友在Windows下SYSTEM权限的php webshell下添加账户，但是却无法成功。SYSTEM的权限，权限是够了，却无法成功，原因是什么呢？
原因有很多种，于是我总结了一下成因，并在下面文章进行了一一分析，然后附上了一点个人的突破绕过方法。提权不可能百分百成功，我只是总结了一些常见的情况，其他的我会慢慢补充
作者：YoCo
Smart
来自：Silic Group Hacker
Army
http://blackbap.org
Webshell有了SYSTEM权限，却无法成功添加administrators用户，因此导致无法成功连接3389。总结原因有以下几点：
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其他杀毒软件或防护软件
II.策略篇
1,3389端口变更
2,莫名其妙无法添加账户
3,管理员限制篇
4,系统已达最大连接数处理

-----------------------I.
杀软篇-----------------------------
1,360杀毒软件
经常会在国内的一些服务器上遇到360杀毒和防护软件，如果使用webshell进行添加administrators账户时，360会阻止并提示管理员，导致添加失败。
那么如何突破360的限制？360不能完美的支持Server系统，也就是说，其实很简单。
阻止Webshell添加账户的主要是360主动防御，而结束了主动防御，360杀毒根本就是摆设。
那天手痒去百度搜了下blackbap.org这个关键字，居然出现在360论坛上，原来是Silic开发的php大马被某个服务器管理员举报到360论坛上去了。
大致就是这个网管把webshell传上去，说360查不出来，希望更新病毒库云云，结果360工程师看了以后说更新360就能杀到了，结果网管说更新了还是杀不到。然后工程师说装什么什么的，网管说装了，还是杀不到，然后工程师就缩头乌龟了。可见360在server上面很垃圾，用小白的话说就是，请把拿着打口水仗的钱多花在研发产品上吧。
好了，扯淡到此为止，突破方法也该千呼万唤始出来了。
先执行tasklist看一下进程列表，然后

1. taskkill /im 进程名.exe /f

复制代码

把主动防御结束
360相关进程如下：
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe，这几个灭了，基本上360的阻碍就清除了，该加账户加账户，该pr就pr了。
Windows下Apache+PHP的特殊性，导致很多php站的webshell有SYSTEM的权限，所以结束360简直易如反掌啊。
即使不是SYSTEM，也有办法的，例如ASPX，asp.net有个操纵进程的功能。看代码（直接从webshell上面拔下来的）：

1. protected void kp_Click(object sender, EventArgs e)
2. {
3. Process[] kp = Process.GetProcesses ();
4. foreach ( Process kp1 in kp )
5. if (kp1.ProcessName == ListBox1.SelectedValue.ToString())
6. {
7. try
8. {
9. kp1.Kill();
10. Response.Write("<script>alert('Killed');location.href='?'</" +
    "script>");
11. ListBox1.Items.Clear();
12. }
13. catch (Exception x)
14. {
15. Response.Write(x.Message.ToString());
16. Response.End();
17. }
18. }
19. }

复制代码

asp.net的这一个kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。
有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，可以先query
user看看管理员状态，因为很可能是管理员登陆以后运行了图形界面没关闭，系统不执行taskkill
所以logoff把管理员踢了，然后360有的进程就自己灭了，这种情况多出现在2008的server系统上

2,麦咖啡杀毒软件
以前就谈过了关于如何绕过麦咖啡杀毒软件获得3389登陆权限的文章。
文章原文在这里：http://bbs.blackbap.org/thread-2085-1-1.html
那么完整一下过程就是，启用Guest账户，修改Guest用户的密码，添加Guest为administrators用户组。
经过测试，麦咖啡的防护进程恐怕是突破的，于是cmd命令如下：

1. net user guest /active:yes          //将guest用户启用
2. net user guest silic!&11133        //修改guest密码
3. net localgroup administrators guest /add   
   //添加guest到管理员用户组中

复制代码

这三条命令第二条或者第三条有时候可能不会显示命令执行成功，但是实际上只要是SYSTEM权限，就应该可以执行成功的，有无回显并不重要。

3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法，有很多。
调整系统时间，让卡巴的key失效，这就不说了。还有mkdir建立以非法字符“.”命名的文件夹，将pr等提权程序传进去。
SYSTEM突破卡巴的防御直接添加用户，恐怕不太容易，不过可以尝试，用taskkill结束进程的语句后面
& net user
add命令，同时执行结束进程和添加账户。
此方法尚未实践，但是理论上是可以的，因为卡巴不像麦咖啡，它可以直接被结束，但是立即就会重启进程。

4,金山防护软件
首先说KSafeSvc.exe,
当时不知道是什么玩意, 从文件名目测应该是个金山的东西。
这个进程即使是taskkill也是搞不定的...只要有它，net user
/add的时候，就算net.exe改名了，它也会弹出是否阻止的窗口(可能是它弹的，就算不是它弹的，也要干掉他才能添加)
但是有个命令叫ntsd，可以终结掉大部分进程，例如winlogon.exe
svchost.exe这些..
然后就ntsd -c q -p
PID结束了KSafeSvc.exe
然后说一下：金山毒霸+金山卫士+瑞星防火墙的组合
这个组合看似很牛逼，其实很傻逼。今天就遇到个system的php，上面就是金山毒霸+金山卫士+瑞星防火墙的组合
可以将如下代码保存到c:\windows\temp\a.vbs

1. set wsnetwork=CreateObject("WSCRIPT.NETWORK")
2. os="WinNT://"&wsnetwork.ComputerName
3. Set ob=GetObject(os)
4. Set oe=GetObject(os&"/Administrators,group")
5. Set od=ob.Create("user","silic")
6. od.SetPassword "silic"
7. od.SetInfo
8. Set of=GetObject(os&"/silic",user)
9. oe.add os&"/silic"

复制代码

然后用如下命令执行，就能得到账户为silic密码为silic的管理员账户了：

1. cscript c:\windows\temp\a.vbs

复制代码

5,禁用服务法

1. sc config 服务名 start= disabled

复制代码

有时候mysql或者mssql等等提权的时候，会发生杀软无法结束，导致提权失败的情况。
我们给杀软服务设置为禁用，重启服务器，杀毒防护服务就不能运行。就无阻畅通了，例如：

1. sc config MsMpSvc start= disabled

复制代码

5,其他防护软件
见过很多非主流的防护软件，什么护卫盾啊，Safe3防篡改啊，还有各种类似程序，具体名字我忘了。
这些软件的突破方法和主流防护软件突破方法大致相同，结束进程，或者不使用添加账户，直接启用现有的Guest来突破监控，不赘述了
另外补充一种方法，就是将防护软件的服务从自动启动改为不启动，然后重启服务器。这种方法对绝大部分服务器有效。

--------------------------------II,策略篇-----------------------------
1,3389端口变更
进行3389添加账户前首先要知道3389到底开启没有。
目前只遇到过3389端口变更的例子，没见过不开启3389的例子。那为什么有的外网3389连不上呢？
原因很简单，3389端口变更了呗。找出来的方法再简单不过了netstat
-an查看所有开启的端口。
一个一个可疑的端口试未免太差劲了。netstat
-ano查看端口和使用端口的进程pid，然后Tasklist看一下有哪个svchost.exe进程的pid使用了端口
注意，是svchost.exe当中的某个。

2,莫名奇妙无法添加账户
什么是莫名奇妙？有些主机，Webshell是System权限，tasklist也看不到任何防护的进程，管理员也没在线，提权程序也添加不了，怎么搞？
有因必有果，这样的情况添加不了，多数是系统有组策略限制，通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就GHO上了这个设置。
突破方法不用说了，把密码位数设置长一点就ok，原先密码是123456，现在改为1234abcd!@#$就过了
如果还是添加不上，可以尝试用vbs脚本来添加。

3,管理员限制
有些BT管理员很可恶，直接把c:\windows\system32的net.exe给删了或者换了，于是你直接net的时候会提示拒绝访问或者不是系统命令等等类似提示云云。
管理员看似很牛B，其实很傻逼，系统的net.exe没了，你自己传一个自己的net.exe就突破了。
当然，也有64位系统和你的程序不兼容的情况发生，他是64你就传64位的，很好搞。

4,达到最大连接限制
有时候添加了账户，但是连接提示最大连接数限制。管理员不在线，却占着线不让你上去，等管理员自己上线了，再把你删了。这种管理员够缺德的
对于这种上不去的，首先query
user查看在线的账户，然后看他的登陆ID，一般是0，最高不超过8，超过8说明服务器好久没重启了（这个没准的）
然后logoff
ID，就把对应ID的管理员踢掉了。然后就能登录了。
当然你在logoff的时候不要把自己logoff了，也不最好不要白天踢人。管理员在线被人踢掉的话，你懂的。—
—！
2011年和越南黑阔搞攻防切磋的时候，咱们网站的人就在人越南的gov服务器上乱搞，然后。。。咱网站的黑阔挂菊花聊天室，管理员就删啊删的，咱网站的黑阔就logoff了管理员的账户，然后禁用和administrator。。。后来管理员就眼瞅着大家在菊花聊天室聊天，然后跑了半个小时去机房把网线拔了。。。logoff命令真的很阴毒，尤其是对一些服务器不在本地的网站来说。。。

补充：
有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，可以先query
user看看管理员状态
很可能是管理员登陆以后运行了图形界面没关闭，系统不执行taskkill
所以logoff把管理员踢了，然后360有的进程就自己灭了
多出现在2008的server系统上