@
创新互联专注于企业营销型网站、网站重做改版、铁山网站定制设计、自适应品牌网站建设、H5网站设计、商城网站建设、集团公司官网建设、外贸网站制作、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为铁山等各大城市提供网站开发制作服务。
\\隐藏命令的回显。
~
\\在for中表示使用增强的变量扩展;
在set中表示使用扩展环境变量指定位置的字符串;
在set/a中表示按位取反。
%
\\使用两个%包含一个字符串表示引用环境变量。比如一个%time%可以扩展到当前的系统时间;
单个%紧跟0-9的一个数字表示引用命令行参数;
用于for中表示引用循环变量;
连续的两个%表示执行时脱为一个%。
^
\\取消转义字符,即将所有转义字符的转义作用关闭。比如要在屏幕显示一些特殊的字符,比如 | ^等时,就可以在其前面加一个^符号来显示这个^后面的字符了,^^就是显示一个^,^|就是显示一个|字符了;
在set/a中是按位异;
在findstr/r的[]中表示不匹配指定的字符集。
\\命令连接字符。比如我要在一行文本上同时执行两个命令,就可以用命令连接这两个命令;
在set/a中是按位与。
*
\\代表任意个任意字符,就是我们通常所说的"通配符";比如想在c盘的根目录查找c盘根目录里所有的文本文件(.txt),那么就可以输入命令"dir c:\*.txt";
在set/a中是乘法。比如"set/a x=4*2",得到的结果是8;
在findstr/r中表示将前一个字符多次匹配。
()
\\命令包含或者是具有优先权的界定符吧,比如for命令要用到这个(),我们还可以在if,echo等命令中见到它的身影;
-
\\范围表示符,比如日期的查找,for命令里的tokens操作中就可以用到这个字符;
在findstr/r中连接两个字符表示匹配范围;
-跟在某些命令的/后表示取反向的开关。
+
\\主要是在copy命令里面会用到它,表示将很多个文件合并为一个文件,就要用到这个+字符了;
在set/a中是加法。
|
\\管道符。就是将上一个命令的输出,作为下一个命令的输入."dir /a/b | more"就可以逐屏的显示dir命令所输出的信息;
在set/a中是按位或;
在帮助文档中表示其前后两个开关、选项或参数是二选一的。
:
\\标签定位符,可以接受goto命令所指向的标签。比如在批处理文件里面定义了一个":begin"标签,用"goto begin"命令就可以转到":begin"变迁后面来执行批处理命令了。
" "
\\界定符,在表示带有空格的路径时常要用""来将路径括起来,在一些命令里面也需要" "符号;
在for/f中将表示它们包含的内容当作字符串分析;
在for/f "usebackq"表示它们包含的内容当作文件路径并分析其文件的内容;
在其它情况下表示其中的内容是一个完整的字符串,其中的、、、、|、空格等不再转义。
/
\\表示其后的字符(串)是命令的功能开关(选项)。比如"dir /s/b/a-d"表示"dir"命令指定的不同的参数;
在set/a中表示除法。
\\命令重定向符,将其前面的命令的输出结果重新定向到其后面的设备中去,后面的设备中的内容被覆盖。比如可以用"dir lxmxn.txt"将"dir"命令的结果输出到"lxmxn.txt"这个文本文件中去;
在findstr/r中表示匹配单词的右边界,需要配合转义字符\使用。
\\命令重定向符。将其前面的命令的输出结果重新定向到其后面的设备中去,后面设备中的内容没有被覆盖。
\\将其后面的文件的内容作为其前面命令的输入。
在findstr/r中表示匹配单词的左边界,需要配合转义字符\使用。
=
\\赋值符号,用于变量的赋值。比如"set a=windows"的意思意思是将"windows"这个字符串赋给变量"a";
在set/a中表示算术运算,比如"set /a x=5-6*5"。
\
\\这个"\"符号在有的情况下,代表的是当前路径的根目录.比如当前目录在c:\windows\system32下,那么你"dir \"的话,就相当与"dir c:\"
在findstr/r中表示正则转义字符。
''
在for/f中表示将它们包含的内容当作命令行执行并分析其输出;
在for/f "usebackq"中表示将它们包含的字符串当作字符串分析。
.
\\
在路径的\后紧跟或者单独出现时:
一个.表示当前目录;
两个.表示上一级目录;
在路径中的文件名中出现时:
最后的一个.表示主文件名与扩展文件名的分隔。
\\连接两个命令,当前的命令成功时,才执行后的命令;
||
\\连接两个命令,当||前的命令失败时,才执行||后的命令。
$
\\在findstr命令里面表示一行的结束。
``
在for/f中表示它们所包含的内容当作命令行执行并分析它的输出。
[]
在帮助文档表示其中的开关、选项或参数是可选的;
在findstr/r中表示按其中指定的字符集匹配。
?
\\在findstr/r中表示在此位置匹配一个任意字符;
?在路径中表示在此位置通配任意一个字符;
紧跟在/后表示获取命令的帮助文档。
!
\\当启用变量延迟时,使用!!将变量名扩起来表示对变量值的引用;
在set /a中表示逻辑非。比如set /a a=!0,这时a就表示逻辑1
大多数碰到的都是Serverv 2008,这次遇到Server 2012来学习一下提权。网上有相关的文章。但,实践才是真理不是吗?
在通过文件上传webshell之后开始提权。
先收集一下信息
信息为:IIS权限、无杀毒、内网(能上外网)、内网开放3389
选择使用上传msf马来反弹shell。
参考我之前的一篇文章
geshell后的进一步利用
上传msf马直接反弹。
选择Windows-Exploit-Suggeste提权辅助工具
Windows-Exploit-Suggeste
命令很简单
可以看到可能存在ms16-075漏洞。试试吧
上传ms16-075邪恶土豆potato.exe至靶机
果然没有杀毒就是爽
激活guest用户
mimikatz读取hash时,无法以明文显示。
后翻看资料才知道Server 2012
默认情况下是禁用了在内存缓存中存储系统用户明文密码,此时使用mimikatz去抓取密码,会显示null。
抓取windows server 2012明文密码
只会修改注册表等待管理员重启啦
新建一个文本文档 复制以下内容到新建的文档中
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="获取管理员权限"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="获取管理员权限"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="获取管理员权限"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y icacls \"%1\" /grant administrators:F /t"
现在关闭此文档 并且文件名保存为 提权.reg
现在打开刚才做好的文件 点击确定导入注册表
在需要提权的文件上点击右键 会有一个获取管理员权限选项 点击一个黑框闪过
你就提权了。。。。如果是一个目录黑框会多显示一会 待它自动关闭即可
所以查找到有缺陷的服务,在可写的路径下插入后门,重启服务即可提权。
powerup.五.通过office漏洞拿到win10的shell,先过uac,然后直接就可以导入system的令牌,瞬间获得system权限。
最近做了几个i春秋的靶场,从getshell到提权,练习的还是很全面的,这里主要对提权做个总结。
先从提权反推一下思路: 提权 - 上传提权工具 - 找上传点 - 连接菜刀getshell - 写入或上传一句话 - 找到写入点或上传点
一句话的写入点或上传点大多都是在管理后台发现的,因为用户的权限较低,可以操作的功能也较少,而且对于用户的输入或上传也有很严格的过滤机制,所以使用用户权限来写入或上传一句话的成功率很低。
那么就需要登录管理后台来写入或上传一句话,登录管理后台有两个条件: ①找到管理后台 。 ②拿到管理员账号和密码 (爆破也可以,但是成功率很低,这里就不多做讨论了)。登录进管理员后台后,就可以测试哪个地方可以利用,可以上传或写入一句话了。然后就是上面的一系列操作,最后拿到flag。
拿我做的这几个靶场为例,首先打开浏览器看到页面,发现都是一些CMS,从页面信息可以知道CMS版本等信息,然后信息搜集看看这个版本之前有没有爆出过漏洞,如果有SQL注入最好,可以尝试通过注入拿到管理员账号、密码。当然也可以使用其他的方法,怎么猥琐怎么来。
然后扫描目录,如果管理员没有修改CMS的默认目录的话,管理后台还是很好扫出来的,如果修改过就比较困难了,就看你的字典强不强大了。当然也可以利用一些其他方法,比如信息泄露,如果是dedeCMS的话可以尝试访问 /data/mysqli_error_trace.inc 路径或 /data/mysql_error_trace.inc 路径,有可能会爆出后台路径。
拿到账号密码和管理后台路径后就可以登录后台了,然后寻找哪个地方可以执行一句话,比如上传图片马然后利用文件包含或解析漏洞执行一句话,或者试一下发表文章功能,试一下网站配置信息。反正姿势越猥琐越好。
拿到一句话的路径后可以连菜刀了,连上菜刀后由于权限问题,C盘一般是没有读写权限的,而大多数flag都放在C盘,所以我们就要找一个有上传文件权限的目录上传提权工具进行提权,这里着重总结两种提权方法。
利用 CVE-2009-0079 的漏洞,工具: Churrasco.exe + cmd.exe + 3389.bat ,其中 cmd.exe 是为了代替原服务器中权限受限的命令行交互环境,Churrasco.exe 是用于提权的漏洞利用工具,3389.bat 是打开 3389 端口及远程桌面服务的批处理脚本文件。
提权命令:
同样是利用 CVE-2009-0079 的漏洞,工具: pr.exe + cmd.exe + 3389.bat ,与churrasco类似,命令和churrasco提权命令一样,不过第一次输入命令会报错,再输入一遍就好了。
iis.exe 与前两者不同,是基于 CVE-2009-1535 漏洞的提权工具,工具: iis6.exe + cmd.exe + 3389.bat ,用法与前两种工具类似,第一次创建用户时也可能会报错,若创建失败,再次执行即可。
现在提权已经完成了,打开CMD输入 mstsc 启动远程桌面登录,输入目标ip和刚才创建的用户的登录账号密码就可以远程访问服务器了,然后进入C盘拿到flag即可。
参考链接:
【i春秋】渗透测试入门 —— 我很简单,请不要欺负我
Windows下的开发不可避免的会用到bat脚本来做一些重复的工作,尤其是需要注册的插件dll这块。现在大家的开发机一般都是win7或win10,为了和用户环境比较一致,一般都不会关掉UAC的功能。
双击bat脚本执行自动注册或自动运行服务会很方便开发,但是在vista以上的系统经常需要以管理员权限来启动这个脚本,一般都是右键选择管理员权限运行,要是分发给其他人员测试的时候还要特地叮嘱下,要是bat能实现自动检测需要管理员权限,然后弹出这个提权的申请框,在提权完成之后再进行工作就好了。
抱着这个需求,找到了stackoverflow,果然不负众望,有人给出了一个 解决方案 ,这里把这个bat脚本贴出来,给有需要的人士。