使用FlashFXP来提升权限

• 最近各位一定得到不少肉鸡吧:)，从前段时间的动网的upfile漏洞， 动力文章系统最新漏洞到first see发现的动网sql版本的一个超级大漏洞。有人一定忙的不易乐乎，大家的方法也不过是使用一下asp脚本的后门罢了。至于提升权限的问题 呵呵，很少有人能作一口气完成。关键还是在提升权限上做个问题上，不少服务器设置的很BT，你的asp木马可能都用不了，还那里来的提升啊。我们得到webshell也就是个低级别的用户的权限，各种提升权限方法是可谓五花八门啊，如何提升就看你自己的妙招了。
  其一，如果服务器上有装了pcanywhere服务端，管理员为了便于管理也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了。
  其二，如果对方有Serv-U大家不要骂我啊，通过修改ServUDaemon.ini和fpipe这软件提升权限应该是不成问题吧。
  其三，通过替换系统服务来提升。
  其四，查找conn和config这类型的文件看能否得到sa或者mysql的相关密码，可能会有所收获等等。
  本人在一次无聊的入侵过程中发现了这个方法，使用Flashfxp也能提升权限，但是成功率高不高就看你自己的运气了:)
  本人www.xxx.com 通过bbs得到了一个webshell，放了个小马(现在海阳的名气太大了偶不敢放)，而且已经将一段代码插入了N个文件中，够黑吧。提升权限没时间做。在我放假回家后，一看我晕bbs升级到动网sp2了我放的小马也被K了，人家的BBS是access版本的。郁闷啊！突然想起我将一个页面插入了asp的后门，看看还有没有希望了。输www.xxx.com/xx.asp?id=1 好家伙，还在！高兴ing
  图1
  于是上传了一个asp的脚本的后门，怎么提升权限呢?
  在这个网站的主机上游荡了N分钟，在C:\ Program Files下发现了FlashFXP文件夹(跟我一样使用这个软件自己心里暗想)图2，于是就打了了Sites. dat这个文件(编辑)这是什么东西密码和用户名，而且密码是加了密的。
  如果我把这些文件copy回本地也就是我的计算机中，替换我本地的相应文件会怎么样呢?
  于是我就将Sites.dat Sites.dat.bak Stats.dat Stats.dat.bak几个文件下载到我的计算机中替换了我电脑中flashfxp文件夹的相应文件。打开flashfxp在站点中打开站点管理器一项。乖 乖发财了
  对方管理员通过flashfxp连接的各个站点都在图3，点击连接。通过了于是我们又有了一堆肉鸡，我们有ftp权限。上传脚本木马~ 呵呵。
  说了半天这提升权限的事情一点没讲啊
  不要急，大家看看对方管理员的这站点管理器，有用户名和密码，密码是星号的。可惜啊！
  又想起了在Sites.dat中也显示了密码和用户名，而且密码是加密的。
  现在的星号密码会不会也是加了密的?看看就行了呗。
  怎么看? 菜鸟了吧 手头有个不错的查看星号的软件，就是xp星号密码查看器，通过查看跟Sites.dat中加密了密码做比较。看图4和图5 的比较 很显然在站点管理器中查看到的密码是明文显示的。发财了吧
  下一步就是使用xp星号密码查看器这个软件来提取密码和用户名。看者这些复杂的密码，还真有点怀念当年玩sniff的时光。呵呵
  密码为:b69ujkq6 hyndai790 s584p*fv4-c+ 98cq3jk4 3-8*ef./2z5+
  用户名:bn7865t nilei75 qm/-g57+3kn qm/-g57+3kn 5.e*82/+69
  (上述部分密码和用户名已经作了必要的修改)
  这么多的信息，按社会工程学的概念来说，没有管理员的密码。打死我也不相信。最终我得到了这个网站管理员的密码从这堆东西中找到的。
  我想这个问题应该反馈到flashfxp官方，让他们在下个版本中修正这个漏洞或者说是错误。经过后来测试只要把含有密码和用户名的Sites.dat文件替换到本地相应的文件就可以在本地还原对方管理员的各个站点的密码。希望大家在入侵的时候遇到flashfxp的时候能想到这个方法，至少也可以得到一堆新的肉鸡。不防试试?希望能给大家渗透带来帮助。
  
• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 使用FlashFXP来提升权限 相关文章：
• ·Linux下限制Root用户进行远程登陆
• ·最大限度优化博客文章
• ·简单七步最大限度优化你的博客文章
• ·用ASP对网页进行限制性的访问
• ·使用httpModule做权限系统
• ·Windows Server 2003防木马权限设置
• ·多用户环境下活用软件限制策略
• ·挖掘各类显示器的无限潜能
• ·限制本机QQ登陆的四种方法
• ·无限靓丽 Photoshop打造气质美女
• 使用FlashFXP来提升权限 相关软件
• ·《星际争霸》录象：双矿极限飞龙一波流
• ·《拳皇无限版》格斗试玩
• ·《鬼泣》系列极限火暴视频3频
• ·《卓越之剑GE》限量公开测试客户端
• ·《魔兽》地图：TD-数码宝贝-无限地带II1.0修正
• ·《托尼霍克极限滑板练习场》高清游戏视频
• ·《无限近似于透明的蓝》
• ·《无限忠于毛主席的川藏运输线上十英雄》
• ·无限弹球
• ·一个新名词背后的无限商机

上一篇:4月5号清明节 晚上8点攻击小日本靖国鬼社![内附软件]

下一篇:从一秒到一生：中国式爱情的8个样本

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐