超全的webshell权限提升方法(15)

　　问题：普通用户不能成功运行pwdump类程序（没有权限），例如：使用unicode漏洞进入系统时是IUSR_computer 身份，该用户一般只属于guests组的，运行pwdump类程序就会失败。 
　　（以上两种是离线的） 
　　方法3 ：使用 Enum 等程序进行远程破解，猜口令。enum可以使用指定的字典对远程主机的某个用户进行破解。 
　　问题：（1 ）如果系统设置了帐号锁定的话，破解几次失败，该帐号就锁定了，暂时不能再破解；（2 ）要远程系统开放 Netbios连接，就是 TCP的139 端口，如果用防火墙过滤了的话 Enum 就无法连接到主机。 
　　（以上方法是通过破解获得密码的，还有直接把当前用户提升权限或者添加用户到管理员组的方法。） 
　　方法4 ：GetAdmin（WinNT 4 下）、PipeUpAdmin （Windows 2000下），在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin则比较厉害，普通用户和Guests组用户都可以成功运行。 
　　问题：GetAdmin在 SP4有补丁修复了，不能用于高于 SP4的 WinNT 4系统，当然后来又有GetAdmin的增强版本，不过在 SP6a 下好像都不能成功运行。 
　　注：这一方法利用了 WinNT 4系统的安全漏洞，可以安装补丁解决这一问题。 
　　（此外还有变通的方法。） 
　　方法5 ：在WinNT 4 和 Windows 2000 注册表里指定用户Shell 程序（Explorer.exe） 
　　时没有使用绝对路径，而是使用了一个相对路径的文件名（考虑到兼容性问题）。 
　　由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%\\Explorer.exe（操作系统安装的跟目录下的Explorer.exe）程序执行，这提供了攻击者一个机会在用户下次登录时执行他自己的程序。 
　　问题：攻击者必须有安装系统逻辑盘跟目录的写权限才行，而一般管理员都设置该目录普通用户禁写。 
　　注：这种方法利用了 WinNT 4/Windows 2000 系统的安全漏洞，可以安装补丁解决这种问题。 
　　方法6 ：木马：上传木马，然后运行木马，系统重起动后，木马就是本地登录用户的身份了，然后攻击者连接后就有了本地登录用户的权限。因为一般总是管理员本地登录系统，因此这样很可能就获得了管理员的权限。 
　　问题：（1 ）杀毒软件或病毒防火墙可能阻止木马运行，还有可能把木马杀死。 
　　（2 ）有的木马不能在Guests组身份下运行，这可能与它添加自动运行的方式有关；如没有权限改写注册表的自动运行位置，不能写入%system%\\ system32目录（一般的木马都改变文件名，然后写入系统目录，如果没有写入权限系统目录，就不能成功执行木马）。