window系统提权

我们在已经获得了网站的管理权限，最后我们需要获得对服务器的管理权限。利用服务器作为肉鸡。
**

Window s系统内置用户和组

**

内置用户：
Administrator，系统管理员账户，拥有完全控制权限。
Guest，来宾账户，供访问共享资源的网络用户使用，仅具有最基本权限，默认被禁用。
内置用户组：
Administrators，管理员组。
Users组，新建用户默认所属的组。
Guests组，权限最低。
安装了IIS之后，系统中会自动添加两个帐号：
IUSR_，Web客户端的匿名访问账号，Guests组的成员。
IWAM_，IIS应用程序的运行账号，IIS_WPG组的成员。
获取了Webshell，其实就是获得了IUSR_*账号的使用权限。通常对于本站目录具有读、写、修改权限。
提权的最终目的是为了获取Administrators组权限。
net user命令

net user administrator		显示administrator用户的信息
net user test 123 /add  添加一个名为test、密码为123的用户帐户（密码可省略）	
 net user test abc		将test用户的密码更改为abc
 net user test /del		将test用户删除
net user test /active:no 		将test用户禁用

net localgroup命令

net localgroup administrators	
显示管理员组中的所有成员
net localgroup administrators test /add
将test用户加入到管理员组中
net localgroup administrators test /del
 将test用户从管理员组中删除

**

Windows系统提权实战

**
目标网站：南方数据5.0，IIS6，Win2003系统。
已经获取Webshell，利用菜刀向服务器中上传cmd.exe、churrasco.exe、3389.exe等工具进行提权。

连接webshell：

在菜刀上的虚拟终端我们并没有权限去执行命令：
我们需要自己上传一个cmd，我对网站有读写上传权限，有时候我们对网站的主目录没有写入权限，但是我们可以在主目录下的文件夹中有读写如的权限。我们可以把cmd放到主目录下的文件夹中。默认情况下网站中有一个文件夹叫回收站我们对他是有读、写权限的。

我们在执行创建用户的时候发现我们没有权限：
这里我们使用一下提权工具：（巴西烤肉）依旧上传到可写入的文件夹中，然后在cmd命令行里执行，但是要注意我们要在提权工具的目录下使用提权工具：（巴西烤肉利用了03系统的溢出漏洞）

创建hacker账号，把hacker用户添加到用户组里面。

netstat  -an// 查看机器开放的那些端口（此命令不需要管理员权限）

上传多功能开3389（远程桌面）工具。也是通过巴西烤肉这个工具。
连接远程桌面：
　**

提取并破解Windows系统密码

**
我们要提取并破解密码的前提是找到密码，那么密码在win系统下的哪一个文件里面呢?

win的密码在
C:\WINDOWS\system32\config\SAM
加密方式：
LM-Hash，Win9x系统采用，安全性比较差。
NTLM-Hash，Win2000之后的系统采用。
系统加密方式：
Win7/2008之前的系统同时采用这两种方式存储密码；
Win7/2008之后的系统只采用NTLM-Hash。
导出并破解系统密码Hash值
1）GetHashes 只能获取WinXP/2003以下系统的用户密码Hash值
命令执行：

GetHashes.exe $local

2）Quarks PwDump 支持XP/2003/Vista/7/2008/8/2012
命令执行：
3）在线破解：
http://www.objectif-securite.ch/en/ophcrack.php

**

建立隐藏账号

**
建立用户账号时，如果在用户名后面加上$符号，就可以建立一个简单的隐藏账号，如“test$”。在字符界面下执行net user命令，无法查看到这个账号，但是在图形界面的“本地用户和组”中仍然可以看到。
安全标识符SID：
系统为每个用户账号建立一个唯一的安全标识符（Security Identifier，SID），在Windows系统内部核心，是利用SID而不是账户名称来表示或识别每个用户。
执行“whoami /all”命令查看系统当前用户的SID。SID的最后一部分称为相对标识符RID，RID是500的SID是系统内置Administrator账户，即使重命名，其RID仍保持为500不变。 RID为501的SID是Guest账户，后来新建的用户账户的RID都是从1000开始。
建立隐藏账户：
首先在命令行中添加掩藏账户：

打开注册表编辑器：默认情况下我们当前的用户是无法浏览SAM的。我们需要先对他进行设置。对administer完全控制权限。

我们在注册表中找到我们所添加的账号：类型列的十六进制值就是账号多对应的RID
我们看到user目录下的最后一个文件夹与我们所添加的用户对应类型的十六进制一样：

紧接我们把这两个用户到出到桌面，然后我们在cmd里面把用户删掉，再把用户导入（导入就是双击刚才那两个注册表文件）。通过上面的几次操作，这个账户是我们用注册表导入的，并不是我们
在命令行中加入的，也不是我们在图形界面加入的，我们试着执行一下命令：

然后查看一下用户组，仍然能够发现我们加入的账户。那么我们能不能既让他在在管理员组里面，但是不让他在管理员组里面显示？
我们将administerter的SID值赋值，粘贴到隐藏的账户上。（SID值存放在右侧栏的F文件中），对系统来说我们需要隐藏的sid值就是管理员。
我们知道如果我们用不同的账户去登陆系统，在系统的C盘中，（C:\Documents and Settings）会自动创建一个文件夹，但是当我们登陆我们所隐藏的账户的时候（awd$）我们发现并没有在相应位置产生一个文件夹，这种情况看似不正常但是却与事实相符，我们在上述步骤中已经把我们需要隐藏的账户的SID值改成了administere的SID值，所以我们的账户awd,现在已经是administere（此账户已经产生过一个文件夹）了。
从上所述，就是账号克隆。