提权【windows提权中敏感目录和敏感注册表的利用】

(( windows提权中敏感目录和敏感注册表的利用 ))

敏感目录                                                  目录权限                            提权用途
C:\Program Files\                                          默认用户组users对该目录拥有查看权         可以查看服务器安装的应用软件
C:\Documents and Settings\All Users\「开始」菜单\程序          Everyone拥有查看权限                    存放快捷方式，可以下载文件，属性查看安装路径
C:\Documents and Settings\All Users\Documents                  Everyone完全控制权限                    上传执行cmd及exp
C:\windows\system32\inetsrv\                                  Everyone完全控制权限                    上传执行cmd及exp
C:\windows\my.iniC:\Program Files\MySQL\MySQL Server 5.0\my.ini  默认用户组users拥有查看权限               安装mysql时会将root密码写入该文件
C:\windows\system32\                                          默认用户组users拥有查看权限            Shift后门一般是在该文件夹，可以下载后门破解密码
C:\Documents and Settings\All Users\「开始」菜单\程序\启动  Everyone拥有查看权限                    可以尝试向该目录写入vbs或bat，服务器重启后运行。
C:\RECYCLER\D:\RECYCLER\                                  Everyone完全控制权限                    回收站目录。常用于执行cmd及exp
C:\Program Files\Microsoft SQL Server\                          默认用户组users对该目录拥有查看权限    收集mssql相关信息，有时候该目录也存在可执行权限
C:\Program Files\MySQL\                                          默认用户组users对该目录拥有查看权限    找到MYSQL目录中user.MYD里的root密码
C:\oraclexe\                                                  默认用户组users对该目录拥有查看权限    可以尝试利用Oracle的默认账户提权
C:\WINDOWS\system32\config                                  默认用户组users对该目录拥有查看权限       尝试下载sam文件进行破解提权
C:\Program Files\Geme6 FTP Server\Remote Admin\Remote.ini  默认用户组users对该目录拥有查看权限       Remote.ini文件中存放着G6FTP的密码
c:\Program Files\RhinoSoft.com\Serv-U\c:\Program Files\Serv-U\  默认用户组users对该目录拥有查看权限    ServUDaemon.ini 中存储了虚拟主机网站路径和密码
c:\windows\system32\inetsrv\MetaBase.xml                  默认用户组users对该目录拥有查看权限    IIS配置文件
C:tomcat5.0\conf\resin.conf                                  默认用户组users对该目录拥有查看权限    Tomat存放密码的位置
C:\ZKEYS\Setup.ini                                          默认用户组users对该目录拥有查看权限    ZKEYS虚拟主机存放密码的位置

(( 提权中的敏感注册表位置 ))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib\Tcp           Mssql端口
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server DenyTSConnections                         远程终端 值为0 即为开启
HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\                                                           mssql的注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\                                                   华众主机注册表配置位置
HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft\Serv-U\Domains\1\UserList\                                   serv-u的用户及密码（su加密）位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\ WinStations\RDP-Tcp           在该注册表位置PortNumber的值即位3389端口值
HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers                                           mysql管理工具Navicat的注册表位置，提权运用请谷歌
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters                                           Radmin的配置文件，提权中常将其导出进行进行覆盖提权
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\             IIS注册表全版本泄漏用户路径和FTP用户名漏洞
HKEY_LOCAL_MACHINE\software\hzhost\config\Settings\mastersvrpass                           华众主机在注册表中保存的mssql、mysql等密码
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11                                   星外主机mssql的sa账号密码，双MD5加密
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\ControlSet002  星外ftp的注册表位置，当然也包括ControlSet001、ControlSet003

https://www.70sec.com/thread-3007-1-1.html