(转自i春秋)提权第一部分

关于提权我们要想到这三个问题:1  什么是提权?

2  怎么样提权?

3  提权后的事...

提  权:通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。

Windows:

User    >>  System

Linux:

User    >>  Root

我们可以通过:

系统漏洞提权(Linux、Win)

数据库提权

系统配置错误提权

权限继承类提权

第三方软件/服务提权

获取高权限账号提权

WebSevrver漏洞提权

0x01  系统漏洞提权系统漏洞提权一般就是利用系统自身缺陷,使用shellcode来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。

Windows的提权exp一般格式为MS08067.exe;

Linux的提权exp一般格式为2.6.18-194或2.6.18.c

Windows提权

Windows系统漏洞微软的漏洞编号命名格式为:MS08067

MS  Micosoft的缩写,固定格式;

08  表示年份,即2008年发布的漏洞;

067 表示顺序,即当年度发布的第67个漏洞。

提权exp使用方法:

使exp执行即可,一般情况下是使用cmd.exe来执行。在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。

那么我们如何知道使用哪个exp来提权呢?

使用systeminfo命令或者查看补丁目录,查看补丁记录,来判断有哪个补丁没打,然后使用相对应的exp进行提权。

KB2645640 MS12-009

KB2641653 MS12-018

KB952004  MS09-012 Pr.exe

KB956572  MS09-012 巴西烤肉

KB971657  MS09-041

KB2620712 MS11-097

KB2393802 MS11-011 ms11011.exe

KB942831  MS08-005

KB2503665 MS11-046 ms11046.exe

KB2592799 MS11-080 ms11080.exe

实例说明:

1.本地提权使用cmd执行

2.使用webshell来执行。

一般的过程是:

1.先找可写目录。

2.上传cmd.exe、提权exp等工具。

3.使用exp进行提权,加账号等操作。

TIPs:

1.渗透过程中经常会遇到管理员禁止了cmd.exe的使用,我们该怎么办?进止了exe文件的上传怎么办?

2.管理员禁止了一些脚本函数的运行,看不到回显怎么办?

3.在使用webshell提权的时候要特别注意:

asp的webshell要支持:

wscript(wscript.shell/shell.application)

aspx能调用.net组件来执行cmd的命令

/c whoami

Linux系统提权Linux系统漏洞的exp一般按照内核版本来命名:2.6.18-194或2.6.18.c

形如2.6.18-194,可以直接执行;

形如2.6.18.c,需要编译后运行,提权。

当然也有少部分exp是按照发行版版本命名。

提权exp使用方法:使exp执行即可,一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。

那么我们如何知道使用哪个exp来提权呢?使用uname -a命令或者cat /proc/version,来判断系统的内核情况等等,然后使用相对应的exp进行提权。

TIPs:1.提权过程中需要为你的提权exp赋权,chmod。

2.linux服务器很多情况下管理员会设置目录权限,我们无法修改,但是一般/tmp/目录不会被设置权限,这根windows下的tmp和回收站是一个道理。

0x02 数据库提权

数据库提权:

利用执行数据库语句、利用数据库函数等方式提升服务器用户的权限。

首先我们要先有能力登入数库,

所以通常我们拿到webshell之后要去网站目录去找数据库连接文件,

常在形如xxx.conf或conf.xxx文件中。

例如:Discuz的数据库信息就在:

config/config_global_default.php中

Mysql提  权

一般是使用自定义函数提权或mof提权Mssql的提权一般是调用xp_cmdshell函数来提权。

UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。

通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。

同时,UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。

适用场景:

1、目标主机系统是Windows(Win2000、XP、Win2003)。

2、拥有该主机mysql中的某个用户账号,该账号需要有对mysql的insert和delete权限。

最好mysql是默认启动的权限(system)

使用方法:

1、获取当前mysql的一个数据库连接信息,通常包含地址、端口、账号、密码、库名等五个信息。

2、把udf专用的webshell传到服务器上,访问并进行数据库连接。

3、连接成功后,导出DLL文件。Mysql<5.0,导出路径随意;

5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“No paths allowed for shared  library”错误;

mysql>5.1,需要导出dll到插件路径,例如:

D:\Program Files\MySQL\MySQL Server 5.1.3\lib\plugin

若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已

将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,

否则将会看到”Can’t open shared library“错误。

如果提示“Function ‘cmdshell’ already exists”,则输入下列语句

可以解决:

drop function cmdshell;

4、使用SQL语句创建自定义函数。语法如下:Create Function 函数名 returns string soname '导出的DLL路径';

e.g:

Create Function cmdshell returns string soname 'udf.dll';

功能函数说明:

cmdshell 执行cmd;

downloader 下载者,到网上下载指定文件并保存到指定目录;

open3389 通用开3389终端服务,可指定端口(不改端口无需重启);

backshell 反弹Shell;

ProcessView 枚举系统进程;

KillProcess 终止指定进程;

regread 读注册表;

regwrite 写注册表;

shut 关机,注销,重启;

about 说明与帮助函数;

5、创建函数成功后,就可以通过sql语句调用它了。

语法如下:

select 创建的函数名 ('参数列表');

e.g:

select cmdshell("net user nsfocus Nsf0cus /add");

创建一个用户nsfocus,密码为Nsf0cus

复制代码

6、函数使用完后,我们需要把之前生成的DLL和

创建的函数删除掉,但要注意次序,必须先删除函

数再删除DLL。删除函数的语法如下:

drop function 创建的函数名;

e.g:

drop function cmdshell;

复制代码

Mssql提  权

利用扩展存储过程来执行系统命令,达到是自己权限提升的目的。

适用场景:

1、Mssql的服务没有降权,是以默认服务继承的权限来运行的

2、拥有该主机Mssql中的sa账号和密码

关于数据库账号/密码的寻找:

类似于Mysql账号的寻找方式,一般先寻找网站目录下的配置文件,如:conn.asp/web.config    有了账号密码等连接信息,我们就可以利用webshell连接数据库了

server=localhost;UID=sa

WD=sa;database=Northwind

rovider=SQLOLEDB

Exec master.dbo.xp_cmdshell 'whoami'

END

关于其他的提权方法,我会下次发出来!

作者:i春秋论坛

链接:http://www.jianshu.com/p/271312b96170

來源:简书

著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容