001-提权基础

最新推荐文章于 2025-02-10 18:45:12 发布
原创 最新推荐文章于 2025-02-10 18:45:12 发布 · 364 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了在获得网站webshell权限后,如何进行系统提权以控制整个服务器及内网渗透的方法。涵盖不同脚本类型权限对比、常见提权手段如数据库、溢出漏洞和第三方软件利用,以及在Windows和Linux环境下进行信息收集的具体命令。

拿到一个网站的webshell权限之后,可以控制整改网站,但是相对于整个系统来说权限较小。如果想要控制整个服务器,则需要进行系统提权,通过对此服务器的控制从而进一步渗透内网。通常来说,不同脚本类型的shell拥有的权限也不相同。通常脚本所处的权限:

ASP/PHP>网络服务用户,匿名权限
ASPX>普通用户,USER权限,可调用cmd.exe
jsp> 通常是系统管理员权限
  1. 脚本所处的权限取决于运行容器的用户身份。即:如果脚本以phpstudy/aspweb类似集成环境搭建的网站,拿下网站就是system管理员权限(在未降权的情况下)
  2. 在脚本允许的情况下可以变换脚本提权,即如果目标服务器支持多种脚本语言,可以选择权限高的脚本语言进行提权。如上:ASP/PHP (小于users)< ASPX(users) < JSP(system)
  3. 可以劫持高权限容器提权。例如一个服务搭建了iis和tomcat,拿到iis的shell在tomcat网站目录下写jsp shell可直接成功提权,或php shell写到phpstudy 网站目录下。
  4. 常见的提权方法有:数据库提权、溢出漏洞提权、第三方软件提权
  5. 在进行系统提权时,首先要对系统和整个网络环境进行信息收集。

信息收集

windows

ipconfig /all 
# 查看当前ip,内外网情况
net user 
# 查看当前服务器账号情况
netstat -ano 
# 查看当前服务器端口开放情况。查看内网IP信息
ver 
# 查看当前服务器操作系统
tasklist
# 查看进程,也可以直接到服务器软件默认安装目录查看
systeminfo 
# 查看当前服务器配置信息(补丁情况)(补丁300个是临界点,大于300补丁很难拿下服务器)
tasklist /svc 
#查看当前服务器进程情况
taskkill -PID pid号 
# 结束某个pid号的进程
taskkill /im qq.exe /f  
# 结束qq进程
net user test 123123 /add 
# 添加一个用户名为test密码为123123的用户
net localgroup administrators test /add 
# 将用户test添加到管理员组
net localgroup administrator
# 查看所有管理员组用户成员信息。查看用户创建时间,是否禁用
whoami 
# 查看当前操作用户(当前权限)
query user
# 查看登陆状态的用户

systeminfo | findstr OS 
#获取系统版本信息
hostname	
#获取主机名称
whoami /priv	
#显示当前用户的安全特权
quser、query user	
#获取在线用户
netstat -ano | findstr 3389	
#获取rdp连接来源IP
dir c:\programdata\ 
#分析安装杀软
wmic qfe get Caption,Description,HotFixID,InstalledOn	
#列出已安装的补丁
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber	
#获取远程端口号
tasklist /svc | find "TermService" + netstat -ano	
#获取远程端口
sc qc Mysql
#查看指定服务路径
mstsc /admin /v:127.0.0.1
#突破最大连接数
systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB977165 KB970483 KB3057191 KB3079904 KB3077657 KB3045171 KB2840221 KB3000061 KB2850851 KB2707511 KB2711167 KB2124261 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440 KB3124280 KB3143141 KB3134228) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt
#查看漏洞补丁查询脚本
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
# 开3389

linux

ls -al 
# 查看当前目录下的文件和文件夹
pwd 
#查看当前操作路径
uname -a 
#查看当前服务器内核信息
netstat -tnlp
# 看端口

其他

cmd命令无法执行可能

1.防护软件拦截>找免杀cmd
2.cmd被降权
3.组件被删除
4.虚拟主机无cmd调用
找可读写目录上传免杀cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用执行。
5.换脚本/aspx/php调用cmd

[升] Linux & 维持 — 系统错误配置 - 计划任务
Blue17 の 小窝
02-07 1253
靶机 CentOS7:IP 192.168.0.137攻击机 Kali Linux:IP 192.168.0.136。
我不是大牛
07-15 1595
当我们拿到WebShell 之后,下一步干什么? 当然是升啊! 简介 通过这些最初的漏洞利用途径,攻击者将获得一定的访问限。接着,攻击者将逐步探查其破坏的系统来获得比最初更多的限,以期望从其他账户访问敏感信息,甚至或者获得对整个系统的完全管理控制。当攻击者以这种方式扩大其最初的未经授访问的限时,我们将其行为称为升攻击。 水平升(越) 我们假设攻击者已经获得了在线银...
第一章 基础
density__的博客
09-26 461
是整个黑客攻防过程中最难的一个环节。对于渗透来说,获取的限越高,控制的服务器限越多。在整个渗透流程中,过程汇聚了思路,技巧,工具和技术。本章主要介绍各种基础知识,主要包括如何,如何破解Windows及LInux的密码,一些后门工具的使用,对工具的免杀处理,以及端口转发和代理工具的使用 本章主要内容: 概述 Windows账户和密码的获取与破解 使用John the Ripper破解LINUX密码 Linux辅助工具Linux ...
基础篇(上)
weixin_45509216的博客
05-01 278
文档:基础篇(上).note 链接:http://note.youdao.com/noteshare?id=daf58494b6cd5a3148a775b3c95325bb&sub=39A9841A3FFE4D93B1003B7612FD1C15
Windows--基础知识
最新发布
qq_37107430的博客
02-10 1323
Windows (Privilege Escalation)是指通过某些漏洞或配置错误,从低限账户升到更高限账户(如管理员或系统级限)。
windows常用系统漏洞与对应的补丁编号
sweelg的博客
05-29 5383
CVE-2021-1732[Windows Win32k 漏洞] (Windows 10, 2019/20H2) CVE-2020-0787【Windows后台智能传输服务漏洞】(Windows 7/8/10、2008/2012/2016/2019) CVE-2020-0796[Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个远程代码执行漏洞,即“Windows SMBv3 客户端/服务器远程代码执行漏洞”] (Windows 1903/1909..
利用第三方软件
cxrpty的博客
03-12 1321
实验环境:windows2008 实验步骤: 一、搭建环境 1.关闭防火墙,在wwwroot写入yjh.aspx,密码为-7 2.用菜刀连接 二、实验操作 1.查看当前系统上所运行的软件:tasklist,可看是否运行了Filezilla server 2.用菜刀上传端口转发工具lcx.exe到temp文件夹 2.进行端口转发:lcx.exe -tran 14141127...
-数据库-MSF-UDF
xiaoheizi的博客
08-28 1598
在MySQL 5.1版本及以后的环境下,udf时需要将udf.dll导出到mysql安装目录\lib\plugin\目录下。不同的操作系统,不同的版本,时导出udf.dll存放的目录不一样。//创建函数绑定dll。查看或修改程序源代码,可以进行网站或应用的配置文件读取(接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续系统做准备。2、当secure_file_priv 的值为 c:/ ,表示限制 mysqld 的导入|导出只能发生在c盘目录下,无法进行
Vulnhub-DC 7-9 、端口敲门
2301_80115097的博客
04-28 1292
Vulnhub是一个供了很多漏洞环境的靶场平台,其中的环境基本上都是做好的虚拟机镜像文件,需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚拟机到获取操作系统的root限和查看flag。靶场部署Vulnhub官网:https://www.vulnhub.com下载地址:https://www.vulnhub.com/entry/dc-8,367/直接从官网下载做好的虚拟机镜像文件(我下载的Mirror版本);
Linux基础
2301_77004573的博客
11-08 545
( backup.sh 脚本有定义完整的路径),cron 将引用 /etc/crontab 文件中的 PATH 变量下列出的路径;在这种情况下,我们可以尝试在用户的主文件夹(home)下创建一个名为“antivirus.sh”的脚本,然后让它作为 cron 任务运行。最终传入的反向 shell 连接能够帮助我们成功获取 root 限。一旦你发现现有的脚本或任务被附加到cron jobs,那么就值得花时间去了解相关脚本的功能以及如何在上下文中使用工具对cron jobs进行利用。
精选资源
CVE-2023-28252 CLFS Windows 本地漏洞 POCC 源码
08-23
卡巴斯基披露该在野0day漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system限———Windows中最高的用户限级别。该漏洞允许改变基础日志文件,迫使系统将基础日志文件中的假...
Windows ------IIS6.exe溢出
selecthch的博客
06-26 4067
方式:          操作系统漏洞:               systeminfo               查看未修补的补丁编号               KB952004 MS09-012        PR    -pr.exe               KB956572 MS09-012        巴西烤肉               KB970483 MS09-...
windows工具推荐
weixin_30580341的博客
02-21 1255
Tools Watson - Watson is a (.NET 2.0 compliant) C# implementation of Sherlock (Deprecated) Sherlock - PowerShell script to quickly find missing software patches for local privilege escalation vuln...
【CyberSecurityLearning 66】
_Co1a
04-13 1190
目录 升 水平升(也叫越) 垂直升 基于webshell的 windows 系统漏洞 演示:win2003下如何 可能会遇到的问题 演示:win2008下如何 数据库 反弹shell 反弹shell--windows 反弹shell--linux Linux 利用系统漏洞 利用第三方软件 辅助脚本 搜索漏洞库 升 水平升(也叫越) 从同级账户间互相切换身份 比如一个论坛.
【内网】windows2003本地PR详解
weixin_45588247的博客
08-17 3153
利用的漏洞 Microsoft Windows RPCSS服务隔离本地升漏洞 RPCSS服务没有正确地隔离 NetworkService 或 LocalService 帐号下运行的进程,本地攻击者可以利用令牌劫持的方式获得升。成功利用此漏洞的攻击者可以完全控制受影响的系统,攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户限的新帐户。 BUGTRAQ ID: 34443 CVE(CAN) ID: CVE-2009-0079 发布日期:2009-04-14 更新日期.
系统安全-部分windows系统对应补丁
u011215939的博客
12-02 2319
windows2003 window2008 windows2012 1 2 3 KB2360937~MS10-084 KB3139914~MS16-032 KB3139914~MS16-032 KB2478960~MS11-014 KB3124280~MS16-016 KB3124280~MS16-016 KB2507938~MS11-056 KB3134228~MS...
Vulhub下的Struts-2漏洞复现
热门推荐
weixin_44508748的博客
04-12 2万+
参考网址: https://github.com/phith0n/vulhub/tree/master/struts2/ Struts-S2-001 远程代码利用表单验证错误 1.漏洞描述 该漏洞因为用户交表单数据并且验证失败时,后端会将用户之前交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,交失败后端一般会默认返回之前交的...
003-漏洞梳理篇之php伪协议
weixin_44508748的博客
08-22 6319
PHP伪协议指的是PHP所支持的协议与封装协议(共12种),在web渗透漏洞利用中常用于配合文件包含进行web攻击,从而获取网站限。 环境概要: php.ini配置文件参数: allow_url_fopen :on #默认开启 ,表示允许url里的封装协议访问文件; allow_url_include:off #默认关闭,表示不允许包含url里的封装协议包含文件; ...
mysql-udf
01-15
### 关于 MySQL UDF 方法 #### 条件准备 为了成功实施基于MySQL的UDF(User Defined Function),需确保几个前条件被满足。这包括确认MySQL服务是以高限(如Windows下的System或Linux下的root)运行;该服务开启了必要的远程访问以及文件读写功能[^1]。 #### 获取必要限 攻击者不仅需要获取到具有足够限的数据库账户信息——即知晓管理员级别的用户名与密码组合来登录目标MySQL实例,还需要此账号具备执行`CREATE FUNCTION`语句的能力,这意味着至少要拥有对特定模式下表对象的操作利,比如`INSERT`和`DELETE`等限[^2]。 #### 验证安全设置 进一步地,在尝试加载自定义动态链接库(.dll/.so)前,应当检查服务器变量`secure_file_priv`的状态。如果其返回值为空(`NULL`),则意味着当前环境禁止任何形式的数据导入/导出示图,从而阻止了通过上传恶意共享对象实现本地至系统级特升的可能性[^3]。 #### 实施过程概述 一旦上述准备工作完成,可以按照如下方式继续: - 利用已有的管理限向指定位置上传特制的DLL/SO文件; - 创建一个新的存储函数指向这个外部资源; - 调用新建立的功能触发命令执行或其他形式的控制转移机制; 需要注意的是实际操作过程中涉及的具体技术细节会因操作系统差异而有所不同。例如在Linux环境中可能涉及到更复杂的路径处理及依赖关系解决等问题[^4]。 ```sql USE test; SELECT @@basedir INTO @base_dir; -- 查询基础目录 SET @cmd_func_name='do_system'; SET @output_file=CONCAT(@base_dir,'/',@cmd_func_name); -- 这里省略具体下载指令... CREATE FUNCTION do_system RETURNS STRING SONAME 'lib_mysqludf_sys.so'; ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值