查看: 16399|回复: 4

渗透测试——提权方式

[复制链接]
  • TA的每日心情
    擦汗
    2021-12-31 09:42
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2021-12-24 16:03:06 | 显示全部楼层 |阅读模式
    一、什么是提权
    提权就是通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。

    Windows:User >> System
    Linux:User >> Root

    二、怎样进行提权(提权的方式有哪些)
    1.、系统漏洞提权(Linux、Windows)

    2、数据库提权

    3、系统配置错误提权

    4、权限继承类提权

    5、第三方软件/服务提权

    6、WebServer漏洞提权

    1、系统漏洞提权
    系统漏洞提权一般就是利用系统自身缺陷,用来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。

    Windows的提权exp一般格式为MS08067.exe;
    Linux的提权exp一般格式为2.6.18-194或2.6.18.c。

    (1)Windows提权

    1.1> 漏洞编号命名格式

    Windows系统漏洞编号命名格式为:MS08067

    其中:MS是Micosoft的缩写,固定格式;08 表示年份,即2008年发布的漏洞;067 表示顺序,即当年度发布的第67个漏洞。

    1.2> 使用exp提权

    在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。

    那么我们如何知道使用哪个exp来提权呢?

    我们可以使用systeminfo命令或者查看补丁目录,查看补丁记录,来判断有哪个补丁没打,然后使用相对应的exp进行提权。

    • KB2645640   MS12-009
    • KB2641653   MS12-018
    • KB952004     MS09-012 Pr.exe
    • KB956572     MS09-012 巴西烤肉
    • KB971657     MS09-041
    • KB2620712   MS11-097
    • KB2393802   MS11-011 ms11011.exe
    • KB942831     MS08-005
    • KB2503665   MS11-046 ms11046.exe
    • KB2592799   MS11-080 ms11080.exe





    (2)Linux系统提权

    Linux系统漏洞的exp一般按照内核版本来命名:2.6.18-194或2.6.18.c

    形如2.6.18-194,可以直接执行;形如2.6.18.c,需要编译后运行,提权。当然也有少部分exp是按照发行版版本命名。

    使用exp

    一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。
    我们可以使用uname -a命令或者cat /proc/version,来判断系统的内核情况等等,然后使用相对应的exp进行提权。
    注:

    提权过程中需要为你的提权exp赋权,chmod。
    linux服务器很多情况下管理员会设置目录权限,我们无法修改,但是一般/tmp/目录不会被设置权限,这和windows下的tmp和回收站是一个道理,所以我们可以将exp存放到/tmp目录下。
    2、数据库提权
    数据库提权是指:通过执行数据库语句、数据库函数等方式提升服务器用户的权限。

    首先我们要先有能力登入数据库,所以通常我们拿到webshell之后要去网站目录去找数据库连接文件,常在形如xxx.conf或conf.xxx文件中。

    (1)MySQL数据库提权

    MySQL数据库一般是使用udf(用户自定义函数)提权或mof(托管对象格式)提权。

    1.1> udf提权(用户自定义函数)

    条件:
    1、系统版本(Windows2000,XP,Win2003);
    2、拥有MYSQL的某个账号,且该账号具有对msql的insert与delete权限;
    3、具有root账号密码。

    使用方法:
    1、获取当前mysql的一个数据库连接信息,通常包含地址、端口、账号、密码、库名等五个信息。
    2、把udf专用的webshell传到服务器上,访问并进行数据库连接。
    3、连接成功后,导出DLL文件。

    注:

    Mysql<5.0,导出路径随意;
    5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“No paths allowed for shared library”错误;
    mysql>5.1,需要导出dll到插件路径,例如:D:\Program Files\MySQL\MySQL Server 5.1.3\lib\plugin
    若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则将会看到”Can’t open shared library“错误。
    如果提示“Function ‘cmdshell’ already exists”,则输入下列语句可以解决:drop function cmdshell;
    4、使用SQL语句创建自定义函数。语法如下:

    Create Function 函数名 returns string soname '导出的DLL路径';
    eg: Create Function cmdshell returns string soname 'udf.dll';

    功能函数说明:

    cmdshell 执行cmd;
    downloader 下载者,到网上下载指定文件并保存到指定目录;
    open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
    backshell 反弹Shell;
    ProcessView 枚举系统进程;
    KillProcess 终止指定进程;
    regread 读注册表;
    regwrite 写注册表;
    shut 关机,注销,重启;
    about 说明与帮助函数;
    5、创建函数成功后,就可以通过sql语句调用它了。

    语法如下:
    select 创建的函数名 ('参数列表');
    eg: select cmdshell("net user nsfocus Nsf0cus /add");创建一个用户nsfocus,密码为Nsf0cus

    6、函数使用完后,我们需要把之前生成的DLL和创建的函数删除掉,但要注意次序,必须先删除函数再删除DLL。

    删除函数的语法如下:
    drop function 创建的函数名;
    eg: drop function cmdshell;

    整体思路:
    • 导出C:\windows\udf.dll
    • Create Function cmdshell returns string soname 'udf.dll';
    • select cmdshell('whoami')
    • drop function cmdshell


    游客,如果您要查看本帖隐藏内容请回复

    20190611101318911.png
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2022-1-19 07:15
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    发表于 2021-12-27 11:00:43 | 显示全部楼层
    较全面总结了,是不是要退出江湖了啊哈哈
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2022-1-1 13:49
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2022-1-1 13:59:25 | 显示全部楼层
    wow....
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2022-5-26 10:39
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2022-5-25 07:08:49 | 显示全部楼层
    表示还没看懂..
    回复 支持 反对

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    擦汗
    2022-10-28 15:05
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2022-8-19 17:06:05 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-21 22:58 , Processed in 0.061571 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部