大纲:
提权前
Windows提权 第三方软件提权,数据库提权,溢出提权
Linux提权
提权前
什么是提权?
主要针对网站测试过程中,当测试某一网站时,通过各种漏洞提升webshell权限来拿到该服务器的权限。
此时已经获得了站点的webshell权限,提权后获得服务器权限,就可以对站点B,C进行操作。
常见脚本所处的权限
asp/PHP 匿名权限(网络服务权限,权限较小)
aspx user权限(普通用户权限)
jsp 系统权限(通常)
收集信息
内外网
服务器系统和版本位数
服务器的补丁情况
服务器的安装软件情况
服务器的防护软件情况
端口情况
支持脚本的情况
信息收集常用命令
Windows:
ipconfig /all 查看当前ip
net user 查看当前服务器账号情况
netstat –ano 查看当前服务器端口开放情况
ver 查看当前服务器操作糸统
systeminfo 查看当前服务器配置信息(补丁情况)
tasklist /svc 查看当前服务器进程
taskkill –PID ID号 结束某个pid号的进程
taskkill lim qq.exe /f 结束qq进程
net user abc abc /add 添加一个用户名为abc密码为abc的用户
whoami 查看当前操作用户(当前权限)
Linux:
ls –al 查看当前服务器的文件和文件夹
pwd 查看当前操作路径
uname -a 查看当前服务器的内核信息
cmd命令执行
1、防护软件拦截
2、cmd被降权
3、组件被删除
找到可读写目录上传cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用。
查找3389
1、注册表读取
2、工具扫描
3、命令探针
Windows提权
第三方软件提权
溢出提权
启动项提权
破解hash提权
数据库提权
常见的第三方软件提权
FTP软件:
server –u、g6ftp、FileZilla
远程管理软件:
PCanywhere、readmin、vnc
server-u提权
有修改权限
0、检查是否有可写权限,修改server-u,默认安装目录下的servUDaemou.ini
1、增加用户
2、连接
3、执行命令
quote site exec bet user abc abc.com /add
quote site exec net localgroup administertors abc /add
无修改权限
暴力破解mds
溢出提权
G6ftp提权
下载管理配置文件,将administrator管理密码破解
使用lcx端口转发(默认只允许本机连接)
lcx.exe –tran 8027 127.0.0.1 8021
使用客户端管理员用户登录
创建用户并设置权限和执行的批处理文件
上传批处理
已创建的普通用户登录ftp
执行命令quate site x.bat
x.bat内容为添加系统用户 提权
filezilla提权
filezilla是一款开源的ftp服务器和客户端的软件
若安装了服务器默认只监听127.0.0.1的14147端口
并且默认安装目录下有两个敏感文件
filezillaserver.xml(包含了用户信息)
filezillaserver interface.xml(包含了管理信息)
提权思路
下载这两个文件,拿到管理密码
配置端口转发,登录远程管理ftpserver创建ftp用户
分配权限,设置家目录为c:\
使用cmd.exe改名为sethc.exe替换c:\windows\system32\sethc.exe生成shift后门
连接3389按5次shift调出cmd.exe
query user 显示管理员是否在线
vnc提权
通过读到注册表十进制数
转换成十六进制数
破解十六进制数得到密码
vncx4.exe –W 回车
输入转换后的十六进制数
连接vnc
radmin提权
通过端口扫描 扫描4899端口
上传radmin.asp木马读取radmin的加密密文
使用工具连接
远程管理软件提权
pcanywhere
访问pcanywhere默认安装目录
下载用户配置文件
通过破解用户密码文件