合天网络安全笔记-十五-
合天网络安全笔记(十五)
P74:第43天:权限提升-Linux定时任务提权、SUDO权限滥用 - 网络安全就业推荐 - BV1Zu411s79i
扣个一,然后下次大家想那个就是等待时间,想听歌的话,就是你可以提前在群里说,好吧,就不玩啊,这位同学点了这首歌的话,因为时间关系就听不完了,好吧好啊,现在的话已经八点多钟了,应该就是能来的,应该都来了。
那么我们这次开始我们今天的一个课程内容,今天的话呃,同样的跟上节课给大家介绍的同样的内容,就是linux的一个系统提权,那本节课的话主要分为了四个部分,第一部分的话就是滥用的一个收录权限。
第二个的话就是linux的一个定时任务的一个提权,第三个是s u i d这个特殊权限的一个,提前提前,第四个的话就是其他的一些提前的一个呃实例,第一部分的话就是滥用的一个收do权限。
就我们前面在讲linux的时候对吧,呃以及前面再去呃,与提前与提权相关的,就是就是说在linux下面,我们一个普通用户的一个权限要去执行啊,比如说要去启动一个服务对吧,以及比如说你要去执行一个像啊。
if configure这种命令,如果说你是一个普通权限的话,它可能就是有限制你的一个执行,就是你没有权限,没有相应的一个权限,去执行这样的一个命令对吧,所以说我们通常的话在linux系统下面的话。
通常会用这样子的一个so do命令对吧,这个命令的话大家应该都熟悉,就是呃经常呃玩linux的话对吧,然后这边呢这个so do的话,就是它是linux系统的一个管理的一个指令,主要的话它就是用来就是啊。
允许我们的一个系统管理员,让普通用户去执行一些,或者是说全部都这样子的一个root root命令,它是一个啊工具,就我们可以简单直接的理解,就是它是一个linux下面的一个提取工具。
然而这个命令的话它的一个执行流程,就是大家可能就呃就是经常用这个对吧,但是你不知道它是它实际的一个流程是怎样的,是这边的话我们来一起了解一下,就我们执行这个收入命令的话,他会呃将当前的一个用户。
它会转换成一个root的一个用户,然后的话以root的一个身份去执行一个命令,然后执行这个命令之后的话呃,他就会直接退回到当前的一个用户,也就是它有这样子的一个过程,就是比如说我去执行一个收入。
我之前一个收队要去骑一个service对吧,我提起一个这个service,我一个普通用户的话,我是无法去启动这样子的一个服务的,那么我们在这个时候的话,我们尝试使用收do这一个命令对吧。
然后他在呃执行这个命令的时候的话,他就会把我当前的就说,如果你当前,这,当然前提是你当前这个用户有权限,去执行这样子的一个收入啊,好的话,你当前的这个普通户,你通过收入这个命令。
它会以一个root的用户来去进行一个执行,因为我们知道的话,root用户它是啊,linux系统下面的一个最高权限的一个用户是吧,那么他肯定是有权限去执行这样子的一个服务,的一个启动这个命令的对吧。
那么他呃用这个命令之后的话,他以root身份去执行执行这个服务,启动之后对吧,启动之后的话,它就会立马退回到当前的一个用户,所以说我们呃这这这边的这个收入命令的话,只是一个达到一个短暂提前的一个目的。
就是呃短暂的把我当前的一个用户提,提升到一个root的权限,然后去执行相应的命令,但是你执行完之后的话,你还是会回回到当前的一个用户,也就是回到一个普通的一个用户权限,然而要注意的一点的话。
就是你在执行收入的时候,就是输入的一个密码,就是你如果说你的这个用户,你是有权限去执行这样的一个so do命令的对吧,然后的话你执行这个收do命令之后的话,它会让你输入一个密码。
这个密码它就是你当前用户的一个密码,而不是root的密码呃,呃这个的话应该很好理解对吧,就是你你说你当你当前的一个用户权限,去执行这个命令,那么你肯定输的一个,就说你验证了一个密码的话。
肯定就是你当前用户的密码是吧,如果说你都知道root的密码的话,那你不就可以直接得到root的权限吗,对吧,然后呃还有的话就是这边有一个需要注意的,就是收do的一个配置文件,就我们的收入的话。
它有这样子的一个配置文件,就是这一个etc的一个收到这样子的一个文件,这个文件它的一个文件权限是0440,也就是说它是没有其他这种特殊权限,然后只有root用户以及root组,他才有权限去执行这样子啊。
去读取这个文件里面的一个内容,它是然后其他的一个普通用户以及啊,它是没有权限去啊读取以及写入的,我们这边的话。
我们大家如果就是有在电脑前面操作的话。
大家可以跟着我就是这样子来查看,就呃比如我这边的这个机器对吧。
呃这边能看得清吗,应该能看得清吗,嗯我们可以啊,我们先来查看一下这个so ddos这个文件,它的一个权限,这个文件权限的话是这样子的,就是只有root用户以及note组的用户,他才有权限去读取这个文件。
然后你会发现,其实note用户,他这边也没有给一个写的一个群像是吧,但是因为note用户的话,你是一个系统的一个最高权限对吧,呃你虽然没有在这边没有写这样子的,一个写的一个权限。
但是我们可以通过像比如说vm,然后我这边pc,这个文件对吧,然后我在这边我进入这个文件,我修改之后的话,可以通过就是w q加一个干,就是强制保存,然后的话也是可以去做一个修改的,因为你是一个root用。
然后还有的话就是你要去修改的话,有这样子的vi so do的这样子的一个命令,我们呃可以通过这一个命令来去做一个修改,就同样的也是进入到这边,然后他在这边的话,就是呃你他这边使用的一个编辑器。
是那个narrow,应该能到,然后呃我我是我是不常用这个,我对这个编辑器的话不是很熟悉,然后我通常的话都是使用vm,然后在这边看,在这边的话就是你可以做一个编辑嘛,就跟我们平常的一个编辑器是一样的。
就你可以在这边去写入对吧,然后呃退出的话就是ctrl加x,然后n就通过这样子一个方法来去做一个修改,但是你如果说是你是一个普通用户的话,是没有任何权限,是没有任何权限去查看以及修改这个文件的。
因为在这个文件当中的话,我们可以来查看一下,在这个文件当中的话,它里面它是存的存的,存储的这样子的一个内容啊,就是我们这边的一个收入的这个,特权用户的一个信息,就说我们的一个普通用户对吧。
我们的一个普通用户,我们要想要去执行这样子的收do命令的话,你需要把你的这个用户,把它给添加到这个文件当中,然后可以在这边有看到,就是这边有一个root,就它这里面它默认的话是有这样子的两个对吧。
有这样子的一个root root用户,然后的话or等于or等于or,然后or对吧,这边全是or全是all的话,就代代表就是说这一个用户它是有啊,有完全的一个权限,就是有一个完全的一个root用户的权限。
也就是因为它本我这边的话,本来就是一个root用户嘛,所以的话我可以有完整的一个权限去啊,用so do对吧,然后这边的话就是s这边有一个百分号,然后收入的话这个的话就是表示收度组。
就这个的话就表示主这边是表示用户,然后这边呢这一个收do组的话,它同样的也有就是呃有note的一个权限,就我们可以通过收do来得到root的一个,完整的一个权限对吧。
那么我们想要去就是呃想要得到一个root的权限,你也可以把你的一个用户,把它给添加到这样子的一个收入,主动收入组在这个so do的一个组当中,然后的话你同样的也能够去得到这样子。
一个root的一个群像,就是啊sodas这个文件,然后呃关于这个文件的话,关于这个文件更详细的这样子的一个呃介绍啊,大家可以看一下这篇文章,我放在这个预习内容当中了,就这一个sodas的一个文件。
这这篇文章的话详细的介绍的,就是这个sodows文件,它的一个就是它的一个,它的一个配置的一个组成,就像比如说在这边对吧,就默认的话它这里的话它会有这样子的几行呃。
还有的话可能还会有这样子的一个admin的,这样子的一个组,就是表示的话就是这个admin组的一个用户,同样的有所有的一个权限,然后呃他这边的话呃,我这边就大概的给大家介绍一下,好吧,就是来理解一下嗯。
其实详细的话大家看这一篇文章吧好吧,我这边的话就以他这边给的几个例子,给大家介绍,然后在这边他有详细的介绍,就是说有这样子的一个公式对吧,就是首先的话这边的话授权用户还有主对吧。
也就是我们这边比如说root这个用户,或者说你是一个其他的一个普通用户,像比如说一个看你用户对吧,然后主机主机的话,这边这边对应的就or or的话,就是表示所有的一个主机。
就是呃你任何的这样子的一个主机,你都你去登录,你去用这一个用户的话,你都有都能够去得到这样子的一个,就是对应的这样子的一个权限,然后后面这边的话就是切换到哪些用户或组。
就是这边的话all的话就是表示所有的,也就是它可以通过收do这个命令,去切换其他的所有的一个用户,以及你可以就是指定某一个用户,像比如说指定一个root用户对吧,就在这边指定一个root用户。
然后要注意的话要在括号当中,好像这边的话就是or的话,就是所有的一个用户嘛,all的话就是所有的一个组,就是用户,还有组通过这样子的一个形式,然后呃其实也可以省略就省略,就是在这边只加一个or的话。
就是表示所有的嘛对吧,然后的话要注意要加括号,然后还有的话就是呃是否要输入密码验证,像我们呃如果说不加这样子的一个no password,这个字段,就这一个字段,那么你再去啊用so do。
就说你当前的这,比如说这边的一个lucy这个用户对吧,你通过收do你切换到note的一个用户的话,你用搜你用收队去执行相应的一个命令的话,像我们正常的话,如果不加这个,我们执行收队,我们需要去输入。
当前的一个用户的一个密码对吧,那么你如果有这样子的一个字段的话,那么你去只通过收入去执行啊,相应的一个命令的话,你可以不用输当前用户的一个密码,也就是说你不需要知道当前用户的一个密码啊。
就像我们前面的话,我们要执行收购的话,我们需要输入当前的一个用户密码对吧,所以的话你想要你虽然你得到了这个用户,你你得到这个用户的权限,你而且这个用户有权限去执行这个收入对吧。
但是的话如果你不知道它的一个,当前用户的密码的话,你同样的就是呃,不能够暂时不能够临时的去获得这样子的一个,root的一个权限,然后后面这边它是接我们之前的一个命令,也就是说它限定了在这边呃。
如果说是all的话,就是表示所有嘛,就是所有的命令,你都可以去通过收do来去提前对吧,那么你在这边限定了相应的一个命令的话,也就是像以这边的这个为例,就是这个lucy这个用户他执行收入的话。
他可以不输入,不输入当前的一个用户密码对吧,然后我要去通过执行这一个user a的,也就是他不输入当前密码的话,它只作用于这一个usa的这个命令,而且是只只有执行这个usa的这个命令的话,你才能够啊。
就是说你才有权限去执行,你才能够通过so do来去执行这个u za的,来去得到一个,就是以note的一个权限去执行这个命令,来去听一下用户对吧,而且不需要去输入密码。
然后其他的一个命令的话就是没有权限去执行,就这个意思呃,然后还有这边要注意的话,就是像比如说这边的这边的这个例子的话,就是这个no password,它只作用只作用于第一个命令,然后后面的这个命令的话。
就是它同样的也需要去输入密码,也就是你只有在执行用收do去执行这个children,来去更改我们的一个权限的时候对吧,就执行这个命令的时候,你可以不输入密密码,然后你后面的这些命令的话。
它同样的需要输入密码,以及的话就是多个命令之间的话,用这样子的一个逗号做一个分隔呃,关于更多的话呃,其实主要大家要了解的话,就是我上面讲的这些对吧,然后你想要去了解更多的话。
你从头到尾看一下这篇他的这样子的一篇文章,好吧,应该能大家应该能理解吧,我刚刚讲的那些能大家你能理解吗,好的能理解是吧,那么我们继续,嗯下面的话就是两个命令,就给大家介绍这两个命令。
就是我们呃我们如何去进行一个查看,查看自己当前用户的,就是能够去用收do这个命令,去进行一个提前的这样子的一些命令,首先第一个就是这个so do gul,就显示出自己的一个权限,注意的话。
这边的一个权限的话就是刑诉,是自己当前用户能够去通过收do这个命令,去执行的这样子的一些命令呃,其实啊可能只用收do这个命令来说,可能大家不是很那个就是啊,通过收do这个提成工具对吧。
这样这样说应该应该会更好理解一点对吧,就是通过收do这个工具来去执行啊,这样子的一些命令,你才能够呃就是说你不好意思啊,我这边突然卡了一下,就是我这边执行收do gl对吧。
然后的话他在这边有显示出这样子的一些命令,对吧,这些命令的话就是说你你可以有权限,你可以去使用so do这样子的一个工具,来去执行这样子的一些命令,然后这些命令的话呃。
我们可以通过我们能够以一个root的权限去执行,然后so do杠s的话就是执行环境变数中的shell,所指定的一个shell,或者是etc password里面所指定的这样子的一个系。
就我们呃so do杠s,就我当前用户的话,我当前用户的话呃。
就是,能看实际的例子吧,嗯我们先看一下他说word这个文件对吧,然后这个文件里面的话,就存储着当当前所有用户的这样子的,一些信息嘛对吧,然后最这边的话有这样子的一个字段,就是最在最后有这样子的一个啊。
需要环境变量的这样子的一个字段,在这边,也就是像比如说我这边的这个卡里,用户的话,你的这样子这个shell的一个变数的话,就是这个bbh对吧,然后的话你在当前的话,你啊通过就是你远程登录。
你远程登录这个用户的话,你得到这个shell的话。
就是这个bh的一个shell,然后在这边的话就是我们通过so do杠s,因为我们知道so do的话,它是以root的一个权限去执行对。
那么在这边的话呃,就是对应的我收do杠s的话,就是表示的就是我这边以一个note的一个权限,去指定,去执行,我们这边的一个啊root的所对应的,这样子的一个小就是这一个bh对吧,比如说我这边一个意思。
我先进入s h不对哦,搜对干s对吧,我这边的话就进入到了一个bh,对我当前的话就是一个b,因为root的话,他在这边他呃默认的它指定的这样子的一个shell,的一个变量的话,就是这个shell环境的话。
是这个bbh,然后呃收do gl的话,就是查看当前的当前用户,能够以用收do这个工具去执行的,这样子的一些命令,so do gul啊,我当前是一个root用户,所以的话他这边表示的是沃尔沃。
就是我们在那个sodas文件当中所配置的。
这样子的一个权限对吧,然而我们我在这边的话,我以这样子的一个这个靶机为例,就这边的这个靶机的话,我当前我通过执行这个速度干扰他,这边的话,需要我们输入这个bob的一个用户名啊密码。
然后我这边输入密码之后的话,我在这边就能够去查看到当前的这个报表,用户能够去用收录这个工具所执行的一个命令,也就是能够以note用户去执行的,这样子的一些命令,就在这边的话也列出来了。
然后其实这边的他所列出来的这样子的一些,所列出来的这样子的一些命令,我们在这个他的这样子的一个缩短时的,在他的呃这一个soldiers是文件当中,我们能够去查看到呃,我们来呃一我们啊。
我带大家一起来看一下它的,这边的这个solo是文件它的一个组成啊,首先的话就是呃,他在这边的话有这样子的这么几条对吧,第一条的话就是这个root,这个root的话就是呃我们默认的话就有的对吧。
然后在这边的话它有这样子的两条,这两条的话就是它添加了两个普通用户,然后peter首先电话首先的话就是这个peter用户,peter用户的话它的一个它的一个特点的话。
就是在这边有一个no password对吧,就我们前面说的,就是说他peter再去执行这边的这个命令,这边的这一个命令的话,它其实是对应的这个表,在这边就他这边加了这样子,这个alex也就是别名吧。
也就是他在去执行这一个命令,只是这边的话,它其实就是指指定的这边的这个命令,就是这个user变trast,这个确实命令它就是一个呃路由跟踪的,就是跟踪进程的通信的这样子的一个命令。
然后呃他在这peter这个用户再去执行这个chess,chest命令的时候,他是不需要输入当前用户的一个密码的,然后bob的用户的话,就是他这边的话。
他指定了这边的一个或者what the sense对吧,然后这边或者sense的话,它同样的就是对应的这边,对应的这边他给了这样子的一个值,然后这边的这一串的话就是说它限制了它,限制了这边这个报表。
用户能够通过收购这个工具来去执行,这边的这些命令,然后其实就是对应的在这边所显示的。
就是啊这两个,好呃下面的话我们来就是介绍一下。
就是说我们通过这个收入感啊对吧,我查看到了当前的这一个用户,它能够与root用户去执行这样子的一些命令对吧,那么我知道这些东西有什么用呢对吧,我当前的一个普通用户,用收据来去执行对应的这些命令。
那么我们因为我们最终的一个目的的话,我们是要去进行一个提前的,就是我们的本节课的一个主要内容,就是去进行一个题全对吧,那么我们通过这样子的一个收do,我们能够去临时的得到一个root的一个权限。
以及我们再去执行这些命令的时候,能够去临时的得到root的权限对吧,那么我们如何去利用这样子的一些呃,他在这边所配置的这样子的一些命令。
来去进行一个齐全的,然后讲到这边的话呃。
就是先带大家来看一下这边的这个项目。
我这边的话放在了这个啊预习内容当中,就这个。
就这个gtfo bs这样子的一个项目,这个项目的话它是嗯这里翻译一下吧,这个项目的话它是一个呃,unix下面的一个二进制的一个列表,然后的话它主要的一个作用,就是。
我们可以利用它来去绕过本地的一个安全限制,也就是这边呢在他这边,他所收集的这样子的一些二进制的一些命令,它有对应的这样子的一些功能,我们可以去进行一个利用,然后呃他在这边的话。
就说他收集了这样子的一些就耽误当系统,他再去滥用这样子的一些呃,二进制的一些程序的时候,我们可以利用它来去进行一个啊,权限的一个提升,也就是突破我们的一个壳,这边的壳的话翻译的意思就是吸氧。
就是突破当前需要的一个限制,也是能够啊,进行一个由普通权限去提升到一个高权限的,一个目的,以及可以去传输文件,还有对应的反弹shell等等的这样子的一些作用,然后在这边的话呃,这边先不翻译了。
在这边的话有列举了这样子的,这么多的一些命令,然后这一些命令的话,我们可以在这边去一一的去查看啊,像比如说这个a s h对吧,然后这边的话它就有列出了关于这一个a s h。
这个二进制程序的这样子的一些作用,首先第一个位置需要shell的话,就是他这边可以用它来去得到这样子的一个shell,绘画嗯,翻译一下吧,能够得到这样子的一个程序系统的一个外壳。
也就是我们的一个shell嗯,我们在这边直接执行一个a s h的话,就能够去得到。
我们来尝试一下,比如说我在这边对吧,我在这边我去执行这个s h对吧,我这边他就得到了这样子的一个小,就得到这样子的一个s h的一个像是。
好的话,还有就是它有文件写入的一个功能,就是我们可以通过s h来去写入文件,就像在这边的话,就是呃他首先的话加了这样子的一个变量,这个变量的话就是你要去写入的这个文件,然后的话你在a s h。
然后其实就是写的就是通过echo这一个命令,来去写了这样子的一个数据,把它写入到这样子的一个文件当中,这边的话就是添加这样子的一个变量,啊其实像这整个的这一句意思的话,就是我们s h的话。
杠c的话就是呃我们直线a s h呢,它会进入到一个shell对吧,然后在这个shell下面执行这边的这个命令,这边的这个变化就是echo,就是把我们这边的一个数据,把它从电线到了这个文件当中对吧。
这个大于号的话,就是我们的一个输入重定向嘛对吧,前面已经讲过了,以及还有so seid,也就是这边的这个,如果说这边的这个s h这个二进制程序对吧,它有一个s l o i d的一个权限。
那么我们就可以利用它来去进行一个呃提权,就我们其实前面也有有有说对吧,就如果说你你是一个s ud的一个呃权限的话,你一个普通用户去执行这样子的一个权限,执行这样子的一个程序对吧。
他会继承他的一个这个文件的一个所有者,就这一个文件所有者的话呃一般的话是root对吧,那么你以普通用户去执行这样子的一个u,s l a d的这个程序的话,我们就能够去得到一个啊。
root用户的这样子的一个外壳,就这样子的一个shell是吧,以及还有就是收do,就我们如果说你有so do的这样子的,一个权限对吧,你可以通过so do,来得到这样子的一个s h的一个系。
那我们收对话就是一个root的一个权限嘛,等于就是说我们一个note的一个权限,去执行了一个s h,然后的话就得到了一个root的一个啊,需要我这句话就以这个为例子,就给大家大概的介绍了一下呃。
他这边的这样子的一些组成的,以及就是呃就大家看不懂英文的话,就是翻译一下嘛是吧,以及就是大家碰到一些错误啊,就是大家再去啊执行一些命令啊,以及去安装软件对吧,有碰到这样子这些错误。
像一般的话在进行审面的话,都是用的英文的是吧,然后的话这些英文的话,其实这些报错的一些信息,其实你的一些解决方法,那就包含在了他的一些报错信息当中是吧,然后如果你看不懂英文的话,你就把它抠出来嘛。
然后翻译一下嘛,翻一下之后的话,你至少能够去大概的知道它是什么意思对吧,然后的话你就能够去进行一个尝试了,就是啊提一下,就是大家大家去解决这样子的一些,方法的一个思路啊,也其实也是一个就是解决自己问题。
以及去自己去学习,相应的这样子的一些知识的一个思路啊,就大家养成这样子的一个习惯,然后在这边的话,就是呃他这边有列举了很多的这样子的一些,million啊,他在这边有这样子的一些标签。
像比如说shell shell的话,也就是像我们在这边就是这个share对吧,就等于就是说如果说他这个程序,它有这样子的一个标签的话,那么他可以去得到这样子的一个外壳。
也就是得到这样子的一个需要环境对吧,i i的话就是come on的话就是执行命令以及呃,revise的话就是反弹系等等的,还有s u i d,就是如果说这个程序,它有一个s u d的一个权限。
我们可以利用它来做什么,然后他在这边的话就已经懂详细的列出来了,就是它的一个使用方法是吧,像比如说它是有收do的一个权限,就我们可以用so do来去执行这边的这个,比如说这个sp对吧。
那么我们就可以通过这样的方法,速度加这一个s p n,然后的话执行这样子的一个e s e c,来去得到这样子的一个batch的一个shell,然后在这边得到了这个bish shell的话。
它其实是一个root的一个选,就是它是因为我们执行这个cp n的话,cp n的话它是一个root的一个循序执行的对吧,以及还有等等的,像在这边可以去防弹,谢尔他在这边的话就列举了这样子的一个实例。
我们可以直接去进行一个呃,可以直接呃去进行一个使用,然后在这边的话呃,为什么要去给大家介绍这一个呢,就是我们结合我们在这边通过收do gul,所收集到的这样子的一些信息,就是我们在这边搜都改啊对吧。
我在这边的话就有这么多这一些可执行,呃就是我这边对吧,我通过收do干扰这个命令执行之后,我在这边的话获取到了这样子的一些啊,命令的话,我是可以通过收do这个工具去进行一个呃。
用note的一个权限去执行的对吧,那么对应的这些成二进制的一些程序,我们怎么去进行一个利用对吧,你可能不是很清楚对吧,那么我们就可以把它抠出来对吧,我们放到这个项目当中来找到这样子的。
像比如说这个a s h,也就是我们刚刚我刚刚给大家介绍了,它的这样一些作用是吧,好在这里的话我们是so do,我们能够去用so do的一个权限去执行,对,那么对应的在这边的话就找到这边的一个收入。
我们有这样子的一个收入的一个群啊,能够去用收录这个工具去执行的话,我们如何去进一个利用,就这边我们可以通过收do加,这样子都要a s h,so do l加s h。
然后的话得到了这样子的一个i s h对吧,好在这边的话呃,我在这边的话就是呃提个问题,就我这边的话,我执行a s h对吧,我在这里的话能够去得到这样子的一个呃,shell的一个外壳对吧。
那么我当前执行的这个s h,然后我当前得到这个外壳呃,是什么样子的一个权限,又有谁能回答一下,能看得清吗,就我当前我这边执行一个s h对吧,然后的话我得到这样一个需要外壳。
我当前的这个权限的话是什么样子的一个权限,就是什么哪一个用户的权限是note用户,还是这个bb的一个用户,有知道的同学回答一下吗,知道的同学扣一,不知道的扣二,呃每一位同学知道吗,好吧,那我们继续看。
就我这边执行s h对吧,然后这边这个的话其实毫无疑问嘛是吧,我们执行贩卖我当前的话就是一个bob,因为我当前是一个bb的一个用户啊,我以一个bob用户的一个权限,去执行这个s h对吧。
那么我得到的对应得到的这样子的一个shell,不就是一个bob用户的一个shell嘛对吧,这个应该好理解吧,这这你能理解吗,就就跟这边就不就不就是跟我这边之前,s h对吧。
那我这边之前s h得到这样子的一个,小小的一个外壳,我当前的一个啊用户的一个权限是什么呢,现在知道了,那肯定是报表嘛对吧,因为我是一个报表的用户去执行的嘛,那么我现在用so do对吧,我这边我这边的话。
它是能够用收入去进行一个执行的对吧,那么我在这边通过so do来去执行这个s h,我当前这边得到了一个用户的一个权限,就我这边得到这个小小的一个外壳,的一个权限是什么,有同学能回答一下吗,root。
out嗯好的对了,那大家还是理解了是吧,没错就是root,就说我在这边的话,so do对吧,就是其实这边的话就是大家理解,收入这个工具啊,它的一个作用对吧,我在这边我也能够用收入去执行对吧。
然后的话收入的话它是能够去进行一个提前的,它是一个提前的一个工具,然后的话它会以一个root的一个权限,去执行这边的一个命令对吧,那么他在这边的话,以root的权限去执行这个s h的话。
那么我在这边得到这个小外壳,不就是root的权限吗对吧,也就是我通过这样子的一个方法,我就简单的进行了一个提取,就得到了一个root一个权限对吧,你会发现是不是很简单,就是说他这边的一个呃。
它它这边的一个漏洞,或者说是一个权限的一个配置的一个缺陷,就是说他在这边他配置的这样子的,用收入的这样子的一个权限,他给了这样子的一个s h,那么我们就可以用收do来去执行。
这样子的一个s h来得到一个note的一个权限,以及同理的话在后面后面在这边还有其他的,嗯还有其他的这样子的一些变量对吧,有这么多像我们常见的bin bash,bash的话,它同样的也是一个外壳嘛对吧。
那么我当前我之前半血的话,我得的还是一个bb嘛是吧,那么我它可以用收do来提权,那么我收do bh的话,我这边的话就得到了一个root对吧,以及还有就是啊s h。
还有cs i c s h等等的这样子的一些,就是希尔的这样子的一些呃,这些就是能够去得到需要外壳的这样子的一些,linux的二进制的一个程序,然后其实如果你不知道这样子的一些呃程序。
它的一个利用的一个方法对吧,我们就可以把它扣过来嘛,扣到这边来,我们以这个同样的以这个bh为例对吧,bh这边的话你会发现就有这么多的一些标签了,像法兰西尔对吧,以及shell的一个外壳啊。
对应的shell外壳的话,我直接执行bh,我就能够去得到这样的一个shell外壳,以及能够去反弹shell,反正cl的话这边的话就不用多说了吧对吧,前面已经花了很多的时间给大家介绍。
这个就呃重点的介绍了,就linux下面反弹需要的这个bh,下面的就通过这样子的一个方法对吧,以及还有就是呃像文件上传,文件下载等等这样子的一些,他在这边的话有列举了这样子的一些实力,大家自己去看好吧。
然后呃我们在这块主要就是看这个收do对吧,就我当前的话是收do嘛对吧,我能够用收do来去进行这样的一个操作,那么我的一个操作的一个方法就是收do。
加这个bh我就能够去得到一个root的一个线。
同理其他的也是一样的,好呃介绍了就是说介绍了这个so do gul,以及就结合我们这边的这个项目啊,第一个使用下面的话,我这边的话就以一些啊,实际的一个例子给大家来展示一下。
就是说我们如何去利用它的这样子的一些,滥用的这个收入的一个权限来去进行一个提权,首先第一块就是前面说的这个对吧,然后第二个话就是这个awk就在这边的话,这边可以看到这边他同样的有这个a的。
a w k的一个命令对吧,那么我们把它拖过来。
拖到这边来就是这个对吧,找到这一个so do so do。
这边的话我们可以怎么去利用它呢,就这里这边他命令他命令都已经给出来了。
我们直接call过来,好的话,在这边来去进行一个执行,然而我通过执行这个命令之后,得到了这样子的一个shell的一个外壳对吧,然后我来查看一下当前的一个权限,就是一个root的权限。
然后这边的一个面的话,就是利用这个aw k的这样子的一个文本啊,文本的一个处理器啊,文本的一个处理工具处理命令,然后的话他这边的话是他的这样子的,相应的一个语法,然后其实主要就是在这边对吧。
他在这边的话,我们可以去通过调用这个system来去执行,在这样子的一个bbs,啊必须。
然后的话呃,呃这边还有一个例子,就是用这个aw。k来去进行一个啊,文件的一个读取,就读取文件,然后在这话就是以这样子的一个需要的,这个文件为例,就是我们正常的话,对我们正常的话。
普通用户是没有全新去只去去读取这个文件的,对吧,那么我们在这的话可以利用这个aw k l,我们在这边像这个awk,文件的firead就是文件的一个读取对吧,诶,他这边表示怎么跟我不一样呢。
直接这样可以读吗,试一下,哦可以读啊。
就直接通过这样子的一个方法就能够去读啊,这样子,然后呃我这边还是通过这这一个方法,就是同样的也是用aw k嘛,然后的话在这边的话,就是我这边只输出的就是print,输出第一列以及第2年。
然后的话这边的话指定这个文件,然后其实达到了一个效果的话,就是跟他在呃类似的。
然后主要的话就是在这边,在这边的话我们执行一下,就是我只要那个用户以及密码是吧,我只列出。
对吧,在这边我只出列出了第一列以及第二列,就第一列的话就是用户嘛对吧,第二列的话就是用户的一个哈希嘛,因为是在需要的是文件当中嘛对吧,然后我只要第一列以及第二列那个内容,然后现在这边的话就是他啊。
列出了这一个shell文件所有的一个内容,就是呃通过aw k的这样子的一个,文件的一个读取,以及还有就是文件的一个写入,这边的话我就不演示了,就是可以看这边对吧,然后呃还有的话就是cr c o r l。
就cl的话也是我们常用的暂定,下面就前面在讲那个文件传输的时候,我们可以通过cl来去进行一个文件的一个下载,对吧啊,呃同样的cl的话,它也能够去读取本地系统的这样子的一个文件,像比如说来看一下对吧。
首先的话就是一个文件的一个上传,我们可以通过这样子,就cl的话有这样子的一个pose的一个方法对吧,我们可以通过啊这个pose的方法来去,把我们的一个数据,把它给传递到指定的这样子的一个url当中对吧。
就给一个指定的一个网站,以及能够去进一个文件的一个读取,就读取我们的一个文件,通过杠小写的o,把就是下载了这个文件,保存到我们本地指定的一个目录是吧,还有文件的一个读取,文件读取的话。
在这里他就利用了这个file协议,就我们的这个法尔协议的话,就是用来读取我们本地的一个本地,文件系统的一个文件的,像比如说呃我们可以通过ucl干,对,就我通过这边的这个file协议。
能够去读取我本地的这样子的一个etc password,这样子的一个啊文件的一个内容,然后的话我尝试读取消的,然后在这的话可以看到就是不能够去打开这啊,这边写错了,这样的话是打不开这样子的一个文件对吧。
因为在这边的话它没有权限,是一个普通用户端,然后这句话,如果说这个cr,我们可以用收据来去进行一个执行的话,那么我是可以去读取本地的这样子的一个啊,这个root用户才能读取的一个文件的。
呃以及最后的就是我们常见的这样子,一个fd fd命令就放,等命令的话,我们我们前面有介绍,我们通过方案的命令能够去查找,就是说它是一个就紧锁我们文件系统,我们啊指定的这样子的一些文件的对吧。
就是用来去做文件的一个检索,以及查找的这样子的一个命令,然后在这边的话,我们可以通过这个方案的命令,来去进行一个提权,就是主要的话就是利用到它的这个杠e x e,杠e x e c来去执行这样的一个命令。
就是说他再去找到这样子的一个呃,找到这样子的一个,通过方案的命令去找到我们呃,文件系统当中的一个文件的时候对吧。
他会去执行这样子的一个命令,然后的话就会去得到这样子的一个线,我们来看一下,对,好吧,得到一个note一个选项,然后现在这句话主要的话就是用的这个干e x,e c的这样子的一个选项,呃。
这边的一个命令的一个意思的话就是我放的吗,放的点的话就是当前目录嘛,就是我从当前目录开始查找,然后的话找找的话就是呃我当前目录去查找,然后的话找到,然后的话加这一个选项的话。
就是他会去执行这边的一个bh,然后干q的话就是找到之后的话就退出啊,也就是我通过放的话,放着这样的一个查找,因为在这边的话,加目的话是他的一个命令的格式,所以的话你需要去加这样子的一个那个。
可以来查看一下这个。
这个发展命令的一个选项就是,呃他这边的话。
啊我这边不早了,就是就是在这一个刚刚e x,e c这个选项后面的话,我们可以去接我们的一个命令,就是他查找之后的话,我们可以去执行命令,然后的话如果他能够去用深度去进行一个,查找的话。
那么我就能够去得到这样子的一个root的一个小,以上的话就是呃关于这个收do的这个权限,的一个滥用,所导致的这样子的一个提前的,这样子的一个一些方法,呃大家能理解吗,就是第一部分的一个内容。
呃先休息两分钟吧。
P75:第44天:权限提升-SUID提权 - 网络安全就业推荐 - BV1Zu411s79i
好我们继续啊,呃大家关于第一部分的这个收do,滥用权限的一个提前的一些方法,大家能理解吗,理解的在讨论区扣个一,不理解的扣二,是是是有有有延迟吗,我我怎么感觉是不是有点延迟,我这边说完话。
然后大家总是要就是过一会才有回应啊,啊应该是没有问题的对吧,应该讲的讲的应该挺详细的,然后下面他就是第二部分的一个linux的一个,定时任务的一个提前呃,关于这个定时任务的话,就是在讲题群的时候。
我们先来大概的了解一下,就是什么是这个电池任务啊,就linux下面的一个定时任务,就这一个cortable,那前面在讲信息收集的时候对吧,有对这个定时任务的一个信息的一个收集对吧,然后嗯。
同样的我们想要去去利用他的这样的一个题型,对吧,我们同样的需要去对这样子这个定时任务,去进行一个新型的一个收集嘛,啊好,那么我们就需要去了解这个cortable,这个电池生物,它所对应的这样子的一些。
像比如说它系统的一个电池任务的一个文件,它是在哪对吧,以及用户的一个电池生物,它的一个文件在哪啊,我们需要去在这样子的一些目录下面,去查找到对应的一个定时任务的一个配置,然后这边的一个ktable的话。
就是linux下面的一个电视人物啊,就是它的一个守护进程,大家理解什么是电池任务吧,就定时任务的话,就相当于就是嗯相当于就是一个闹钟对吧,你定你每天早上定一个闹钟,八点钟的。
那么你每天每天早上的八点钟他就会去,他就会想对吧,那么就是每天他去想的这个时间是八点钟对吧,那么我们就可以去试,我们设置闹钟的话,就需要去设置时间以及设置它呃,到了这个时间之后的一个行为对吧。
也就是呃也就是闹铃嘛对吧,或者说设置播放什么样子的一个歌曲对吧,那么在这边的话,这边的一个ktb的一个电池的话,那么我们需要去设置啊,哪一个时间就是到了这个时间之后的话,去执行对应的一个命令对吧。
就是去执行这对应的一个任务嘛,然后在这边的话要去了解的话,就是这样子的两个目录啊,就系统的一个定时任务,是在这这样子的一个文件当中。
我们可以来看一下,像比如说在这边的话,我们可以通过c t来查看一下这个cotable,这个文件对吧,然后这边的话就是我们的一个系统,用户的这样子的一个定时任务,然后在这边的话我们可以看一下。
就是有这样子的一个电磁炉,就这个,然后在这边的话它的这个定时任务的话,就是像这样子的一个呃这样子的一行啊。
然后关于这一行的话,我们来理解一下,就是说他是他这样子。
他为什么是这样子写的对吧,他这样子写的一个作用是什么,就是大家看一下,这边就这边的一个空空table的这个定时任务,它的一个格式是这样子的,就是我们可以看到,我们可以看到对吧。
就在这的话它有这样子的一个新号,这边的这个新号的话,就是代表了就是有这样子的,123455个星号就代表了分时日月周,也就是每分钟每小时,或者说几分钟几小时,几天几月几周对吧。
然后command后面的话就是接mini,然后在这边他就是呃详细的对吧,就是第1年就是我们知道分钟的话,就是1~59分钟嘛对吧,好的话,每分钟的话可以用心来去表示,或者说用心干一。
这边的干一的话就是表示频率嘛,就是你每隔一分钟他会去执行这边的一个命令,如果你这边是二的话,那就是每隔两分钟对吧,然后还有就是小时日期等等这样子的一些呃,然后在这边的话这边实际的一个例子对吧。
我们来看一下,就在这里的话就是它会每隔一分钟,然后的话去执行这边的这一个命令,执行这边的这一个目录,下面的这个back up的这个命令对吧,然后在这边的话有这样子的,中间在这边跟前面稍微有点差别对吧。
就在这边有这样子的一个note这边的这个root的话,就是说它会以一个root的权限去执行,这边的这个命令,也就是说这个电池任务的话,它是一个note的一个权限去执行的。
呃呃如果说你想要以其他的一个用户,像比如说你想要,你想要一个普通的用户去执行这个程序的,那么你就可以通过这样这样子的一个方法,来去做一个设置,然后还有的话就是用户的一个电池的话,也就是呃我们的。
一些普通的用户对吧。
用户的一个电池,用户的话在这个下面on table啊。
不是,在这样子的一个目录下面,然后在这个目录下面的话,它会有这样子的一个,啊我这里没权限就行,啊我这边的话没有权限,就是说在这边的这一个目录下面,那个是怎样,啊不好意思,有人因为我在家家里这边讲课。
刚刚有人敲门,然后的话就是说在这边啊,这一个目的就是用户的一个电池的话,也就是他在这个目录下面的话,如果说你是bob用户,我这边的一个bob用户,我,我在bob用户下面有去创建这样子的一个。
定时任务的话,那么他会在这个目录下面,它会有一个以bob用户为名的,这样子的一个文件夹,然后的话在这个文件夹下面的话,就是写的记录着我们的一个定时的一个任务。
然后我们可以通过这样子的一个on table杠l,来去查看,当前用户下面的,是否有这样子的一个用电池的话,然后我们从这个文件夹这边也看到,他没有这样子一个bob的,而当前的一个boss用户的话。
它是没有没有设置电池任务的。
然后的话在这里的话,我们通过在系统的一个定时任务当中对吧,这个文件夹的这个文件当中,又找到了这样子的一个电磁炉对吧,而且它是一个note的一个用户去执行的一个,定时任务对吧,就这个。
那么我们如何去利用它呢。
啊首先的话我们需要去搞清楚,就说他执行了这样子的一个电池任务。
它是它是干嘛的对吧,我们可以啊,就是这个,我们可以呃cd到这个目录下面,然后的话它有这样子的一个,look up,还有一个这样子的一个back up的,这样子的一个文件对吧,好的话。
我们可以通过cat来查看一下它的一个文件内容,对吧,我们要了解清楚它执行的这一个程序,它是干嘛的对吧,我们才能够去说有方法,或者说找到方法去尝尝试去利用,对好,在这边的话我们查看它里面的一个内容。
它是一个这样子的一个bh的一个脚本对吧,然后这是它的一个脚本内容,他这边的一个脚本内容的话。
我们来分析一下,是这样子的对吧,然后这里的话前面的这部分就是一个for循环嘛,就是for i in对吧,这种的话应该大家应该都都都理解对吧,大家都是学计算机专业的话,这种的话应该很好理解。
就是一个for循环吧对吧,然后在这边的话,for循环这边音的话,就是说它会这里这里有一个n的这样子,一个变量,然后这边的话他括号里面的话是执行的,这个l s的这个后杠home对吧,然后其实这一部分的话。
其实就是啊这边l s干home执行的一个结果对吧。
我们来可在这边执行一下啊,scar home执行之后的一个结果,它就是有这样子的三个对吧,那么在这边的话就是它会把i这个变量对吧,它会把这边执行的这个结果它会分别的付给i。
这个值,也就是分别就是bob peter susan,然后的话挨着的话,i的值话就分别等于这三个嘛对吧。
它会它会付给他,然后的话但就是它是一个循环嘛对吧,他会做这样子的,就是当比如说i等于这个bob的时候,对i等于这个bob的时候,它会do对的话,就是cd到这样子的一个干home,就是把呃多了。
i也就是进入到这样子的啊,比如说我当前的话是得了是一个bug对吧,那么这边i这边的话就等于抱抱吧,然后在这边的话就执行了,cd到这个bob这个目录下面对吧,然后的话执行了这样子的一个命令,就是变态的话。
就是在闭幕下面找到这个tag程序对吧,他的话就是我们的一个压缩的一个程序嘛,解压缩的一个就压缩啊,我们的这样子的一个压缩包的这样子一个命令,然后呃在这边他就是呃压缩了这样子的一个。
这一部分对这一部分的话,就是说他通过他这个命令把这边当前目录,然后注意的话这边当前目录是在这里啊,就我们先cd到了这个bob这个目录下面对吧,然后cd到这个bob下面目录下面之后的话。
这边用了一个通配符星,关于通配符的话,这边大家大家了解吗,就理解吗,通配符,像我们这边的一个新就是我们linux linux上面的话,通常会常用的这样子的一个新的一个通配符。
对吧,大家了解吗啊不了解的话。
我这边有一个例子来看一下是吧,就比如说我这边,我这边对啊。
比如说我这边我这边的话,当前有这么多的一些文件对吧,有这么多的一些文件,然后的话我想要去把这边所有的这些文件呃。
或者是说把这边以v b s结尾的,这样子的一些文件对吧,你这边以顶v b s结尾的这样子的一些文件,把它给copy到这样子的一个啊temp目录下面对吧,那么我的一个命令的话通常是怎样的对吧。
就是cp新嘛,然后点这样子这个vbs,然后到cap目录下面对吧,好我们可以在这个探索目录下面看一下,就是多了这样子的一个1234,这四个vbs的一个文件对吧,那么这个命令它是怎么去找到。
这样子的四个文件呢,就是利用的这样子的一个新的一个通配符,这边通配符的一个意思的话,它就是会有这样子的一个就是模糊查询,就是他会去我当前的话在这个目录对吧,当前这个目录下面的话有这样子的一些文件。
这些文件的话我这边新点vbs,就是新的话,他首先他会去找到这样子的一个点v bs嘛,呃,就是以点ub s结尾的这样子的一个文件,然后的话新这边的话他不管就是不管前面。
不管点vbs前面它是什么样子的一个内容,只要它是以点vbs结尾的这样子的一个文件,那么它都会去执行,它都会copy到这样的一个探路,然后其实它是这样子的一个过程,就是我这个通配符。
我cp他首先会找这个文件检索这个文件,看它是不是符合我这边的对吧,就是它是以顶一边时结尾的,他不是对吧,然后找第二个这个二等于b s,然后它是一个等于b s结尾的,然后前面的这一个它是二。
然后这一部分我们不用管,因为它是就是呃模糊查询嘛对吧,它不,它不是像我们的一个精确的去找到某一个文件,然后他会去一的去进行一个检索,然后的话匹配这边以点vbs结尾的,这样子的一个文件。
然后的话他会去分别的去执行copy这个命令,把它复制到这个tap目录下面,现在应该能理解吧对吧,以及我们以及我们就是我想要copy当前所有目录,下面的一个文件到这个tab目录对吧。
我我的一个面积就是像这样子嘛,cp新是吧,而我不可能说我不可能说我一个一个文件的去,就是我一个一个文件,像比如说cp 10点cp,然后到temp,然后的话下一个文件的话就是2。1b s。
这样这样子去copy对吧,这样子的话就是呃,没有任何效率的一个方法对吧,我们通常会用这个通配符星,然后在这边的话,他就会去把单节目下面所有的一个文件,它都会去紧锁,解锁之后的话。
他会去执行一个copy的一个命令,然后的话复制到tav下面这边。
这我这样讲的话应该能理解吧,大家都没有点没点反馈啊,就就其实,呃就我我一般的话我会我首先会问大家,就是大家对这个了解嘛对吧,就是如果你了解的话,或者说大部分同学都了解的话,我就不会去细讲了啊。
如果但是你们不你们不回应我的话,我不知道你们就是有没有两脚,就所以的话我这边的话,就是我我可能的话,就是就觉得大家不了解这个东西,所以说所以的话我就会给大家就讲的比较细嘛,对吧,但是如果大家都了解的话。
我就没必要去再讲这个东西了,所以的话还是我问大家的时候,大家给我一点反馈的吧,就是就节省一点时间好吧,然后的话呃,就是这边的话就是这个电池任务的一个意思啊。
对吧,然后在这的话他就是他会去分别的去报本目录,以及在这边。
以及在这边啊p层目录。
还有苏省目录下面去做一个压缩,就是把它目录下面的所有文件都做一个打包,打包到这样子的一个目录下面,etc back啊,back up这个目录下面,然后的话它的一个名字的话就是home干啊。
以他的一个呃用户名为名的这样子的一个,tgc的一个压缩包对吧,然后其实这里的这个定时任务的一个作用的话,就是他每隔一分钟他会去啊这个用户目录下面,去把它下面所有的一个文件做一个打包对吧,像这种的话。
应该也是比较常见的一个操作了是吧,就是备份你的这样子的一个用户的一个文件嘛,就是你用户文件的话啊,就是你每次你每次的每次都这样子的一些更改,一些数据的话,他都会去做一个打包。
然后的话备份到啊指定的目录下面。
然后这边的话就是它的这一个电池,任务的一个作用。
那么针对这样子的一个电池的话,我们单从这样子看的话,它其实是没有问题的对吧,是一个比较正常的,很正常的,这样子的一个就是啊备份的一个定时任务嘛,对吧,那么它的一个问题它是出在哪呢。
就是我们如何去利用他的这样子的一个,电池任务来去达到一个提权的目的呢,就是我们下面要讲的,好像在这边的话,其实它的一个问题就出在于这一个呃心呃,这个新的一个通配符啊,就是我们这个通配符的一个注入。
关于这个的话,大家可以去看看一下这篇文章,嗯嗯嗯就这一个他这篇文章的话呃,很详细的介绍了,就是说linux下面的这个通配符的一个注入,以及我们如何去利用它,现在这边的话他也介绍了这个。
他的一个通配符的一个注入方法,就通过这样子的一个电池任务,然后其实他的一个问题的话,他就是这边的这个啊新的这个通配符啊,好,我们可以去注入我们自己的这样子的一个命令,以及选项。
然后呃具体的一个应用方法的话,就是我这边的这边列出来的,这个就这三条命令,就能够去达到这样子的一个提前的一个目的啊,在这个话我分别给大家,就是我们分别一起来看一下。
我这边命令的一个意思,首先的话就是echo这边的这一个关于这里的话,应该不用我多说了吧对吧,大家应该都熟悉了,这边他就是一个反特希尔的这样子的一个,命令嘛对吧,然后的话它是就是nc。
就是nc没有杠一这个选项的这样子的一个呃,这样子的一个方方式对吧。
利用的是这个make make f i f o的这样子的一个呃。
这个命令,然后呃其实我们在这边的话,nc这边的话它是有nc这个命令。
但是他这个nc这个命令的话,他就有这样子的一个情况,就他没有杠一的这一个选项对吧。
就我们前面的话有介绍。
就是nc如果有杠一这个选项的话,那么我们可以直接nc。
然后的话直接干预嘛,就是nc到指定的那个ip端口。
然后的话把我们的一个需要环境,把它给做一个重建项对吧。
然后在这边的话它没有杠一选项的话,就用到我们前面讲的,就是没有杠一的这个选项的,这样子一个反弹需要的一个方法,然后这边的话是把它写入到这个shell,点s h的一个shell啊,一个文件当中对吧。
然后的话第二个的话就是echo,然后的话加了这样的一个输入的一个重定向,而这边echo前面的话它没有东西,也就是呃eq为空,也就是它像这样一个文件当中,他写了一个空的一个呃内容对吧。
其实就是相当于就是创建了这样子的一个文件,然后这个文件的话它里面内容为空,就这两,然后的话呃还有的话就是这个跟上面的话。
这边的话是一样的,就是他创创建这样子的两个文件。
然后命令的一个之前的一个效果的话,就像这样子,就是在这里分别的话,就创建了这样子的三个文件,首先第一话就是这个c2 点s h这一个,然后在这的话我就写入了这样子一个反弹,希尔的一个呃命令对吧。
然后我这边反弹的话是反弹到了这边啊,其实在这边的话,我这边的话其实已经得到了呃,等会的话再重新来给大家看吧,然后呃,还有的话就在这边有创建了这样子的两个文件,对吧,就是,嗯应该是com对吧对。
呃在这边的话,在这边话是不能通过这样子的一个方法去查看,然后其实在这边的话,你会发现我在这边通过cat这个命令,去查看这个文件对吧,他会发现就是它的一个报错,就是unrecognized option。
也就是他没有找到这样子的一个选项,就是说选项是什么意思呢,就我们cat这个命令对吧,我们看的这个命令的话,它会有就是对应的这样子的一些参数选项对吧,就啊这边的这些option嘛对吧,这一些。
然后他在这边的话,我们通过这样子的一个方法cat这个文件的话,他报的是没有找到这样子的一个选项,这个然后的话也就是说我这边的话,本来是我要去cat这个文件的对吧,我们看,对吧。
我们来看一下这个它是一个文件的对吧,它是一个文件,本来的话我是要cat,就是查看这个文件里面的内容的,但是在这边的话,他把我这边的一个文件的这一个文件名,把它作为了一个选项对。
然后呃我这边的话再引另一个例子为例,比如说我在这一个tap木下面,创建一个这样子的一个文件,就是gank help对吧,就这边gank help的话,我们可以看一下,就我这边的话就这一个嘛对。
然后你会发现有这样子的一个效果,我这边的话创建了这样子的一个文件对吧,然后就是这个刚刚help的这个文件,看一下它是一个文件,然后我在这里的话,我想要通过cat来去查,来去查看这个文件的一个内容对吧。
这样应该可以看,还是不行啊,我通过这样子的一个方法,cat来去查看这个文件的一个内容对吧,然后你会发现的话,在这边他不是查看的文件内容,而是他把我这个文件的文件名,作为了他的一个选项。
也就是跟我们前面这边cat刚刚help的这个mini,它是一样的是吧,然后其实是我的一个目的的话,他是要去查看当前的这个gk号的这个文件。
但是他在这边。
他把我的这个文件名作为了一个选项,然后的话执行。
然后在这边的话其实也有利用到了这里的,这一个就是我们通过构造这样子的啊一个文件,然后的话其实主要的话就是利用了它的,就我上上面啊,我刚刚所演示的那样子的一个效果,然后在这边的话实际的一个。
呃实际的一个neo就是这样子的两个选项,就是主要的其实就是这个check point action的这个选项,然后这个选项的话就是它的一个作用,是用于指定到了检查点时将要执行的一个程序。
然后它将允许我们运行一个任意的一个命令,其他的我们都不用管,我们只只要知道就是说这一个选项,后面的话我们可以指定,我们就是指定我们想要去运行的一个,任意的一个命令,那么我们在这的话。
我们就可以构造这样子的一个干干check point,然后后面的话我们可以接这样子的一个,就是它的一个语法,就是干等于e x e c,然后的话下下点s h,然后这边的这个选项的意思的话。
就是他会去执行我们这边的一个,就是通过e x e c的一个方法,去执行我们这边的一个啊shell脚本,也就是执行我们这边的这个,然后在这边的话,我们是通过创建了这样子的一个文件的一个方,法对吧。
那么我们呃他的这样子的一个定时任务,他们是怎么去进行一个,就是说我们如何去利用它这个电池任务,来去进行一个提前的呢,就是我们来捋一下,就捋捋一下它的一个定时任务。
他在打包,我呃,他在做一个打包的这个操作的时候的一个过程。
首先的话我当前的话是在这一个呃,我当前的话是在这个bb的这个用户目录下,面对吧,因为我当前的话是一个bob用户嘛,所以的话我的一个加密就是home bb嘛对吧,然后的话我当前是在这个墓。
那么它的一个电池任务,他在啊打包的时候对吧,当这个i当这边的这个i,等于bob的时候,那么它就会进入到这个bb用户目录下面。
去打包我当前的所有的一个文件对吧,然后他执行的命令的话,就是他呃,当前新的话,就是它其实就是在我当前的这个目录下面。
执行了这样子一个面。
对吧就是执行的这样子一个命令,然后的话他是把我当前的所有的文件,也就是这边的这些所有的一个文件,它通过time命令做了一个打包对吧,那么实际的话在这边新这个通配符的话,我们前面也讲了。
它是会有一个这样子的一个模糊的一个紧锁,它会检索当前目录下面所有的这样的一个文件,对吧,那么实际的话他当去打包这个bob用户的时候。
他实际执行了一个命令,它其实是这样子的,就这边。
咳咳对吧,它实际执行的话,就是说我们的一个新的一个通配符的话,它其实就是检索到了我这边的这些文件吧对吧,就是我这边的这个新的这个通配符,它其实就是检索到了我当前目录的这样子,这三个文件对吧。
123这三个文件,当然如果还有其他文件的话,就一样的嘛,就是往后面加嘛,好的话,他检索到这些文件的话,它会去把我这边所有的文件做一个压缩对吧,压缩到这个文件当中,那么其实完整的一个命令的话,就像这样子。
就是这样子的一个命令对吧,那么在这边的话,我们就用到了前面的这样子的一个呃。
它的一个特性就是我们,嗯嗯就我们,嗯哪,所以我们在这里啊对吧,我们这边cat这个命令去执行,去执行,或者说去查看这个烂节目录下面。
这个文件的时候,它会把它作为一个选项对吧,那么在这边也是同样的嘛,就他这个命令它把它压缩到这边,然后的话他在这边的话,同样的是我们的一个选项,就他要把我们这边的这个文件作为一个选项,以及这边他也是。
那么它作为一个选项的话,就是他在这边他会他当加载到这边对吧,他会去执行我们当前目录下面的,这个需要点s h的一个文件,也就是执行我们这边一个反弹希尔的这样子的,一个这个shell文件对吧。
那么在这边他执行这个shell文件的话,它的一个效果是什么呢,就是反弹一个shell吧,反弹到我们这边的这个ip对吧,然后的话大家还要注意的一点的话,就是我如果说只是单纯的。
就是在当前用户下面去执行这个shell点文件的话,我虽然反弹的一个shell,它是我虽然能反弹shell对吧,但是他得到了一个shell,它只是一个当前用户的一个权限对吧。
而不是说我们想要的一个root用户的权限对吧,但是的话他在这边的话,就是说他的这个定时任务的话,它是一个root的一个权限去执行的,就是说他每隔一分钟,他会以root一个权限去执行这个程序。
然后这个程序的话它执行的话,它同样的是一个root用户去打包,我们这边的一个文件的对吧,那么他在打包这个文件的时候,它是以root权限去打包的,也就是说他在执行到这边的时候。
它是以一个root的一个权限去执行,我这边的一个需要点s h的一个文件的,也就是我他会以root的一个权限去执行,我这边的这个命令,以及反弹一个note的一个shell给我们。
就是像这样子的一个效果。
再看一下,我这边断一下,然后,而我当前目的话已经呃已经写好了嘛对吧,然后只需要在这边做一个精听,我这边进行一下我的6789的一个端口,然后的话在这边等他定时任务,就等他一分钟对吧,等他一分钟。
他会去压缩我我这边目录的一个文件,那么他就会去执行我这边的这样子的一个下定。
s h的一个项,然后我这边就能够去接收到信号,这边的话要等一下。
等待时间的话,我们先继续看后面的。
那么呃在这边的话,就是呃我在这个话就是使用的这一种方法对吧,就是我首先写一个c2 点s h对啊,这样子的一个shell的一个脚本对吧,然后的话通过这样子的一个check point这个选项。
然后他去执行这边的一个shell文件啊,然后的话同样的,我们这边的这一个需要点s h的一个内容啊,对吧,我们前面这边的一个内容还是反弹一个shell对吧,我们也可以通过这样子的就是写一个。
就是说把我们这边的这个内容,把它写入到我们的一个sodas文件当中,就呃因为我们如果说我们前面的这样子的。
一个操作的话是正确的对吧。
就是说他能够去得到这样的一个root的一个权限,那么我们在这边的话。
他去啊执行我们这边的一个需要点s h的,这样子的一个文件的时候,它会以note权去执行,也就是他能够去啊,以note权限,去往这个soldiers文件当中去加这一部分内容。
对吧,这一部分内容的话就是我们前面也讲了对吧,就它能够以root的权限,而且它不需要去输入密码,去执行任意的一个啊所有的一个命令,注意的话这边是有空格的,就是而且的话他的这个no password的话。
这边是有一个冒号这样子的一个格式,也就是说我这边的话加入到这个,sodas文件的话,我就可以通过sodas的这个工具对吧,就是在bob用户下面能够以搜到这个工具,去得到一个root的一个权限。
以及还有的话就是通过这边我可以写入,这样子的,就是一个权限去执行这样子的一个,就是给find命令加一个s i,s u i d的一个权限对吧,然后的话我们就可以通过前面的这边的一个啊,find。
通过前面这边的find,以s u i d的一个方法来去进行一个得到呃,就这两对吧,得到一个root的一个s h的一个线。
就是啊给大家扩展一下另外的一些思路啊对吧。
就其实就结合了我们前面所讲的一个内容对吧,我们可以通过这样子的一些方法,来去得到一个note的一个权限啊。
然后的话在这边应该就是差不多一分钟了对吧,在这的话我就得到了这样子的一个接收,到了这样的一个小编s h的一个shell对吧,然后他的这个小小的话,它是来自这边的一个78。38,也就是这边的这个机器。
那么我们在这边的话我就可以啊,直线或卖,可以看到当前的话是一个root的一个用户。
说明的话,我我们这边的话是呃。
成功地达到了一个提权的目的,然后呃效果的话就是像这样子最终的一个效果,然后呃以及的话就说关于这个linux定时任务,提前的,有相关的这样子的使用,就是这样子的,one hub的这个靶场。
大家可以去那个我们在一个实验室上面去做啊,然后大家也有vip,有会员做,这些话都是免费的。
呃呃建议大家去做一下,就是在这里的wahab的话,它是一个靶场,它是一个实战的一个靶场,然后他这边的话大家可以照着指导书做,也可以自己先尝试自己做是吧,他这里面的话它是一个重要性的一个东西啊。
就是他啊涉及到了,就是我们呃渗透测试相关的,这样子的一些内容吧对吧,首先的话就是信息收集对吧,通过给定的ip端口找对应的服务的一个漏洞,然后通过相应的这样的一个漏洞来去得到,需要得到稀有之后的话。
还有相应的一个提前对吧,然后的话结合我们msf的对应的这样子的一些,应用的一个方法是吧,得到需要之后的话啊,通过提权,然后在这边上,就是他这边也是通过,就在计划任务当中找到了这样子的一个定时脚,本。
有定时任务的一个脚本,然后通过这个脚本,它的一个就是它的一个呃功能对吧,就它通过它这个脚本那个功能来达到了,就是提前的一个目的呃,这边的话内容就涉及到内容哈,内容的话还是挺多的呀。
就是你通过做这边的这些实验的话,你也能够去学到很多的一个东西,就综合性的话比较强,好啊,下面的话我们来一起看一下,就是s u i d的一个提前,就s u i d提前的话。
前面的话也前面的话已经有有介绍了对吧,就是sd的这个权限,主要的话就是理解他的这个权限的一个作用,就我们呃我这边的话我就不多说了,因为上节课的话也也介绍了是吧,然后我们如何去利用他的这样子。
那个sd的一个权限呢,就是我们首先需要去找到对应的。
就是有这种s u i d,全新的这样子的一个啊可执行的一个文件对吧。
然后我们可以通过通过fd命令,然后的话加这样子干p p杠pm的这个参数,这个参数后面的话就是接,我们就是指定了这样子的一个u嘛,也就是文件的一个所有者。
有sid的一个权限,得这样子的一些文件。
然后的话通过这样子的一个方法找到,然后的话念出来对吧,也就是这边的这些文件都是有啊,su id的一个权限的,然后在这边的话,就针对这样子的s u d的这些文件对吧,我们如何去利用。
这边的话就又回到了这个项目对吧,你一个一个去那个吧,去尝试去啊。
在这个项目当中去找到对应的一个,利用的一个方法。
我这边他就是用这个啊,我这句话就是举了以这个task set这个为例,就是,在这边对吧,找到有这样子的一个,他是个set,你怎么没有啊,嗯应该是有的吧,哎我这边不找了。
应该是有这一段有一个这样子的task a set,就是我们在这边直接搜一下好吧,就是这个,然后的话有s u d权限对吧,那我们可以去怎么去利用,就通过这样的一个方法。
我们在这边试一下吧,它是可set对吧,是有这样的一个命令的,我这边的话应该是哎我懒得找了,然后的话呃通过这样子的一个方法就是一,然后bs h干p是b站,b站s h好在这块就得到了这样子的一个shell。
我们来执行一下,换一,怎么还是爸爸呢。
等一下。
什么关系。
我是不是没有sd的一个权限没找到吗。
怎么这边它没有,cd的一个权限的奇了怪了。
这边的话呃,我这边的截图方式,之前的这个话是同一个靶场。
啊我这边给它加一个吧。
算了不加了吧,就就这样子的,就就这样子,他是如果有sd权限的话,是可以通过这样的方法去得到的,呃我这边怎么就没了呢,就是这样子的一个啊,直接通过这样的方法就能够去得到这样的一个,root的一个系,呃。
那样的话大家自己课后再去自己去尝试好吧,我这边我就我就不做了,然后呃同样的就是这边的话就是这一个实验,同样的也是这一个靶场,就实战马场,下面的话有涉及到这样的s u d的一个提权。
然后这个实验就是作为课后作业,啊呃第四部分的话就是阿泽,阿泽的话就是我这边的话,就其他的这样子的一些方法,首先的话第一个就是这个隐藏文件,就是隐藏文件的话。
就是说我们的一个目标系统下面的话,有一些就是说有一些隐藏的一个文件。
这些隐藏文件什么的,就是像比如说我们ios的话,查看的话是这样子的一些对吧,那么我ios干la啊,就是有能够查看到以这种点开头,这样这样子一些文件,就这些文件的话。
它是呃就通过ios就列出当前的一个目录,文件的话是看不到的,那么在这样子一些文件当中的话。
我们可能去找到,就是说啊一些隐藏的这样子的一些文件。
包含有敏感的这样子的一些信息对吧,我们可以通过这样子的一个fd命令。
来去做一个检索。
就是这样,通过放的命令,然后这边的话就是查找这样子的一个,就是在home目录下面嘛,就是在home目录下面就包括了,就,就在home目录下面所有的这样子的一些用户对吧,然后的话他会去查找。
就是呃顶点心对吧,就是以点开头的,然后点开头的后面的就是模糊的一个检索,就是不管后面它是什么,就是只要一点开头的这样子的一个文件,我都找到,我都列出来对吧,然后的话他是在所有的这样子的home目录下面。
就是所有的这种用户目录下面去查找的,就在这的话就列出来了,有这么多一些文件对吧,然后呃像并by bh r c v m info,这一些的话,都是我们常见的这样子的一些配置文件对吧,我们都知道它是干嘛的。
然后主要就是我们要去在这些东西去找到,我,们就是说可能是用户添加了这样子的一,些文件是吧,像比如说这个。
就这一个的话,在这边的话它的一个文件名就是secret对吧,就是秘密的一个意思嘛,然后我们查看这个文件里面的话,他这样子一个字符串,我们猜测是它的一个,就是这一个susan这个用户对吧。
他把他的一个密码的话,它记录在了当前的一个目录下面是吧,记录在这个文件当中,是我们猜测它是一个用户,我们可以尝试去登录,然后可以看到成功的登录啊对吧,就我们这样子去尝试。
把它作为一个密码去尝试的话是正确的,然后当前的话我是一个书生的一个用户,那么susan这个用户,他有什么就是特别的一个地方呢,我们可以来查看一下这个etc password,看一下这个用户它有什么呃。
没什么特别。
然后呃so do打。
啊说是这个用户不行。
诶,这边的话就是说这个用户的话他不能用so do啊。
就是他没有在搜的那个文件当中的,其实就是这样,就是我通过对吧,就查找他的这种隐藏的一个文件,然后的话发现它里面的一个敏感的一个信息嘛,是吧,然后的话就能够去得到对应的这个用户,它的一个权限嘛对吧。
然后第二个的话就是这个nfs的一个,低权限访问呃。
这个的话涉及到的一个东西比较多啊,首先的话就是关于这个nfs,就它是什么样子的一个东西,就是一个网络文件系统,它可以允许网络中的计算机,通过tcp i p网络共享资源,就一个文件共享吧。
然后的话我们可以通过搭建这样一个,nfs的一个文件系统来去共享我们的一个文件。
然后的话在这边的话,我们首先对吧。
我们可以通过这样的一个方法就对了,我们从哪里去,知道他是不是开启了这样的一个服务呢,对吧嗯。
这边这个点个机器。
就这一个机器,啊这个,呃我在这边的话,我在这个呃看你机器上面啊,首先的话我们要去,就说,我们如果我们是通过什么样的方法去发现了它,是它是有这样子的一个nfs的一个服务的呢,对吧。
那么肯定的话就是通过我们前面的一个信息的,一个收集嘛对吧,就是我们的一个通过这样子的一个。
端口的一个扫描,首先我们通过map啊,我们通过map去就我们首首先得到这个目标对吧,我们肯定也会去对它的一个呃ip,做一个这样的一个端口的一个探测对吧,就看探测它开放了一些端口及对应的一个服务,对吧。
好在这边就有这样的nfs的一个服务,开启了对吧,还有一个端口的话,是这个2049tcp的一个端口,然后这个nfs服务开放了对吧,那么我们通过可以通过什么样的方法来去呃,获取到它的一个信息呢。
就是通过这个shment这个命令,我们可以通过shamt来去查看到,这个nfs服务的一个信息。
就是嗯通过这样子一个变量杠,一加我们的这样子的一个这个nfs啊。
服务所在的一个ip,然后它是用于这个命令。
它是用于查询af nfs服务器相关的一个信息,我们在这边,在这边上通过show mt来查看这个我们的一个目标,78。38,对啊来去获取到这个远程的这个机器,它的关于nfs的一个相关的一个信息。
然后在这的话它就有列出了这样子的一个,这样子的一个目录啊,就列出来这个目录它是什么意思呢,就是说呃他的这个nfs服务的话,它有就是有共享的这样子的一个目录。
这个目录的话是这个home peter的这个目录,然后的话他把这个目录的话,它共享出来的是通过这个nfs的这个啊服务啊,那么那么它这个目录共享出来了对吧。
那么我们其他的这样子的一些机器对吧。
因为我们这个nfs的这个网络,文件系统的一个作用的话,就是允许网络中的一个计算机,来去进行一个资源的一个共享对吧。
那么它共享出来了,我的一个在这个网络当中的一个机器,我就能够去访问到他这样子的一个目录对吧,那么我们怎么去访问呢,访问这个目录的话,我们需要去用mt这样子的一个命令。
来去做一个挂载,就是把我们的这样子的一个呃,把远程计算机的这样子一个,他共享的这样的一个目录,把它挂载到我们的一个本地,就呃大家可以理解成,就是我们前面在讲windows的时候对吧。
那个用net钥匙来去映射磁盘对吧,就我把远程的这样子的一个,共享的这样子的一个目录对啊,把它映射到我本地的某一个磁盘,然后再利用死里面的话,在另一层面的话就是通过这个mt命令。
就是呃如果大家经常玩linux的话,应该应该比较熟吧,就这个命令像比如呃我以我这边的服务器文件。
比如说我这边呢,这我这边的这个服务器,我可以通过mono,我可以通过慢来去查看到我当前的这个机器,它所挂载的这样子的一些目录,然后其实在这边的话,就比如说你要去把你的一个硬盘对吧,把你的硬盘。
你要去把它插到你的这个啊服务器上面去,你插到服务器上面去之后的话,他不会说像windows下面它会自动的去加载对吧,像比如说它会自动的去加载,加载到我们的这样子的一个文件系统当中啊,其实会啊会的。
其实会的,就是说你插入进去,他就会去加载到呃你的一个磁盘,你的一个目录下面,好在这边的话,其实大家可以看到我这边的话,是我这个服务器的话是有插了我的一个硬盘,然后的话它的一个硬盘的一个目录的话。
就是在这边就db的sdb,就大家就是应该理解吧,就是in 10上面的话,一切皆文件,就是就像这种硬盘对吧,像这种硬盘,它同样的它是你插入到linux系统下面的话,它同样的是把它作为一个文件。
作为一个文件或者文件夹的一个形式,那么他这句话他就是在这个文件文件下面对吧,那么我们想要去把它放到本地区,进行一个访问的话,我们需要去做一个挂载,也就是通过这样子的一个命令,还没有吧,我这边。
就这样我是通过这样子的一个方法把它挂在,就是你插入到你把硬盘插进去之后的话,它会分配这样子的一个呃,它会有这样子的一个呃目录对吧,然后的话你要去你要去在本地去访问的话,你是需要去把它挂载的。
挂载到我们本地的某一个目录下面,然后它其实它也会自动的,去挂载到一个目录当中,但那个目的话比较长,我一般我一般的话先把它给,就是会自己自己新建一个这样的一个目录像。
比如说我在root目录下面建一个这样的一个硬,盘的一个目录,然后把这一个把硬盘挂载到这个目录下面,然后我去访问的话,就不用输那么长的一个路径嘛对吧,然后挂载一个方法,就是像这样子。
然后因为呃硬盘呢是n t f s的,这样的一个格式,linux下面的话它不是啊,不是像nt,像windows下面的那个格式,所以的话我们需要用这样的方法去把它转一下。
呃呃好像扯远了呀,这其实就是让大家理解,就是同理的话,就是说在这边它是一个远程的这样的一个目录,对吧,那么我们要去访问远程目录的下面的一个文件,我们同样的可以通过这样的一个mt命令。
去把它挂载到我们本地,然后的话去进行一个访问。
就前面说这些的话,其实就是让大家理解这个。
呃那么的话,那么。
我现在这边的话。
我知道了有他的共享的一个目录,是这个p的目录段,那么我现在我要把它挂载到本地,我先创建一个这样子的一个木啊,创建在这个mn t的这个目前没,创建一个peter的这样的一个文件夹,写错了。
创建了一个这样子一个pet的一个文件夹对吧,然后的话我在这边的话,我通过mt来去做一个,挂载挂载我远程的这一个共享的他的一个目录,078038,下面的,p沉默啊,怕的话,挂载到我这边的一个。
本地的这样子的一个目录pet对吧,然后这边没有报错的话,就说明挂载成功了,然后的话我就可以在这个p整目录下面,去查看对吧,然后在这边呃,你可能你输了ios,你看不到东西啊。
但其实是这其实是他这一个目录下面,它没有文件对吧,但其实它有这样子的一些隐藏的一个文件,就是大家一定要注意啊,就不是说就是大家再碰到这种对吧,就你linux下面,如果你建一个目录下面。
你哎你你s你发现你没有下面没有东西,你就不要真以为里面没有东西啊对吧,你可以通过加一个这个gua参数,就我们一般的习惯是用l r s码来查看的吧,但是这个习惯也是,你可能因为这个习惯。
你就没有发现有趣的东西是吧,加一个杠杆,加个概念的话,你就能够去查看到这样子的一些呃,一点开头的这样子的一些隐藏的文件对吧,就其实在这边的话它是有文件的对吧,也就是我这边的话。
我这边的话是这边的这一个文件的一个内容啊,其实是我这边远程的这个bob这个用户啊,不是这个78。38,这个服务器上面的这个peter用户的一个呃,加目录下面的一个内容,就是就这这就这一些对吧。
那么在这边的话,我们就是我们进入到它的一个目录对吧,因为它是一个这样子的一个文件共享,那么我们可以去尝试去嗯写文件对吧,比如说我在这个目录下面,我touch一个文件,那么它其实它会同步到远程的那个啊。
共享的一个文件夹当中对吧,因为我这边的话挂载到本地的话,它其实我我在这边这个目录下面操作的话,它其实相当于就是在远程的他的那个home干peter,这个目录下面去操作的,那么我尝试去画几个文件。
然后你发现的话没有权限就没有权限,为什么呢,就是呃大家可以看一下他,你会发现有这样子的一个一串字符对吧,就是说原本的话在这边就正常的话应该是嗯,就正常的话应该是有这样子的一个像。
比如说如果说你是一个root用户,那么他这边他就是root嘛对吧,所以说普通用户普通用户的这样子的对吧,就说他在这边显示是这样子的话,就说明我当前的这一个系统下面,就我当前的这个。
看你机器下面没有这样子的一个啊,没有这样子的一个uid为1001,以及gd为1005的这样子的一个用户,所以的话它会显示为这样子的一个uid,以及gd的一个形式,在这边的话我以一个例子为例吧。
就比如说我又我uz的一个用户吧,test 13的一个用户的,然后我可以查看一下我的一个password,好在这边的话就有他有,他会去分配这样子的一个ui d以及gd对吧,就是1004都是1004。
那么我在这边的话呃,我在这边,当前目录,我创建这样子的一个文件,啊不唱了吧,我就改吧,就就改这个一点bt的这个文件是吧,一点bt的话它是一个note note的对吧。
那么我把这个root root改为test 123,然后一点b a p,它的一个就是用户都是test 123,用户和组都是test 123对吧,然后的话我在这边的话,我it delete。
我把这一个用户给删掉,然后的话你再去查看这个一点编辑,你就会发现他这边显示的是uid为1704,以及gd为1004对吧,因为我当前的这个系统下面的话,它没有这样子的一个用户对吧,我这边删掉了吗。
他没有这个用户,所以的话这边它会显示这样子的一个数字,这个数字它就表示这个用户是uid,为这个gid为这个的这样子的一个用户,三,然后同理的话在这边的话应该就能理解了吧,对吧,就是我这边的话。
这个目录下面它是这样子的,一个101u i d为101,701j i d为1005的这样子的一个用户,就那么呃我们知道这边的话是它的一个peter,这个用户的一个加盟,那也就说明我当前这个系统下面的话。
是没有这样一个peter的这个用户的是吧。
a t我们先来看一下是吧,确实是没有这个p图用户。
所以的话它会显示成这样子,那么在这边的话我们就可以尝试我自己去,因为我当前是没有权限的对吧,因为这个peter用户他是要peter的一个用户,他才能够去进行一个写入的。
因为它是peter的一个加目录嘛对吧,只有peter这个用户他才有权限,那么我们是不是可以尝试说我自己。
我在这边,我自己,因为我当前的一个系统它是没有pc用户的,所以他没有权限对吧,那么我通过就是说我自己来,我在我当前的这个开启器上面,我去创建这样子的一个peter,这个用户是不是能能行呢。
啊就是创建这样的一个peter用户来去啊,欺骗或者说来去伪造这样子这个文件,所有的ui d g d来去p,欺骗这一个nfs的一个服务器。
那么具体的一个步骤的话,就是我们通过这样子的一个方法,首先的话我们需要去添加这样子的一个组,就是呃peter组啊,然后的话呃再去创建这样的一个用户。
创建的这个用户的话,ui d j i d的话要分别为这边这边的这个对吧,因为他你只有这边跟这边都是对应的话,他才能够说就说那边呃,aaf s服务器它才能够识别出这边的这个用户。
它是一个peter的一个用户对吧,嗯具体一个步骤的话就是这样子,我先,添加一个这样子的一个peter的,这样子就j i d为1005的这样子的一个啊,peter组就通过group a。
然后的话呃添加一个这样子的一个用户啊,就添加这样的一个peter用户,就是u i d和g d分别为170以及1705,的这样子的一个用户,哎那我这边的话就是创建一个用户对吧。
他这边的话需要你输入密码对吧,我这边的话就输入一个p t r对吧,btr,然后的话呃服装内容的话,这边我也不管了,啊确定确定之后的话,我在这边的话查看一下这个password。
这边的话就添加这样子的一个pc用户,然后这边的一个用户的话,它是uid是1701j i d是1005对吧,然后的话我们再来看一下,这边我再来看一下这边呃挂载的这个目录啊,就原原来的话它是这样子的对吧。
然后下面我们再来看一下,可以看到在这边的话他就得到了这样子,就是它显示的是peter对吧,也就是说我当前的话是有peter的这样子的,一个用户对吧,我因为我当前系统上面是有peter这个用户。
以及它的这边的一个呃权限的话,他得到的就是说他是用的我的这样子的一个,pet的一个用户,我在这边显示的就是peter的一个权限对吧,然后我现在的话,因为我当前的话是一个peter的一个用户啊。
我当前不是我这边的话。
我们先就是要切换到这样的一个。
peter的一个用户对吧,因为我当前的是一个root用户。
我root用户我在这边去创的话,他那边他不认识,然后他认识的话,他这边只认识的话,就只能是这个pet用户,所以的话我们要先切到这样子的一个peter,这个用户下面,对啊,我切到这个批准用户下面。
skr ska对吧,然后我当前的话是一个peter用户以及,而这些文件的话都是peter用户,那么我当前在peter用户的加入下面,我是不是能够去创建文件呢,我当前是一个pet的一个权限。
我们来尝试一下对吧,可以看到我top 123,然而acle,不要删啊,不要删,然后我开启一下123对吧,你会发现的话,我当前我在我当前我切换到这个p的用户的话,我就有对这个文件有写的一个权限。
也就是说我现在的话,我现在在这个木下面创建了这样子的一个,123的一个用户对吧,那么在这边的这个peter用户,我们来看一下吧,我们可以来查看一看这样子的一个泡沫,下面的那个peter用户对吧。
然后你会发现在这边的话,就多了一个123的一个文件对吧,在这边跟这边的话,它其实是同步的,也就是我在这边写的文件,我可以把它写入到这个目录下面去了。
然后的话呃然后的话我现在对吧,我现在可以有写的一个权限是吧,那么我就是不是可以尝试去写相应的一个文件,然后我这边的话就以这一个就写入一个,s h的一个公钥来去进行一个免密登录。
就是我当前的话我是能写文件的,但是我这边的话我执行的一个命令,我执行的一个命令,它其实还是在你当前的这个机器上面,去执行的是吧,我只是能够,我只是得到了这个目录的一个,写文件的权限是吧。
那么我想要去得到这边的这个呃,这边的这个机器的一个权限的话。
我需要去我可以去做这样的一个操作,就是我能够去写吗,那么我可以去写一个公钥,写一个s h的一个公钥,然的话以呃,以这个pet的一个用户来去进行一个登录,因为我写入公样了嘛。
所以的话我不需要知道这个peter用户,它是它的一个密码是吧。
我直接就可以去进行一个秘密的一个登录,然后具体的一个步骤的话,就像这样子。
我在这边的话,首先去生成这样的一个公钥以及试药是吧,就是嗯,然后我这边的话,我生成了这样子的一个吃药对吧,是在这样子的一个点s h的这样子一个木下面,好,就这个i d i s a的一个cel。
以及这个公钥a d s a等于p b对吧,那么现在的话我。
就可以把这边我这边的这个公钥啊对吧。
把它给写入到呃目标机器上面的这一点,取的这个目录,下面看一下这个供养。
对这是它的一个就是它的一个内容,好的话,我们我们要写入到他的这个系统目录下面。
没有。
他这边没有这个文件,我这边插一个,然后我在那个文件名有点长,我这边call一下,怎么没有。
写不到这个文件当中,唉我先拖拖起一个这个问题吧,然后的话我再嗯,a。a还是q5 l t,好我们来查看一下这个好的key对吧,我现在这边的话就已经写进去了,写到了这个目录下面,我们可以在这边来看一下。
对啊,然后在这边的话就。
然后在。
然后在这边的话就已经写入到了他的这一个呃,authorize kiss这个目录就是我们的一个公钥的话,就要写入到,就是要写入到我们的目标机器上面的这个目录,下面这个文件当中要写进去,然后的话我们在这里。
我们就可以通过s h来去进行一个明确的登录,领域,登录ppeter,以peter用户来去登录这个1920208。7,8。38的这个机器对吧,好这句话啊,yes,我们这句话没有输入密码对吧。
我这边的话就进入到了这个peter这个用户对吧,就得到这个peter的一个权限,然后在这边的话,我们的这个peter这个用户,我们的这个peter的这个用户啊,它我们可以看一下。
他其实也是一个普通的一个用户对吧,它不是一个很高权限的一个用户,就是就一个普通用户,我们通过这样的一个方法,得到了他的这个peter的这一个,普通用户的权限对吧,但是他在这边的话有这样子的一个权限。
就这里有一个多口的一个权限,然后在这边的话就是呃涉及到了。
这里最后的这一个多主题选,就是呃大家看预习内容吧,以及看一下这篇文章,呃这边的话虽然是英文的,你翻译一下的话,就知道就是通过docker的一个升级的特权,就是通过多k的一个组的一个权限。
来去进行一个权限的一个提升,然后他在这边的话就是他的一个作者的话,他呃添加了,就是说他用他做了这样子一个多口的一个镜像,然后的话,如果你发现就是说你得了这个用户权限,它是一个多组的一个纯音乘员。
那么你可以通过这样的一个方法,就是直接执行这一个就这一个变化,它就会是起一个容器,它起了这个容器,然后他是从这边脱下来的,这边的话是他的一个镜像地址,然后的话他会去偷一个龙骑下来。
然后拖一个容器下来之后的话,在这边我们就能够去得到这个希尔。
我们来看一下,而在这边的话呃,需要有一个前提,就是你的这个机器呀,零网就是你要能访问到这边的一个网网,就是你要能访问到这个镜像,然后这边的话它起这一个多口的这个镜像的话,他首先会去在本地去找。
是不是有这样子的一个镜像,如果没有的话,他就会去啊远程的去拖获取这样的一个镜像,然后的话基于这个镜像来去创建一个容器,这边的话有几十兆,可能要稍微等一下,有四点钟。
好啊,我们先来看一下实际的一个效果吧,实际的一个效果呢就像这样子,他呃把这个镜像拖下来之后的话,它会自己的启动,启动之后的话,它会进入到这样的选。
进入到的这个shell的话就是一个root的一个shell,然后它就是利用了他的这样子,一个多组的一个权限,因为这个p的用户它有这个多可组的一个权限,那么它可以通过这样子的一个dk组权限。
来去得到这样一个root的权限,嗯以上的话就是我们本节课的所有内容啊,大家有没有什么疑问,我起来了,呃大家觉得我能听懂吗,呃呃觉得有问题的好吧,觉得没问题的,以及能听懂的,在讨论区扣个一。
然后觉得有问题的,然后就是你指出哪里,就是你觉得哪里听不懂,或者说哪里有问题,你现在指出来,我再给你讲一遍,可以吧,计划任务那里,定时任务吗,这里吗啊具体一点,直接创建一个shell,你直接创建。
你怎么创建shell呢,就是说他这边的一个定时任务啊,不是说你能够去写,你能够去往这个定时任务里面去写的呀,你知道吗,他的这个定时任务的话是已经写实的,就是说它是这样子的,不是说定时任务你能够去写。
然后的话你直接写一个写对吧,那么你定你能够去写定时任务的话,你直接那你不直接定时任务,反弹需要不就可以了嘛对吧,他在这边的话,他的这个电池任务的话,它是它的这个配置,它使用了一个通配符。
就是这边的一个新知道吧,他的一个问题的一个点的话,就是通配符这边用心就是他用他的,然后我们利用这个他的这个通配符的一个注入,我们注入了这样子的一个呃选项,这个选项的话。
我们是因为他他他继续打包这个目录下面的,一个所有的一个文件的时候的话,他用通配符的一个方式,他会去检索下面所有的这样子的一个文件对吧,然后的话他在用它执行这个命令的时候,他其实是实际的话。
是执行的这样子的一个命令对吧,而不是它实际是执行到这样的命令,然后他会把这边我们原本是文件的,这样整个命令它会把它作为一个选项去执行,然后具体的话其实实际的一个利用点的话,就是这样。
就这个check point action的这个选项,他能够去执行这样子的一个呃,后面接一个命令,然后我们这边执行了一个命令的话,就是执行我们当前目录下面的这个需要点s h,能理解吗。
为什么要创建,明白了,就说这边的这个s h点下的话,我们是在当前的这个普通用户下面去创建的。
对吧,然后我为什么要去创建这个呢,就是因为我要去我构造的这一个对吧,构造的这一个选项,他再去他去去检索这边的这一个文件的时候,他会把这边的一个我这个文件作为一个选项,然后这边的这个选项的话。
在后面可以接一命令,接到这个命令的话,他就会去执行上对吧。
就是它的一套命令的话,就是我这边写的嘛。
他就他到这边对吧,他到这边的话,他就会去执行这边的一个希尔希尔的脚本吧。
然后的话他就会去执行我当前目录下面写的,这个嘛,这边有点慢啊,明白了还有其他问题吗,这手机什么意思啊,而其他同学呢其他还在听的同学能理解吗,就有有没有问题,有问题直接提啊,或者哪里我你觉得我没讲好的吧。
你可以直接指出来,呃应该是都没有什么问题了是吧好嗯,这个的话这个的话大家自己唉自己去尝试吧。
好吧,就实际的一个效果的话是能达到的,这没有问题的。
就是我ppt这边的一个这边的这个效果。
我这边的话他就要下的话,还要一会儿,好吧呃大家没有问题的话,就下课吧,好吧,应该是没有问题的。
P76:第45天:权限提升-Mysql数据库提权 - 网络安全就业推荐 - BV1Zu411s79i
大家晚上好不好。
能听到我声音以及我的声音没有杂音的,在讨论去扣个一,嗯好的,应该是没有什么问题啊,呃那么就正式开始我们今天的一个主要内容,我们今天的话主要给大家介绍一下,数据库的一个应用题全啊。
这前面的课程的话都是给大家介绍了,就是说windows精进下面这种系统的这种题选对吧,然后的话像我们的常见的这种呃,数据库的一个应用,提前的话,前面没有介绍的,然后本节课的话主要的话就是介绍这一期。
就因为我们呃经常的话对吧,我们通过这样子的一个web的一个应用,而你一个web应用的话,那么他肯定会有由于这样子的一个数据库的,这样子的一个交互对吧,以及我们常见的这样子的一个。
sql注入的这种漏洞对吧,它都是啊有这样子的一个数据库的,那么当我们在拿到这样子的一个,比如说拿到一个web share对吧,然后的话拿到这个web shell之后的话,它里面的话有这样子的一个数据库。
而这个数据库的话我们可以利用它来干什么呢,然后在本节课的话,我们就给大家介绍一下,利用了这样子的一个数据库的这样的一个应用,来去进行一个提前来去得到啊,这个呃服务器的一个缺陷。
就是说原本的话我们得到的是呃,我们得到了一个web share对吧,然后的话呃对应的这样子的一个数据库,我们可以通通过它来去进行一个,权限的一个提升,然而本节课的话就是呃关于数据库的一个应用,题。
全的话,我这边呃主要的话分为了三块内容,然后本节课的话就是给大家主要介绍,mysql的一个提取,以及mysql server的这样子的一个提取,然后关于这个power correcycle的话。
我放在后面的那一节课给大家做一个介绍,因为我放了一节课的话讲不完,就所以的话本节课主要给大家介绍呃,mysql的一个提权以及sel,sel的一个提前的一些详细的一个操作,呃。
第一部分呢就是这个mysql的提权,就关于mysql数据库的话,大家应该都是比较熟悉了对吧,就是啊也是我们经常见到以及经常使用的,这样子的一个呃,数据库的一个这样子的一个呃引擎是吧。
然后的话呃再去了解什么,是再去了解mysql提权之前的话,我们先来了解一下就是什么是u d f,也就是我们本期的话会去使用到的这样子的,一个ud f的用户定义函数,然后这个呃udf的话。
就是这个user defined function的一个景显,就是用户定义函数,它的一个作用就是为用户提供了一个,高效创建函数的一个方式啊,呃具体的一个创建函数的一个方法,是通过这样子的。
就是说我们可以去编写一个这样子的一个,调用系统,cmd命令的这样一个,ud f d l o l的一个文件,然后的话这个del文件的话呃,关于这个dl前面应该有介绍吧,就是呃一个动态链接库对吧。
第二就是专门呃domink lia,这样子的一个动态链接库是吧,然后在windows下面的话,这个dl的话它的一个作用的话,它就是呃用来去,怎么说啊,前面有给大家介绍这个吗,呃我忘了呃。
第一第一期的话是有介绍,我忘了这这一期有没有介绍,就是呃这边的话啊,我先我们先来一起看一下这个吧。
dl就是这样子的一个动态链接库,然后他这dl呢它的一个作用的话,就是它呃它的这个库当中的话,它存放在我们的这样子的一个呃,共享的一个数据,然后这一个dl当中,就我们脑脑海当中有这样子的一个概念。
就是呃我们windows系统下面它的各种程序对吧,它各种程序的话,他需要去调用相应的这样子的一些啊,程序的一个代码以及对应的一个数据对吧,或者说我们的这样的一个函数。
这个函数它是能够被多个这样这样子的一个,程序去进行一个调用是吧,那么我们不可能说在呃每一个呃,就是为了我们不可能说在每一个程序,它去调用的时候的话,他都写一个这样子的一个函数对吧,或者说写一个呃。
写一份这样子的一个代码或者数据对吧,那么我们那个dl的话它是一个就是共享的,然后的话它里面存放的这样的一个数据的话,是能够允许多个这样子的一个程序来去调用它,来去获取它的一个数据是吧。
所以的话我们在多个程序,它去使用同样的这样子的一些数据的时候,我们可以用这样一个dl的一个呃动态链接库,然后的话这样子的一个动态链接库的话,它同样就是它的一个作用的话,它里面它其实实际的话。
它里面是一个函数的一个方法,去进行一个书写的,就是说它我们去调用里面的一个数据,它是通过对应的一个函数,就是一个方程函数,然后的话呃我们再去调用的时候的话,是通过函数的一个方法去调用。
所以的话我们可以通过这样子的一个调,来去创建对应的这样子的一个函数,来去实现对应的一个功能,呃关于更详细的这一些的话,大家自己去百度1下好吧,那么在这边的话,我们就是利用的这这样子的一个用户定义函数。
就说在mysql当中的话,它支持我们用户去自己去定义,这样子的一个函数,那么在windows系统下面的话,因为我们的这样子的一个呃windows系统下面的话,我们要去。
我们要去创建一个自定义的一个函数的话,我们可以通过呃,去编写一个这样子的一个点文件,然后这个del文件的话是呃,里面就包含我们自己创建的这样子的一个,u d f的一个函数。
而我们只需要有这样子的一个调的一个文件,我们就能够利用它来去创建一个用户,自定义的一个函数,在这块也是一个方选为理,然后的话这个函数它的一个功能的话,就是用来去调用我们的一个系统,在cmd的一个命令啊。
linux,linux上面的话,就相当于是调用我们的一个shell的一个命令,所以的话他的这个函数它的一个作用,就是去执行命令是吧,那么我们在每再去数据库当中去查询的,去查询的时候。
我们可以通过这样子的一个方群的一个函数,来去执行啊系统的一个命令,从而来达到一个提前的一个目的,好在这里的话要注意的话,就是呃在而不同的一个版本下面的话,它是这样子的一个电r函数。
它所存放的一个位置它是不一样的,就是在windows server 2003下面的话是啊,在c盘下面的一个windows目录下面,然后mysql 5。1版本之后的话,就我们现在的一个mysql版本。
它都是5。1版本号是吧,然后它所存放的一个library啊,这样子的一个调文件存放的目录,是在它的一个安装目录下面的,libr下面有一个plugin,这样子的一个目录下面,就说这样子的一个目录。
它是有什么作用呢,就我们的这样子一个del文件,需要放在指定的这样子的一个目录下面,像比如说mysql 5点多的一个版本对吧,你需要把这样的一个调文件,放到这样子的一个目录下面呃。
安装目录下面的lil pgg,这个目前面你放到这个目线面之后的话,你才能够在我们的一个啊,mysql数据库当中来去调用它,对他再去调用这样子的一个deal呃。
再去调用这样子的一个deal的一个文件的时候,还会去在这个目录下面去找,去查找到对应的这样子的一个文件,然后的话利用它来去创建这样子的一个function函数。
然后关于这样子的一个呃mysql的一个提取的话,我们本节课的话主要是通过这样子的一个实验。
通过这个mysql u d f t群,那这样子的一个实验,来给大家做一个详细的一个讲解,然后呃这个实验的话,大家可以就是在电脑面前的话可以打开。
现在的话先创建这个虚拟机,然后的话可以。
待会的话可以跟着我一起去做操作好吧,我要一步一步的带大家来,去进行一个相应的操作呃,然后第二部分呢就是这个nt f s的一个a abs流,创建目录以及创建文件呃,就是在我们这边的这个uf提取的话。
我们会去用到这样子的一个ntf的一个a aba,abs流来去创建一个对应的一个目录,就为什么会去用到这个呢,啊就是在我们的一个mysql的一个5。1之后的,这种环境下面的话。
我们只有去将这样一个del文件,导出到这样子的一个目录下面,就是导出到这个mac口的一个安装目录,得这个moon hy,然后的话我们才能够去进行一个啊,这样子的一个去使用这样子的一个,用户定义函数。
当时的话很多时候的话,我们的一个s mysql下面的话,安装目录它不存在这样子的一个lib,对不,然后的话,如果说它不存在这样一个lib目录的话,那么我们就算有这样一个del文件对吧。
我们也无法导入到这样一个lib,下面的一个plug目录下,所以的话我们呃,而且的话我们mysql的一个文件操作,并不能够去直接的去创建物,就在我们的mysql的mysql下面的话。
我们可以通过我们的一个select in trout file对吧,我们可以通过这样这样子的一个,intro fire的这样子的一个方法,拿去把我们数据库当中的一个数据,把它给导出到我们的一个呃。
系统的一个指定目录下面对吧,但是的话你导出的话只是成为一个稳定,而不能够说去直接的去创建目录是吧,所以的话在这边的话,我们就需要去利用他的这样子的个方法,这个ttf 22的一个a abs流。
来去创建一个这样子的一个目录,然后关于这个a abs流的话,它是一个全称是这个就是交换数据流,然后它是我们nt f s文件系统的一个特性,它的一个格式是这样子的,就是呃文件名加我们的一个流明。
加我们的一个牛的一个种类,然后这边的话流明的话我们可以省略,就是我们的一个,而我们去把我们的一个数据,存储到这样子的一个呃数据流当中的时候,我们可以通过这样子的一个牛来去呃。
就是来标识这样子的一个数据流的一个呃名字,然后有种类的话,就是我们这边的一个strive stream type,好stream type的话我们可以设置为这个,就是我们在这边上。
通常的话就是这边的一个stream time type的话,通常看到的一个文件的话,就是这个date流也就是我们的一个数据,就比如说我们的一个文本文件,它就是这样子的一个数据流,data流。
然后他的其他的种数据流的话,它是处于一个隐藏的一个状态,然后还有的话还有一个的话就是这一个,当我们的这个牛牛种类为这个时候,index options有当它为这个的时候,就表明这个数据流的一个数组。
它是一个文件夹,所以的话,我们在这边的话,我们可以通过mysql的一个导出数据,导出到这样子的一个文件,来去创建一个这样子的一个路,这边的话怎么去理解呢,就我们刚刚的话有介绍。
我们可以通过这样的一个方法来去导出,我们的一个数据库当中数据是吧,然后的话导出数据的话,它是一个文件的一个形式,其实就是我们的一个背景流a data数据对吧,就data里的一个形式。
然后的话我们是创建文件,所以的话是data,那么我们要去想要去创建一个目录的话,我们就可以使用这样子的一个这一个牛,index alog lotion,这样子的一个牛,然后这里的这个流类型的话。
就表示我们前面的这个数据流的一个数组,注意的话这边是数组,也就是我们这边的一个文件夹啊,就是我们这边的这个文件夹,它是一个数组,然后后面的话是流民,就是我们的这个交换数据流的一个名字。
然后我们设置了是这样子的,就我们创建了这样子的一个文件,那么它实际的话它会创建一个文件夹,文件夹的一个名字的话,就是这这边都是一个文件名的一个名字,就是会创建一个是一个directory pass的。
这样子的一个文件夹的一个目录,我这边的话可能我这样子刚说的话,大家不是很理解对吧,我这边的话我,大家可以呃跟我一起操作,我这个号创建了这样一个文件夹对吧,然后我这边打开一个命令提示符。
然后,我们创建一个文件对吧,我们常见的话就是我们可以通过leo来去创建。
一个比如说电商的tt这样的一个文件对吧。
好这个话就是一个正常的一个文件对吧。
好的话,如果说我们想要去创建一个流文件的,可以通过这样子的一个方法嗯,比如说我输入一个,stream file,然后,比如说1234点tx,好哦,这边的话是文件名对吧,然后后面的话接我们的一个牛名。
比如说,就就一下三四吧,然后的话接我们的一个呃牛的一个类型,我们的一个牛的类型的话,注意的话是有这样子的,一个多了符号开头,而我们的话是一个date流啊,就是一个date的一个数据流呃。
一四,这200。
好在这边的话运行的运行内容,这边我给了一个链接,就是关于这个备用数据流的一个比较详细的,一个那个,没错。
好这边我写错了,不是d a t e啊,bt的话数据的话是d a t a l是这一段b,就数据的话是d a t a对吧。
时间的话是bt是吧,bt是时间。
我这边写错了呀,对啊,这个是data话是使劲d a t a才是数据,因为我这边的话是大写的a l是这样的啊,你会发现的话,在这边呃,我通过创建了这样子的一个,就是我其实实际上是创建了这样子的一个文件。
是然后在这边的话。
我是向这个文件当中写入了这样的内容,但是实际保存到我们windows机器上面的话。
你会发现的话是这样子的,一个1231234点tt的,这样子的一个文件对吧,但是在你的这个文件里面的话,你会发现它里面没有内容,我们可以看一下,我这边通过echo。
像这一个文件当中去写入了这样子的一个stream,file这样子的一个字符字符串是吧,但是我实际打开的话,它这里面是没有内容,那么为什么呢,我们可以通过这样子的一个dr tr,来去进行一个查看。
就是你在这边的话,你会查看到有这样子的一个文件,这个的话就是它的一个流文件,然后这个文件它的一个数组的话,就是这个就是1234点text,也就是我们像这一个这样子的一个文件名当中,去写入一个内容的话。
它会创建一个这样子的一个文件,就是1234点test的这样的一个文件,然后的话这个流文件的话,它是呃是这个文件的一个就是备份牛呃,交换数据流的一个文件,然后如果你把这个文件删除掉的话。
这个文件它也会没有,然后在这边的话,我们通过可以通过notepad,就文本编辑器嘛,我们可以来打开这样子的一个文件,打开之后的话,在这边你会发现我这边打开之后的话,它这里面就存储着我们想要的一个内容。
就是我们刚刚通过app输入进去的一个内容对吧,大家有有在跟我操作吗。
大家可以就是可以跟着我,就是我边讲,然后大家可以边跟着我去操作,好的话,在这边的话,但是这样这样子的一个牛文件的话,我们在这样的一个文件系统当中,你是无法直接看到的,是。
然后我们需要通过这样的一个dr杠二来去查看,然后这边来干大写的r的话,就是显示文件的一个备用数据流,也就是显示我们这边创建的这个文件,然后呃,然后讲到这边的话,我再就是呃在做点补充,就是啊。
就我们再去进行一个文件上传的时候是吧,就是在web安全的,就是web安全的那些课程的话会讲这一下,然后渗透测试这边的话应该是没有奖励,因为这些话应该算是比较基础的一些。
就是你在一个文件上传的时候,我们再去文件上传,去进行一个相应的一个logo的时候,你会发现的话呃,就是比如说你看别人的文章对吧。
你看别人的文章或者是说文件上传绕过的这种,别人总结这种方式的话。
就会有这样子的一个a abs流的这样子的一个方,式,就这个,然后他的话就是他会去就说呃,文件上传的那一个点,他对呃,他在对我们的一个文件名有趣做的呀,文件的一个扩展,没有去做这样子的一个性质以及过滤的。
过滤的话对吧,然后的话它那个机器它在中的时机上面的话,我们就可以使用这样子的一个,a d s流的一个方式来进行一个logo,就我们再去创建的这样子的一个呃,我们上传一个文件对吧,就比如说,还得我们想要。
我们想要上传一个这样子的一个热点,三要三点菲律宾的这样的一个文件对吧,然后的话pp这种后缀的话,那么肯定他是不会允许你去直接去上海的对吧,那么我们呃你会发现的话,会有这样子的一个方法。
就是我们可以通过这样子的一个,在后面接一个这样子的一个嗯,直接切去把你的一个上传文件名的话,写成这样子,好的话,如果你的一个目标机器的话,它是一个windows的一个机器。
那么你实际去上传了一个文件名对吧,他去警察,在他的一个后缀的时候,他是这样子,它是这样子的一个后缀,嗯应该是要加一点点,对吧,他是这样子的一个文件名,那么这个文件名的话,它没有了这样子的一个呃。
就是菲律宾的这种敏感的,这种就不允许上传的这样的那个文件后缀是,然后实际的话就是我们可以去绕过他的,这样子的一个检测,然后实际的话在windows系统上面,我们去写入这样子的一个文件的时候。
是就我们在windows系统上面我们去上传一个文件,我们把我们的一个内容,把它写入到这个文件的时候。
他在win系统上面他会去他做处理的时候,他会去生成这样子的一个牛文件,然后他实际的话它会生成一个,就是说在当前目录它会生成一个这样子的一个,比如说。
对吧,你实际的话他再去写入的时候,它会就是你windows现,他去写入这样子的一个文件的时候。
他会在他的一个目下面,它会生成一个这样子的,123点p h p的一个文件。
然后这个时候的话,你会发现这里面的一个内容的话,其实就是我们想要的一个内容,对啊,我们这样子的,在这里的话就是一个p p p的代码,我们而且它的一个文件后缀的话就是123点。
菲律宾对吧,那么我们就能够去写这样子的一句话,来去绕过他这样子一个文件上传的一个性质。
通过这样子的一个a abs流的一个方法,啊这是一个啊就是讲到这边的话。
就是给大家提一下,就是他这边的话,它的一个logo方法,就是利用的利用了这一个a abs牛啊。
好了的话,我们回回来回过头来再去看,我们,p p t上面的一个内容。
那我们上面它是创建了一个date的一个文件对吧,然后下面的话我们想要去创建一个目录的话,我们通过什么方法呢,有通过创建目录的话,其实跟我们这边创建文件的话类似,然后在这边的话。
我们比如说我想要去创建一个,插刀插的这样子的一个文件夹是吧,嗯aa的一个文件夹。
然后的话我们在后面的话接这样子。
一个就这样子的一个牛的一个类型,我这边它直接复制,还有点长,其实这样子的一个流类型就是这个index location,然后呃下面的话我们注意看这表,注意看这边,然后我这边执行,执行之后的话。
他虽然这边说系统找不到指定的一个文件,也报了这样的错,但是你在这边的话,你会发现,你会发现在这边我们就创建了这样子,一个aa的一个文件夹是吧,那我们,对吧,就是这样子的一个嗯嗯啊呃。
这边的这个流文件的话,你是无法直接看到的。
然后,然后这边这边这边这篇文章的话,有详细的介绍了这一个东西啊,就是关于它的创建文件夹以及创建创建文件。
这边的话我就呃就给他大家演示到这边,更详细的这种东西的话。
大家去看一下那篇文章,然后自己去操作一下,所以的话我们通过这样子一个方法,他就创创建了这样子的一个文件夹对吧,然后嗯,下面的话就是mysql提权的第一种的一个方法,或者说第一个场景,而这边的话嗯。
场景的话主要的话就是大家看这一个实验,有实验指导书,这边的话已经写的很详细了,就关于这个mysql的一个u d f提取,以及它的一个简介对吧,大家可以详细的看一下,这边这边的这一个呃内容,然而。
然后在讲这个实验的时候的话,我们先来看一下ppp的一个内容啊,就是我这边ppt的一个内容的话,其实就是一个流程,一个过程就是给大家做了一个总结。
总结了这样子的一个期权的一个过程,然后实际的一个内容的话就是呃就是更详细,更多的话大家做这个实验。
在实验这边的话有详细的一个介绍,然后等会的话我也会带大家就是一起来做一下。
就是啊,我也亲就是亲自带大家去做一下。
这样子的一个实验,然后在做实验之前的话,我们先来呃过一下这样子的一个流程,就是呃首先的话是第一个场景,第一个场景的话就是我们的一个目标主题,它开启了这样子的一个mysql的一个远程文件。
而我们工具的获得了这样子的一个数据库的,一个民间的一个用户名,还有密码信息,好,我们可以通过这样的一个udf的一个,手工提取,来去获得操作系统的一个管理员的权限,好呃这边的这个场景怎么去理解呢。
就是呃首先它有一个前提,就是目标主机它开启了一个mysql的一个远程文件,然后的话就是说我们就是目标的一个机器,它我们可以在远程去连接这样子的一个,mysql的一个数据库,阿尔法。
我们已经获得了他的一个mysql数据库的,用户名及密码对吧,关于这个用户名密码信息的话对吧啊,用户名嘛,密码信息的话,就比如说,我们通过就是说某一个漏洞对吧,通过某一个漏洞得到了他的一个。
或者得到了他的一个管理后台对吧,得到了某一个网站的管理后台,然后的话在他的后台当中的话有呃,查看到对应的一个数据库的一个信息,或者说你得到了这个机器的一个web share。
当时的话这个web shell的话呃,他对你执行了这样子个命令,就是你在他的你得到这个web share的一个环境下面,你比如说你用菜刀对吧,或者说用已经这样子一个web share工具连接之后。
我们可以去得到一个虚拟终端是吧,但是他这个虚拟终端,他再去执行相应的一个命令的时候,他是有对应的就是有限制的,就他因为你去执行系统性的话,你是同样的,是需要去调用它的一个系统的一个函数来去呃。
执行我们的一个命令对吧,那么他有禁用这样的一些系统函数的话,你的一个shell的话,你是无法去执行对应的一些命令的对吧,那么在这种情况我们得到vip之后,我们可以去查看他的这样子的一些文件是吧。
就是比如去翻他的一些配置文件,然后的话正好翻到了他的一个数据库的一个,用户名称以及密码的这样子的一个,配置文件的一些信息,那么这个时候的话我们可以利用呃,就是我们得到了一个shell。
我们可以通得到它的用户名密码,我们可以连接到这个mysql的数据库当中,然后的话连接到它的一个数据库当中,之后的话,我们可以通过这样子的一个udf的一个群,来去尝试得到它的一个管理员的权限。
然后具体的一个方法的话就是呃,首先第一个创建一个临时角,就创建了这个表的话就是用于存放我们前面啊,用于存放我们的这样子的一个,前面所说的这样子的一个调文件是吧,因为我们现在的话是能够去对它的一个数据库。
做相应的一个操作对吧,但是的话我们的一个操作的话,只只只限于它的一个数据库对吧,我们无法去操作它的一个系统,好在这个时候的话,我们可以用这个u d f,提前就把我们自己写的这样子的。
自己编写的这样子的一个ud f的一个调文件,把它插入到这样子的一个表中,插入到我们这边创建的一个临时表当中,插入进去之后的话,我们再去通过这样子的一个呃音区,通过这样子的一个方法。
把我们这边所插入到的一个数据,把它导出到我们的这样子的一个呃目录当中,就是把我们这边的一个ud f d l文件,把它给导入到我们这边所创建的这样子的一个,呃文件夹设当中,然后在这边的话就会有一个问题。
就是如果说这边他没有对应的这样的一个,文件夹对吧,那我们就需要去用到这边的这个a abs流,而去创建这样子的一个,lib以及plug的这两个目录,好注意的话是在这样子的一个目录。
这个目录的话就是它的一个mysql的安装目录,关于mysql的安装目录的话,我们可以通过selector呃,data base di来去查看它的目录网,然后呃我们这边导入进去之后的话。
等于就是我们的一个dl文件,已经导入到了他的一个,发给到一个文件目录下面去对吧,然后我们就可以通过利用这个udf的一个,dl文件,就通过这个点文件来去创建,一个这样子的一个function。
这边的一个翻译,取名字的话就是和sam d share创建这样的一个函数,然后的话我们就可以用这个函数来去执行,我们的一个系统的一个命令,好在这边的话就是创建了,就通过啊执行这样子的一个。
添加管理员用户的一个mini,来去创建一个管理员用户,然后的话我们就能够去啊,得到这样子的一个管理员的权限对吧。
呃大体的一个思路的话就是这样子,我们来具体的来看一下这个实验,呃关于这个实验的话,呃,大家应该就是前面的话有相应的一个,就是相应的一个实验对吧,就是有涉及到实验室的这样子的一些内容。
就是给大家做课后作业是吧,大家应该对我们实验室的这样子的一些操作,他应该比较熟悉了吧,就是呃关于这些操作,应该应该算是比较熟悉了吧对吧,就是指导书这些东西应该都是看得懂了是吧,知道书这边的话很相像呃。
呃呃熟悉好,那么我就不再去介绍,就是说怎么去做这些东西了是吧,我这边的话就是呃会挑一些内容,就比如说这边的这种实验环境对吧,你首先的话你就先去看一下吧,然后的话在这边的话注意就是有两个机器啊。
就是我们这边有一个用户以及漏洞主机对吧,我们这边还可以去做一个切换的,就切换到这两个主机上面去操作,以及就是实验文件的一个下载对吧,就这边他有给一个和下载地址,注意的话。
这个地址是你只能在我们的这个机器上面,在我们的这样子的一个机器上面,你才能够去呃下载到,而不是说你在外网,你在而不是说你在你自己的一个浏览器当中,你去打开这一个链接,你是访问不到的。
因为没有这样子的一个资源,就是这个资源你要访问的话是在内网去访问的,然而在这边的话实验的话,他呃有列举了这样子的1234个步骤,三个步骤,然后每一个步骤的话,它就是提供了一个任务,就是作为一个任务。
你是就你跟着他一个步骤来来去进行一个完成,然后首先第一个它就是介绍了这样子的一个产,两种测两种测试场景,就是在碰到这样子的两种场景下面的话,我们逻辑进行一个提前。
然而以及也介绍了就是夜店舞提前的三个步骤,就是信息收集,信息收集的话就是收集你的一个目标,你你的一个目标的一个像这种呃,你的一个数据库的一个呃类型对吧,如果说你的一个数据库你是mysql。
那么你就用mysql mysql的一个提取码,如果你是sex sel,那么你就用sex seven以及的话呃,当然他在这边的话就是udf的话,就是mysql以前的话,还有就是收集你的一个就mysql。
数据库的一些版本对吧,你的一个版本信息,就版本的话就是如果说你的一个版本,你低于这样子的一个版本对吧,你在这个以及你的一个系统版本,是这样子的一个版本,那么你这个掉文件里。
是要放到这样子的一个目录下面去了,当然的话现在的话就是呃,应该是不存在这样子的一一个机器人,低于这个样子的一个版本的一个mysql了,然后的话就是呃,两两种场景的两种场景下面的一个提前。
就是在这边的话总总结了这个实验的三个步骤,分别的一个内容,它是什么,第一个步骤啊,就是信息的一个收集,就是我们我们得到了这样子的一个呃,那效果数据库的这样子的一个。
操作的一个权限,我们这边的话嗯,在这边的话是能直接在目标机上面去执行的,这边的话,因为其实我们我们得到的话,得到了这样的一个数据库的这样子的一个,连接的一个就是连接到它的数据库,对数据库做一个操作对吧。
当然的话呃直接执行这样一个system info的话,是在目标机器上面去执行,那么我们已经得到了他的目标机器的一个,这样子的一个能够去直接去执行命令的话,那么我何必要去提升。
所以在这边的话就是其实就是是告诉大家,就是我们可以通过这样一个命令来去收集到,我们的一个服务器的一个信息,然后其实我们通常就是通关map嘛是吧,通过map去扫他的一个服务器的这样的一个信息。
扫他的一个服务器的一个版本,以及mysql服务的这样的一些版本的一个信息是吧,啊,呃再对话他通过这样子的一个mysql加杠v,我们可以来查看到它的一个,那下面的一个版本啊。
然后的话我们可以通过select gression,来去查询它的一个版本,当然在这边直行是max,执行这样子的一个slack的话,我们只需要在连接到它那个mysql的数据库当中,才能够去执行,好。
直接这样子在呃,在mysql当中是直接sla vision在这边的这个wah的话,它是mysql内置的这样子的一个呃,这样子的一个函数,这样子的一个方法好,我等会再讲那个succel的时候。
就是用这样子的一个art art venture,来去查看它的一个呃版本,也是它内置的这样子的一个,因为它内置的有这样子的一个语句啊,这话我们就能够去查看到他的一个mysql的版本,是5。1。
4的这样的一个版本对吧,那么从这边的一个信息,我们就知道它的一个level的一个目录啊对吧,它的一个level入的话,是在他的mysql数据库的安装目录下面的一个level,lag planet是吧。
然后的话我们还需要去知道,这是它的一个数据库的一个安装目录,安装过的话,就是这个我们可以在mysql当中通过base编,来去查看到当前的这一个数据库,它的一个所在的一个目录。
就这个这个的话其实就是它的一个安装目录,好,我们可以呃,因为我是在直接连着本地的对吧,我可以直接在这边来查看一下,看看是不是对吧,就这边的这一个mysql的这边的话,就它一个安装路。
以及在这块有这样一个level,以及发展的这样的一个目录,而他这边的话是已经有了这样子的一个目录,所以的话就可以省略我们前面的一个操作,那话如果没有的话,就需要我们通过a d s6 去创建,好在这里话。
我们呃尝试通过这样的一个方法对吧,来去演示一下,来来去演示一下创建单子的一个a abs的画像,比如说我我们可以通过,就是这样子一个方法,而在这个话我直接通过snet。
select into onfire这样子一个方法,然后这边的话select的话,这这里的一部分呢就是我们的一个数据是吧,就嗯这边的话随随便填啊,就是其实就是我select这样的一个数据吧,对吧嗯。
呃大家带有对mysql数据库了解嘛,就是大家自己有去玩过吗,像比如说对吧,我这边直接select这样子的一个,随便的一个数据的话,它就会输出这样子的一个数据对吧。
然后其实在这个话其实就是我select这个数据,就是这个数据就是我要去导出来的,然后导出来到这样子的一个,到这样子的一个目录下面去是吧,然后呃是要导出到这个目录下面去。
然后我这边的话就先看一下这样子的一个例子,我这边的话就找出一个就是导出一个文件,比如说123这样子的一个文件,我把我的一个内容,然后要注意的话,就是在windows下面。
用p要用一个反斜带来去做一个早一个样子的。
一个反斜杠,才能够去,才能够去执行呃,这边的一个就是把我们的一个数据,写到这样子的一个对应的一个目录,然后你可以看到,就我这边的话是通过这样的方法select行,然的话导出到了这一幕下面的。
一个123的这个文件当中是吧,你会发现他在这边,原本应该原本的话是没有这个文件的,我们这边可以打开看一下。
这里面的一个内容的话,就是刚刚所写进去的这样子的,三个叉的一个内容对吧,那么我们也可以通过就是这样子的一个,创建文件流的一个号,比如说345,dt比如说我要去创建这样子的一个,一三点tx。
用3400太值了,这样子的一个文件,咳咳,那么我可以通过这样的一个方法,然后呃大家看这里注意。
对吧,我这边执行之后的话,在这边它就生成了这样子的一个文件,就这一个1234点text里面那个内容的话。
同样的也是尴尬的一个内容对吧,这就是创建了一个这样子的一个文件,那么我们要去,我们实际的话要去创建这样的一个文件夹对吧,就没有这个lib文件夹的话,因为这边有的话,我就以另外一个文件夹为例啊。
我就比如说我要去创建一个1234,1234的这样子一个文件夹,比如说aa的一个文件夹,好我们需要去,指定的一个牛牛的一个类型是这个index dunlocation,呃呃中间的这个牛的一个名字的话。
我们可以省略,省略的话就是视为空嘛,就等于就是两个两个冒号,这两个冒号然的话执行执行之后的话,执行之后的话,虽然在这边他会有这样的一个报错啊对吧,就是他说every writing fire是吧。
然后就其实就跟我们在这边cd上面,刚刚说就是找不到那个文件对吧,他也会有这样挖成,但是实际话它的一个内容的话。
它是已经就是我们的一个文件夹,它其实已经创建好了对吧。
你会发现在这边就多了一个这样子的感,aaa的一个文件夹,也就是我们这边所写的,比如说我再创一个,我在aa目下面我再创一个,换一个bbb,换个bbb的这样子一个文件夹,就是这样子对吧。
你会发现这边他就加了一个bb,就其实呃我们要去创建这样子的一个lib,plugin的话,就是我首先创建一个lib文件夹是吧。
然后我再在那个文件夹下面,再去创一个party的一个文件夹。
就通过这样子的一个方法,aa目录下面的话有了一个bbb的一个目录,就是这样子的一个方法,这边的话他也呃语句的话已经都已经给出来了,好呃这边要注意啊,这边这边没有这一个这个这个这个叫顿号啊,没有这个顿号。
就如果你复制粘贴的话,你注意把这个顿号去掉,就你不要你不要直接就复制这一块,复制这一块,然后的话直接粘贴啊,然后还有的话就建议大家自己多去手敲,就人不复制的话就不复制,就像这一些代码的话。
应该不是很长对吧,然后的话你手敲的话,你会对这个语句会比较熟悉,以及你能够去了解它的这样子的一个结构吧,嗯我们先休息两分钟吧,好吧,50的话再继续,好我们继续啊,呃刚刚的话给大家就是实际的讲解。
就已经操作了,我们的话通过这样的a d s流,来去创建这样的一个目录,对吧啊,呃下面的话就是我们的一个第二步,第二步的话它就是第一种场景,就是我们的一个目标主机。
开启了这样的一个mysql的一个远程连接,而我们通过相应的一个方法得到了他的数据库,用户名密码对吧,然后我们可以通过udf的一个手工提权,来去获得操作系统管理的一个权限,好我在这边上实验。
这边的话是有有两个主机对吧,这个leak的话就是我们的一个,就是我们攻击的一个主机,就是我们的一个靶机,然后这边的一个tag的话,就是我们的一个呃攻击的一个机器。
就我们实际操作的话是在这个机器上面去操作,然后我们来去攻击这个远程的这个主机是,然后呃在这边的话就是实验的话,这里给的就比较人性化,这边给的就是如何去开启目标主力的mysql,远程零件。
就说这一个场景的话,它的一个前提的话就是目标主机,它开启了一个mysql的一个远程连接,也就是说我们能够去远程的去呃,登录这样子的一个mysql数据库,然后的话进入到他一个数据库,去做这样子的一些操作。
对吧,呃,呃在这边的话就是开启他的一个隐形的一个方,法,是这样子的,然后呃首先的话就是柚子这样的一个mysql数据库,就是进入到这样一个mysql的一个,系统数据库当中啊。
update来去更新这样子的一个优质的一个数据啊,其实我们可以通过新闻查看一下selector,比如说host user,from the,从这个,从这个优质表当中我们查看一下,就是它的一个现象。
就是主机线下要用户名密码的一个信息,我们可以通过这个语句来去查看对吧,然后在这边的话就是呃,我们要去更新它的这样的一个信息,因为他这边的一个host,就表示它的一个数据库的话。
它只允许就是说它只允许在本地,也就是通过log house的一个方法,来去用root方式来去登录这个数据库,所以的话我们想要去远程的去登录的话,我们就需要把这个host的把它做一个更改。
然后给你改了一个方法,就是update,就是呃update user ser 22等于一,等于这样子的一个百分号,百分号的话就表示就是啊,任何的一个这样子的一个组件。
它都能够去通过这样子的一个note的一个用户,以及其以及它的一个密码,还去登录我的这样子的一个数据库,然后这边影响了一行对吧,然后我们再去查看的话,你会发现这边host就改成了2%对吧。
而我们更改之后的话,这个时候的话,我们就能够去做一个这样子的一个登录了,然后在这边还要还需要去给一个这样子的,一个权限,给给权限的话,就是给这样子的一个,就是呃给来自note的用root用户。
就是来自任何主机的这样的一个root用户啊,的一个账号来去登录这样子的一个数据库,我这边画粘贴一下吧,就保存就不少打啊,因为有点长啊,这边如果我这边的话,就用这边,他就是表示你要去设置一个密码。
就我这个号就是个肉啥,就嗯,执行执行之后的话,然后的话刷新一下权限,就fresh privages,也就是刷新权限,就是我们这个在数据库表当中去做了这样的,一些操作的话。
我们需要去通过这个来去刷新它的一个权限,因为我们这边的话通过grant来去呃,更改了他的一个权限嘛对吧,所以的话我们在这边需要通过,就是通过这个语句立即的去刷新它的权限,然后就是能够去立即生效。
呃呃然后在这边的话。
我们切换到这个攻击机上面。
就是其实这个话就是,才是我们实际要去操作的一个机器人。
就前面这边的话就是实验指导书,这边是告诉你,我们要去在我们那个目标机上面去,通过这样的方法能够去开启这样的远程攻击,然后我这边的话我们通过访问那个,访问这个网址对吧,我们这个网址。
然后的话下载我们所需要的这样子的一个工具,以及代码,然后就是在这边我这边把它拖到桌面解压,解说的话,在这边有这样子的一个mv cat,这样子的一个数据库的一个连接工具,我们可以通过这个工具来去连接。
我们的这样的一个远程的一个数据库,好啊,我们这边零件名的话,就比如说kdf吧,然后嗯主机名的话,就是这边的这个呃leak的这个主机啊,就是这边i p的话,就是这个,等1等1等1对啊。
然后呃密码的话是note note也是我们已知的对吧,就我们要去连接这样的数字化,我们就需要知道它的一个额账号密码了对吧,好我们尝试连接在这的话,可以看到这边的话已经连接成功了对吧。
我们能够去访问到他的这样子的一些数据,连接到它的一个数据库啊,呃大家自己在做梦的时候,可以,就是你可以先在这边一些尝试去去连接一下,因为呃,你前面的话没有去配置这样的一个权限的话。
你是不能够去远程的去连接的,你需要去配置这样子的一个,允许它的一个远程连接之后,你才能够通过这样的一个方法,去远程的连接这样一个mysql的一个呃服务器,对啊啊啊啊,连接连接服务器之后的话。
我们在这边的话,就我们可以直接去超过他的一个数据表对吧,然后这话我们可以通过这样子的一个方法,就是新建查询呃,在这里啊,就是你连接之后,这个这个工具大家应该经常用吧,就我们点这边查询对吧。
查询这边我们新建一个查询,新建一个查询之后的话,在这边的话我们就可以去呃,输入我们的这样子的一个查询的一个语句,就比如说,sexting from,你没表,嗯比如说我修的base啊。
我在这边的话就能过去啊,执行我们的这样子的一个,mysql的一个查询的一个语句对吧,然后大家要注意的话,在这边的话,因为你是在这个test表上面去查询的,所以的话你当前的一个操作的话,是在这个表现表啊。
如果说你在这边,比如说你mysql这个表现面对吧,你去新建一个查询的话,你就在mysql表现面,然后这边的话我们可以通过the tables,来去查看,就在这个数据库当中的所有的一个表是吧。
然而前面的这两个表的话就是mysql的一个系统表,然后在这边的话,我们就以这一个test的表,在这个表当中去创建这样子的一个临时表,然后呃我们通过这样子的一个语句。
我们首先的话我们当前的是在这样子的一个,test的一个数据库当中对吧,然后可以通过create来去创建这样子的一个table,创建一个tables,然后table的一个名字的话,我就跟他这边的一样。
以及这边的一个表的一个类型,tp就为了等会就是不会那么难区分了,然后在这边的话就是创建了这个表,下面的话创建了这样子的一个字段,就是这个u d f的这个字段好,我们来运行一下,诶我错了呢。
啊不是tles,是create table,然后执行之后的话,在这边的话就,可以看到这边他没有没有报错的话,就说明我们这边语句的话直接成功了,然后我们这边可以没有,通过show tables。
你去查看一下,可以看到这句话就进进入了,经历了这样子的一个temper,优点f的这个表对吧,嗯嗯嗯可以看到,在这边的话就建立了这样子的一个temp,udf的一个表是吧。
然后我们可以通过select section form这样子的一个temp,01:20,在这个表当中去查询啊,然后查询的话,在这边你可以看到有这样的ud f的一个字段,对吧,但是在这个字段下面的话。
因为我们没有插入数据,所以的话他这边是call啊,就是那对吧,说实话我们这边创建的这个表的话,已经创建成功了,就创建了这样一个临时表,这个临时表的话就是用于我们写入我们的啊,这边的一个dl的一个数据。
那么下面的话就是我们需要去将我们这边的,一个一定有文件的一个二进制的一个数据,插入到这个表当中,然而在这边的话嗯,这个dl的话已经这边已经给出来了,就是在a,这里这个话给的这样的一个文档对吧。
这个文档的话,就是我们这个ud f d l的一个数据,他这话是一个16进制的一个数据,就是他把我们的一个这样子的一个dl文件,一个二进制的一个文件,把它给转成了16进制,转成16进制的这样一个格式对吧。
因为呃转成实际建设的话,这样子的一个是我们能够去这样子的一串代码,对吧,是我们能够去直接的去呃查看到的,不然的话,你平常比如说你要去打开一个,像这种可执行文件对吧,这二进制的这种文件的话。
你打开的话它是一个乱码的对吧,好在这边的话,我们复制这个这一串代码,然后我们通过这样子的一个方法,把它给插入进去,就是通过inside这样子的一个语句,inside in true的话就是插入数据嘛。
就是像我们这边的这个表当中,去插入我们的一个数据库了,再点进去查不到这个tank pdf的这个表当中对吧,然后值的话嗯,值的话为这边这边要注意的话,这边comment的话就是把我们这边的这个镜子。
把它做一个转换,就把它转换转换成原来的这样子的,一个二进制的这样子的一个数据,设问,是有问combat,用这个combat的一个函数来做一个转换,然后转换的话,前面这一部分呢,就是我们刚刚所复制的那个。
随时定制的一个代码,然后这句话我一看,就是我们要去转换的一个类型,然后这边的话把我们这边复制的这一串代码,诶这个可,为什么我的,这么快就进行了。
哇,这边碰了,他不能乱用啊,怎么不能用快捷键了,刚刚还可以用吗。
怎么全选,我这的话呃,复制这边所有的一个数据,把它给拖到这边了,粘贴把它粘贴过来,粘贴过来之后的话就是这样子的一个语句啊,就比较长很长的这样子的一个语句,然后他的一个作用就是把这边的这个数据。
它会把它转成一个啊恰的一个格式,刀的话存存到这边来,好我们运行运行之后的话,在这边发现就受影响的是一行,就是你看到这样子的一个结果,就说明我们这边的一个语句的话,它执行执行成功了,也是没有错误的。
然后关注了你,我也会有一种游戏,那我刚刚没写错吧,然后呃在这里的话,我们可以通过查询它里面的一个内容啊,可以看到在这边的话,我们的一个内容其实已经写进去了,写入到了这样子的一个啊对吧。
这边的话就是这边的话其实就是啊,我们正常的在,比如说在我们windows系统上面,去打开这样的一个调文件的话,是会显示这样的一个乱码是吧,你可以发现在这边它是一个调的一个文件,然后显示这样子的一个结果。
那就说明我们这边的话呃,是把我这一个内容已经写进去了对吧,然后写进去之后的话,下一步就是我们需要去把它导出来,导出来的话在这边就用到这个jp file,intrudp file。
那我这样的话直接复制粘贴吧,有点长,就不打了,是个,就是这样子的一个语句啊,就是从就select udf嘛,就从我们这边的一个test数据库当中对查,就是把u d f这个字段当中的一个内容对吧。
从这个表当中查询出来,查询出来的话,导出导出到这样子的一个目录下面,保存为这样的ud f0 dl的一个文件,好在这边的话我们来执行一下,执行之后的话发现执行成功了啊,执行成功之后的话,我们在这边的话。
因为我单纯是在攻击机对吧。
我们可以就切换到我们的这个马车上面。
去查看一下是吧,去验证一下啊,这个话只是为了验证我们可以在这个lib下面,paragon,你会发现他在这边就多了这样子的一个,dl的一个文件对吧,比如说我们用记事本打开,你会发现他就是这种乱码的对吧。
其实就是看看我们的这样子的一个内容,已经写入到这个文件当中对吧,那么我们的一个调文件,已经成功的,就是上传到了我们的一个目标的一个,指定目录下面去了对吧,那么下一步的话。
就是我们要去利用它这个del文件来去创建,我们自己的一个啊,定义的就是用户自定义的这样子的一个函数,然后在你的这一个自定义的函数的话,就呃创建在这个sb share的一个函数,它的一个作用的话。
就是用了可以去调用,我们的一个系统的一个命令,是啊,他这个语句话就像这样子就是create function,创建这样的一个函数,这样子的一个函数,它那个函数名还是savage sh。
然后的话后面的话就是他去调用这样子的一个,呃del文件的一个语法,就是通过这样子的一个方法好,我们执行执行之后的话,发现呃没有报错对吧,就说明我们的一个面的话执行成功了,执行成功之后的话。
我们在这边的话,我们就可以去啊,利用它来去进行一个执行系统的一个命令,比如说我们可以通过啊select sd share来去执行,比如说我这边进行一个ip cb的,运行运行之后的话。
在这边是它的一个结果,它的一个结果虽然是显示这样子,但其实它的一个内容的话呃,是能够我们可以通过这样的一个方法,能够去查看这边右键右键这个内存报表后defile,然后把它保存到我们的一个。
本地的一个计算机上面去,比如说我应该算,123保存成这样子的一个123的一个文件,那我们在这边打开。
打开之后的话,在这边的话就是他的一个直线的一个结果,是我们可以看到这边的话,就是他直接ip configure之后的话,他这个内容就是这里的这一部分,他这个机器的ip是这个对吧。
以及我们还可以去执行其他的系统的一个面,比如说呃拉伸腰的对啊,我们运行。
保存为31522,对啊,这个就是我这边之前那它要走之后的电量,然后这个话是乱码的话,就是它是中文的嘛,它编码的一个格式的一个问题,这边的话其实无所谓的是吧,我们只需要这些内容就ok了。
这个话就是它的一个呃目标机上面,它的一个用户名对吧,也就是我们现在的话就能够去执行,我们的一个系统的一个命令,以及外卖查看我,查看我当前的一个权限,然后在这边的话我们可以看到。
直接就得到了他的system的权限,然后呃就是等于说我单纯,我去执行这种命令的话,我是一个系统的一个群去执行的,所以的话我这边的话得到的是它的一个。
最高的一个选项对啊,但是现在的话我这边还是只能通过这边的一个,mysql的命令去执行对吧,那么我想要去进入到它的一个系统是吧,那么我可以通过这样子的一个命令的一个执行。
来去添加一个系统的一个管理员账号是吧,然后的话我直接再通过远程的一个登录登,通过这个管理员账号来登录到,我的一个目标的一个机器对吧,然后这边的话我就不再演示了,就是添加如何去添加这样的这个用户。
这个的话应该是大家应该都比较熟了,啊这边的话就是第一个场景,然后第二个场景的话就是在已经获得web shell权限,然后的话我们的一个测试人员,可以上传这种片区脚本,但是的话我们无法去执行这样子的一个。
操作系统的一个命令,然后的话呃同样的我们可以用这个udf提取,像我们的一个web share的一个选项,提升到管理员权限,而其在这边的话,就是他啊这边是介绍的一个脚本,就通过这个脚本的话。
这个脚本上已经就是把我们前面的这个优点,很提前的这样的一个步骤,已经就是把它集成到这个脚本上去了对吧,然后我们得到了一个worship,我们可以通过呃上传这个片区的一个脚本。
然后的话来去进行一个这样的一个呃提取啊,当然而上一步的话,其实就是说我这一个场景的话是有假设是吧,是有假设他得到了一个version啊,但是如果你没有得到一个version。
你只知道它的一个mysql的一个啊数据库是吧,就比如说你在内网,你通过呃某一个机器,你得到其他的机器的一个mysql,数据库的一个这样的一个用户名,密码的一个信息对吧,然后你能够去远程连接到它。
那么你就可以去尝试用这样的一个连接上去,之后的话,尝试用这样的一个u d f提取的一个方法,来去进行一个权限的一个提升,然后在这的话就是你得到web share。
然后你就是其实就是我刚刚所说的一个场景嘛,是吧,你可以去上传,上传我们的一个这样子的一个脚本,当时的话你去执行啊系统的一个命令的话,他是受限的,所以的话就其实你得到这个需要,你不能够去执行命令的话。
那么你这个需要的话,相当于是就没有什么太大作用的对吧,你只能够去上传文件,下载文件吧,那么在这边的话,我们就可以通过商城这样的一个文件上传,上传到我们的一个目标机上面去,然后的话他这边的一个脚本的话。
它的一个作用,就是用这个udf提取的一个方法呃,具体的一个,操作的话就是呃我们这边的话,嗯我们这边的话就是试验机的话,已经把这个脚本,已经就是上传到了这个目标机器上面去了,就是他这边的话没有模拟。
说没有去模拟,没有去模拟,就是我们得到web share,然后的话把它上传到这个上面,就省去了中间中间的这一步,然后我们直接从就是我们上传到这个,上传了这个脚本之后对吧,我们怎么去利用它,然后在这的话。
我们同样的需要去知道他这个数据库的一个,账号密码,然后我们提交提交之后的话,在这边就已经登录上了,我们那个目标的一个机器对吧,然后登录的是呃,这样这样子的一个test的一个数据库。
好呃在这边的话呃这边的这个东西的话,我们可以在这边去上传文件,就是有这个脚本的话,我们可以在这边去上传文件,上传到指定的目录下面去啊,呃还有的话就是呃,这边的话是它的一个web的一个目录。
然后在这边下面,这个话就是我们的一个mysql的安装目录,而他这边已经就是已经填好了,这边的一个就是目录下面呃,这个u d f顶尖l的一个呃路径啊,然后我们只需要点点击这个导出的df。
它就会导出到我们的这一个目录下面,那些前面的话我们已经就是有导出了,这个有点回复标,所以的话他这边说已经存在了是吧,这边还是正常的,然后导出之后的话,我们在这边我们就可以去创建sam d share。
以及添加管理,超级管理运用用户是吧,反弹shell等等的这样的一个操作,我们这边的话就以这个创建圣尼希尔为例呃,因为前面同样的也已经创建了是吧,所以的话他这边快报了这样子的。
就是说这一个cbci的一个函数已经存在了,好,这句话我们就直接通过select来去调用,这样子的一个function,来去执行我们的一个系统的一个命令对吧,比如说可,嗯我们执行执行之后的话。
它的一个结果的话就显示到了这边对吧,以及,开麦,对这边的话就是显示它的一个结果,这是这个脚本的一个使用啊,啊这边的话应该就原理的话,就是我们前面讲的这这两个这边的这个操作。
只是他这个脚本的话已经集成了,然后其实你可以打开他的这个脚本。
查看它里面的一个内容,就是这个。
对吧,就这一正面的应用,它的应用的话比较多啊,然后呃其实它的一个,就其实啊,我们刚刚不是有一个导出ud f的那个操作嘛,其实他的这个文件里面的话,他就已经把那个ud f的一个内容。
已经就是写到了这个文件当中嗯,啊这样的话我就不找了,因为你可以往这边拉,有好多,因为他那个和udf文件的那个,字符串的话比较长,大家可以去看一下,去找一下,然后这个脚本上其实就是集成了。
我们刚刚那个操作原理的话都是一样的。
只要知道怎么去用就ok了,呃这边的话就是这个mysql的一个udf,提权的一个实验以及详细的一个步骤。
就大家有没有什么疑问。
可以现在提,大家有问题吗,有问题的扣一,没问题的扣二,就一位同学吗,两位。
三位同学,其他的呢。
其他同学有问题吗,这有18个人,怎么怎么就三个同学回我了。
行吧,大家不是很喜欢,不是很喜欢跟我互动了,我发现那应该应该我就默认大家没有什么问题,好吧,好我们继续我们的一个内容上面,前面的话就是给大家介绍了,就是mysql提权的这样子的两个情景。
下面的一个详细的一个方法,我这里p p t的一个内容的话,就是呃给大家介绍了这样子的一个过程是吧,就梳理了这样的过程,详细的一个内容的话,大家去看那个实验室对吧,好吧好啊。
下面他就是介绍一下这个sex cel的一个提前,就succel的话跟mysql同样,都是我们经常去使用到的,这样的两种数据库对吧,然后呃mysql的话。
它是在windows以及linux产品都能够去使用的,而cccl的话它是windows windows server,windows服务器上面的,就是就是专用的这样子的一个数据库的,这样子的一个数据库。
然后的话呃讲这个这是我的一个齐全的话,我们首先要去了解一下这样子的一个xp,cd shell的这个呃这个扩展存储过程,就是你可以把它理解成一个这样子的,一个组件啊,就这这个这个组件的话。
它可以就是按系统管理员,以操作系统命令行解释器的一个方式,执行给定的一个命令字符串,然后它并以文本行的一个方式,返回任何一个输出,就这句话怎么理解呢,就是说我们就是我们的一个系统管理员。
可以用这一个呃扩展存储过程,来去执行我们给定的一个命令,然后给定的这个命令的话,它会是在它的一个就是操作系统上面,去进行一个解释执行,也就是能够在系统上面,在我们的一个目标系统上面去执行。
我们给定的一个命令,然后的话它会友好的返回输出给我们,啊呃在这边的话就是由于这个xxcm的需要,它的呃,还他可以去执行任何的这种,操作系统的一个命令,所以的话呃它是有一定,它是有很大的一个危害的。
就是如果说我们那个succel的一个管理员账号,就是sa嘛,如果他们获得了他的一个管理员账号,我们连接到这个数据库之后的话,我们就可以利用这个xp cmd c来去执行,操作系统的一个命令。
来得到操作系统的一个权限,所以的话针对这个xp cmd shell的话,在这边后面的话,它会有就是有这样子的一个限制,就是在sex server 2000当中的话,它默认是开启的。
但是2005以上的这种版本的话,它的这个是默认是关闭的,呃呃就是新版本的三个cel的话,它是啊这个xp sm d shell还是默认关闭,所以的话我们无法去直接的去使用它,对啊,如果我们执行。
就是如果说这一个组件它关闭的话,我们执行就通过这个sap sam bp去执行命令的话,他会有报这样的一个错误,这个话就是让大家了解一下,就如果你啊发现报了这样这样的一个错误。
那么就表示这边的一个xp cmd shell的话,它是没有开启的啊,呃这边的话就是如何去利用这个,tcb shell的一个语法,就是通过这样子的一个方法,就ex e c执行这样子的一个呃。
xp cmd的一个小的一个扩展过程,然后后面的话接我们的一个要去执行的一个,mean的一个字符串,就dos命令吧,啊前面的话有介绍,就是说在新版的sql server它是默认关闭的对吧。
那么它默认关闭我们是不是就不能用了呢,其实不是的,就是啊他虽然阻止了对这个xp cm mcl组件的啊,这样子的一个反问,但是的话我们呃可以通过这样子的一个方法,sp configure来去启用它。
当当的话在这边的话要注意,就是是只有系统管理员,他才能够去通过这个方法来去启用它,所以的话就我们要去进行这样的一个期权的,一个前提条件是,你要有你要去得到的这样子的一个啊,管理员的一个账号的一个权限。
或者说你能够去以这样子的一个管理员的权限,来去执行这样子的一个命令,这边的话大家要去注意要注意的一个点,然后呃如何去启用这样子的一个xp cb线呢,就是通过这样子的一个方法。
呃就是使用这个sp的一个config h,首先的话使用这个,然后的话呃,率config的话就是我们这边使用的这一个呃,设置为一,它就是表示启用,启用之后的话,他会去重新配置。
也就是就跟我们前面刷新我们的配置一样的嘛,对吧,然后的话在他再去使用这样的一个xp,cmd的一个shell,然后的话刷新配置之后的话,我们这边的话就启用了,然后我们就能够去去调用它。
来去执行我们的一个系统的一个命令呃。
呃关于这个succel的一个提前的话,在这边通过这个实验。
这个sex cel就是micro。
sex sever的这样子的一个注入提权,的就是通过这个实验,然后这个实验的话嗯,指导书的话同样的也很详细啊,就是详细的介绍了他的一个过程呃,在这边的话这个实验的话,它是首先它是通过一个注入点。
就通过一个cp server的一个注入点,然后这个注入点的话,我们因为我们知道我们的一个sql注入的一个,应用方法呢,就是啊或者说它的一个漏洞的话,就是我们可以去啊,注入我们自己的一个sql的一个语句。
然后的话把它带入到目标机器,目标的一个circle的一个服务器上面去执行对吧,所以说在这边的话,我们找到这样子的一个sql注入点,那么他可以去就是执行我们这边注入的。
额外的这样子的一个恶意的一个sql语句是吧,然后的话带入到他的一个sl服务器上面去执,行,执行之后的话来返回相应的一个结果,就是,然后首先的话就是就是呃,有这样子的一个注入点,就是这边的这个实验。
就他这边已经呃提前给了这样子的一个注入点,对我们利用这个注入点来去进行一个,这样子的一个提权,访问访问之后的话,就是这样子的一个相当简单的一个页面,就是呃就是啊欢迎欢迎,就是抱抱对吧。
然而他的一个ur的话就像这样子,然后通过他的一个ur这边,其实我们就能够,就是大家对收购入比较熟悉的话,就看他这样子的一个参数,我们就能够去基本的去判断对吧,就一般的话搜狗注入的这种点的话。
它是会就是有对应的这样的一个参数对吧,然后这个参数的话,它是从数据库当中去获取数据的,就是说他有与数据库去做这样子的,一个数据交互,那么我在这边的话就能够去利用它。
就如果说它存在这样的一个社会注入漏洞的话,我们可以利用它的这一个参数来去注入,我们自己的一个社会的一个语句是吧,好这句话就是他i d等于一对吧,那么我们尝试一下i d等于二,就等于二的话。
他这边没有数据是吧,三,都是没有数据,那说明的话他这边只有一有数据是吧,或者说他是没有这样子的一个id值是吧,那么呃测试sl注入的一个点的话,就我们常用的一个号就是加一个单引号对吧,就是加一个单引号。
原本的话正常人是这样的页面,我们这边加一个单引号,他这边的话就有了这样的一个报错,然后有这样的一个报错的话,我们也能够去有一个基本的一个判断,判断它存在这样子的,比如他很很有可能存在这样子的一个。
生活中的一个漏洞,就为什么他我们通过这样的一个单引号,能够去做这样的一个判断呢,就是呃大家如果对sql语句比较了解的话,就是我们的这样子的一个这样子一个页面对吧,这个页面我们像这个页面传递的这样子。
就等于一的一个参数对吧,然后这个参数的话,它其实会传递到我们的一个sql数据库,呃,传递到就就是这有一个页面它能够去处理,就说他能够去处理这样子,我们传递的在这样子的一个呃id值对吧。
然后他处理这一个id值的话,它会把我们的一个sql的一个语句,它会传到我们的一个circle server,的一个服务器上面去执行对吧,执行之后的话,他会查询这样的一个结果,然后反馈给我们。
那么其实我们通过这样子的页面,我们也能够去基本的就是能够去呃,猜测它的一个后台的,就是基本的这种sql语句的结构对吧,像比如说在这边的话,我们可以就是假设它是呃这样子的一个,sql的一个语句吧,比如说。
比如说我这边select name对吧,就是这边显示它的一个name值吗,或者说还有一段话就是time是吧,这样的话这边我这边是假设就是假,因为我们从这个页面的一个数据嘛对吧。
就是bob还有这一个这边的这个时间,然后其他的这一个这一个的话,它它都是固定的一个值嘛对吧。
比如说我这边二对吧,它都是不变的。
变的话就是他这边后面的这个数据,那我们是不是可以大胆猜测一下,它的一个sql语句,就是select name或者说time对吧,就是大概也就意思嘛对吧,然后是form这样子的一个u的表当中对吧。
然后while i d等于多就,不把id等于多少,就是这个优质表当中的话呃,我们假设它就就我们从这个方能够去确定它呃,大概有这样子的三个字段是吧,就id id字段,name字段,time字段是吧。
其他的话我们也不知道是吧,就我们也不用管,我们就假设它的一个sql语句,我们猜测它是这样子的是吧,那么它的一个语句的话就是当id等一的时候,他会去这个优质表当中,或者说某个表当中去查询他的一个名字。
以及时间对吧。
那么我们在这的话,我们如何去注入我们的一个语句呢,哈首先在这的话我们需要去判断一下,就是说我们常见的这种sl的一个柱对吧,它有像这种字符型,数字型对吧,我们的一个方,我们需要去判断它的一个这种类型的。
就我们从这边也能够去从这这边的话,也能够去基本判断它应该是一个数字写,那么我们首先在这边呃出了一个单引号对吧,单引号之后的话,它报错,报错的话,他这边是表示呃字符串后的一个引号不完整。
就是我们这边引号是多的对吧,那么我们把这边id等于一单以后。
我们把它带入到我这边的这个sql语句,就就像这对吧,i g等于一这样子的一个数据,那么它实际它如果他没有对我这边做一个过滤,对吧,没有对我这边的ip只做一个工具,它会把我这边的一个这个语句。
把它带入到sql数据库当中去查询,然后他查询的话,他查询这边一单引号,这个值就是在数据库当中,是不可能存在这样子的一个单引号的一个值的,所以的话那么他肯定查找不到这个值,所以的话他就会报错。
当然的话呃如果说就是你加一个单引号对吧。
你没有报错,那么可能是就是说它有对我们这边的一个,传递的这个参数有做相应的一个过滤。
然后在这的话他有这种报错对吧,那么说明他有把我这边的一个单引号的,这个字符代入到了数据库当中去查询,因为他找不到这样的一个数据嘛,所以的话他会报错嘛对吧,好啊,大家还可能说就是有可能是字符型的对吧。
那字符型的话我们来测试一下对吧,就是字符型的话,我们知道它的一个i d值话,它会被这样子的一个单引号做一个包裹是吧,所以话我们在这边的话,其实我们在这边加一个单引号。
然后我们在后面加一个这样子的一个杠杆,刚刚空格,刚刚空格的话,就是在mysql下面的这样子的一个注释符啊,就是他可以忽略后面的这样子的一个字符。
就是实际的话,就比如说如果说他的一个id是像这样子的一个,字符型对吧,它会有这样的一个单引号,它的一个数据的话,它会传到这边来,那么我这边i d等于一,它传到这边来对吧,就是这样子的一个语句。
那么我这边加一个单引号的话,他就是成了这样子对吧,等于的话就是他这边它它它查询的一个值的话,就是i d等于一的这一部分,但是在这边的话它多了一个单引号对吧,所以的话他去查找这个。
所以在这边的话他会有报错。
他说后面的这个引号不完整啊,其实实际的一个语句是这样子的,所以点点干啊,好如果说就是它是一个字符型的话对吧,那么我这边点点干,后面干干空格,后面的话他会把这边注释掉对吧,也就是实际的一个语句。
他其实是这样子的,也就是他这个r一等于一的话,它有这个值,那么它他这边的话就不会有这种报错啊。
然后他这边不是说字符串后面的一个引号。
不完整,也就是我这边加了这样子的一个引号对吧,就是加了这个引号之后,他说后面没有一个引号,因为它没有闭合这边的这个引号,所以的话他说这边不完整对吧,也就是说他其实是这样子的一个这样子的。
一个这样子的一个语句啊,是吧好,我们也可以通过像,比如说通过这样的一个语句嘛来去判断你的,通过这样子的一个方法对吧,如果说它是一个字符型的话,我们在这边的话,通过闭合它的这样子的一个。
就通过闭合它的这样子的一个单引号啊。
来去判断,就比如说它是字符型,他这样子的话,我们嗯,等于一点是这样子的话,那么我们团传进去的一个数值的话,就是这一部分对吧,是这一部分,那么我们在这边的话,如果说它是一个字符型。
那么我这边藏着这个数据化,我通过单引号做了一个闭合对吧,就是这一部分这一部分的话,i d等于一的话是有直的,那么它会返回返回值对吧,因为n一等于一,这边的话他肯定是相等的,也就是为真,然后n德的话是。
很多的话就是两两就是前面的这一部分为针,以及后面的这一部为真,它才会就是为针对吧,也就是他不会报错。
然后这边的话啊扯远了,给大家讲讲师口注入去了啊,就是这其实也是这就是可能有些同学不知道,但当时的话小狗注入的话,应该这个话应该大家都是很熟悉的,我这句话就是正好到这边,我就介绍一下呃。
呃呃前面其实前面课程的话应该也要讲对吧,假sql注,所以原理的话都是差不多的就好啊,其他的不说了,就是我这边的话,就是我判断了他这边存在存在这样子的一个,sl输入对吧,那么我在这边的话。
我们就可以去插入我们想要的这样子的一个,sql的一个语句啊,去做一个查询对吧,然后在这边的话,同样去进行一个这样子的一个提前的话,我们首先需要去判断用户的一个权限。
就是因为只有这样子的一个c s y s i的,命组的一个用户,他才能够去执行这个插线的去选,就是在这个组的一个用户的话,它是一个就是数据库的一个管理员,然后的话我们可以通过这样子的一个语句,来去判断。
好我们我们这边执行执行之后的话,你会发现啊,他这边是没有没有变化的对吧,没有变化的话,那么就说明我们这边的这个语句,它是执行正确的,也就是说也就是说我们这边的这一个select啊。
已知就是这个server member,然后的话判断当前的这个就当前的用户,他是不是在这个s y s i的面的这个组啊,他的这个sql语句它是执行了,而且他的一个执行的话是正确的。
就执行正确是什么意思呢,就是我当前的这一个呃,当前的这个数据库的一个用户,它是属于这个sy s它的面的这个组的,所以的话我这边的话它是没有报错的,因为d等于一,它是为真的对吧,好n的话就是两针才回升吧。
这边为一,它是就是这边为真,然后这边后面的话它同样的也为正,所以的话,我们这边的话是能够正常的去得到结果的对吧,然后我们这边可以就是呃随便改一个对吧,然后我们执行执行之后的话,你会发现他这边没有结果。
因为我们这边的话这边写错了是吧,它它不是就当前用的,他不是这个s y s d m i n这个组,而是admin这个组是吧,说明的话我们这边的话,之前的一个结果它是呃正确的,也就是当前的一个用户。
它是一个管理的一个用户啊,然后的话我们还需要去判断数据库当中,它是否存在这样的一个xp cm的线,好我们先讲实验的时候,我们先看一下我ppt里面的一个内容,就是呃这边的话也练了,就是常见的就是csol。
注入的一个系统的一个函数啊,像user user name就是获取当前的一个用户,然后呃db name就当前数据库的一个名字,然后host name,然后我选数据库的一个版本等等。
以及这一个判断用户是否属于管理员组,啊,这个话都是就是它的一个一些系统的一个函数,就是它已经内置了,我们可以直接通过select来去查询去使用,是啊呃然后的话就是判断用户的权限。
就通过这样子的一个语句好,下一步就是判断是否存在这样的一个x p3 ,p c,就是呃判断这个数据库当中,它是否存在x p cv下,就是呃这边的一个xp cd share,呃,要注意啊。
就是我们前面的话是呃,我们前面的话是有说就说这个type c m d区,它默认它是关闭的对吧,但是的话它关闭的话,就说明它有存在这个type c m d区,而只是被关闭了,对吧。
当时的话如果你的这个sql数据库当中,他没有这样的xp cm d cl的这个组件的话,那么我们肯定是用不了的对吧,我们因为它没有我们怎么去尝试开启来了,所以的话我们可以在这边。
可以通过这样子的一个方法去做一个判断,就是他会在这样子的一个系统的一个,数据库当中去查找,查找它的一个类型是这个啊,名字是这个texcel就行,如果有的话,就说明它是存在这样子的一个组件的。
然后存在这个组件的话,我们就可以利用这个组件去执行命令的,如果说执行命令的时候报错了,就报我们前面的这边所说的这个错误,那么就说明我的这个插件是cd c,它是没有开启的对吧,那么没有开启的话。
我们就可以尝试使用这一个sp config来去开启它,然后的话来去啊,利用它来执行我们的一个系统的一个命令,就大体的一个思路就是这样子,然后具体的话在这边的话,我们来到实验这边来看一下呃。
判断它是否存在这个组件啊,我这边的话,因为呃时间关系以及就是这个的话比较长啊,我这话我就不敲了,敲的话敲的话是可以敲,但是比较浪费时间啊,就呃当然大家的话就是不赶时间的话,不赶时间的话。
我建议大家还是自己手动的去敲一下,就是你敲的话其实长也不是很长对吧,然后这边的话我们执行执行之后的话,发现没有没有没有报错对吧,或者说没有,就是它有内容返回,也就是说我们这边执行的这个语句的话。
它是就是他已经执行了,然后的话他是执行正确的,就表明的话我这边的啊,这个super server的那个服务器的话,它是有存在这样子的一个xp cd shell这个组件的,然后的话呃。
我们确定了它存在这一个组件存在对吧,那么我们还需要去确定它是否启用,你确定它是否启用的话,我们可以直接就就直接去执行,这样子的一个语句对吧,就是利用这个time smisha来去执行语句嘛。
如果说他不存在对吧,那么它就会报错,如果说它存在的话,那么他就会执行我们的一个语句,不会报错对吧,这条就这样,然后这边的话之前的一个语句话,就是就用我们前面的去调用这个txcm,必须要的一个语法。
就ex e c加这样子的一个,然后的话去执行这样子的一个nude name,password a的这一个一句话,就是添加这样子的一个name用户密码,它是password对吧,好好好卡着呢。
这边的话是呃杆的话是卡的,然后这边的话我们执行执行之后的话,可以发现这边的话他报错了,就是有报错对吧,然后其实这边的一个报错的话,就已经写出来了对吧。
他说这边sex server它阻止了对这一个组件的一个,这样子的一个访问,就是用这个呃过程来去执行,我们的一个系统命令吧,它阻止了,然后,就是这个组件它是呃作为了服务器去配置的,一个呃一部分啊。
所以的话他这边的话是把这个xx sb线的一个,组件关闭了对吧,那么关闭之后的话我们无法去直接的一个使用,但是的话它关闭了我们,因为我们前面的话已经判断了,我当前的一个数据库的一个权限的话。
是一个管理那个权限对吧,也就是说就是说啊什么意思呢,就是说我这边虽然没有去得到这个sa,或者说得到它的管理用户的一个密码对吧,但是的话我当前的话我当前的一个数据库,它是一个管理的一个数据库的一个用户。
那么我当前我这边通过sql注入的一个,通过sql注入的一个攻击对吧,我这边插入的注入的这样子的,一个sql的一个语句,它同样的是一个还原的一个用户去执行的,这里大家能理解吧。
所以的话我这边其实是一个管理的一个权限,那么我这边管理的权限的话,我就可以通过这边所说的,呃通过这边所说的,通过sp config来去启用这边的啊,一个xp cmd需要的一个组件。
然后呃方法的话就是我这边复制一下,就是啊这样子的一个语句,执行,而执行之后的话都没有没有就是就是有内容的,就说明我们这我们这边的话,这个语句已经执行成功了对吧,执行成功之后的话。
我们再来尝试第二种这个差距项目继续,来去执行一下这边的一个命令,执行的话还是执行了刚刚的这个,添加一个内容或者一个密码,然后我们回车回车,执行之后的话,他这边也没有,就是没有问题对吧。
就说明我们的一个语句执行成功了,然后在这的话我们验证一下,因为当前的这个机器这个服务的话,但是就只在当前的这个板子上面,就是他不是,因为就你在当前的这个机器上面去操作的嘛。
就是你在一个cf server的一个服务器,同样的也是在这个机器,它是部署在这个机器上面的,也就是我这边通过sex server去执行的一个系统命令,也就也是在当前的这个主机上面啊。
这边的话是一个实验的一个环境,是这样的好,我们这边通过nt os来去查看一下,在这边可以看到就多了这样子,一个name的一个用户好,我们可以,换一个呃电子面纱对吧。
所以呢。
这边的话呃添加一个name,要三个这样的用户对吧,然后在这边它是没有这样子的一个用户的对吧,我们在这边执行一下,执行之后的话,我们再来查看一下,你会发现的话在这边已经添加了一个内容,二三的一个用户。
也就是说我这边的话,通过通过他的这样子的一个注入点。
好的话呃,调用这个xp sm t shell的这个组件,成功地执行了一个系统的一个命令,那么现在的话,我们就你你就能够去调用这个组件,来去执行我们想要的一个系统运动是吧,那么提前的一个思路的话就是呃。
那我们现在能够能够执行命令了嘛对吧,那么我们就能够去添加这样子的一个管理员,用户对吧,然后的话把它添加到管理员组,也就是能够去得到它的一个管理员的用户嘛,那么自然的就得到了它的一个管理员。
用户的一个权限,呃呃这边添加用户的话,就添加到管理员组,这边的话我就不操作了是吧,然后这边添加用户的话是没有问题的,然后呃第七个的话,这边的话就是介绍一下这个就是sp的这个oa create。
就是说在x p sm share被删除,或者说出错的一个情况下,可以充分利用这个来训练一个题型,也就是我们前面就如果说这个xp cmd shell,这个组件它没有了是吧,然后的话或者说我们出错了。
也就是我们就是无法去使用这个组件,来去执行系统命令的时候,我们可以尝试使用这个使用这个来去呃,来去进行一个齐全,在这边的话就是这样子的一个步骤,然后具体的关于这个的话,大家可以去看一下这篇文章。
这边的话他介绍了很多的这样的一个方法,就我们可以通过这样子的一个呃配置,来去打开对应的一个组件,然后然后的话再利用这样的一个组件,就是利用的一个方法,就是像这样子,像呃他这边可以嗯家用户对吧。
然后的话粘贴进的一个替换,还有床码,还有鞋布,鞋控脚本等等的一个方法,我们可以使用这个组件来去达到目的,就就比如说这样子,比如通过这一通过执行这样子的一个命令,就如果说这一个组件我们开启了之后的。
我们可以通过呃这个组件来去执行命令,然后只选了一个命令的话,就是像这样子,就其实就是在这边啊执行,通过cmd来执行一个换麦,然后的话把它输出到我们的,指定的一个文件当中,好在这边要注意的话。
就是你用这个组件你去执行命令的话,他是没有输出的,也就是你看不到它的一个输出,所以的话我们需要去通过这样子的一个重建,相应的一个方法,就是输出到我们的一个文件当中,然后的话因为我们就。
就需要通过这样的一个方法来去呃,从定向到指定的一个文件那种,然后的话才才能够去查看,啊以上的话就是我们本节课的一个内容呃,第三部分的这个postgresql的话,这个的话嗯课程安排里面的话是有说要讲。
然后其实我这边的话,拜拜就是有这样的一个比较,就是已经很详细的介绍了,这一个呃persorcycle的这样的一个期权,就是我们利用他的这个pole,persorcycle的一个呃数据库。
然后的话呃用它来去写一个呃,写一个s o的这样子的一个文件,就是说在linux里面的话,我们就是要去调用它的,就是要去调用系统的这样子的一个,sol的一个文件。
然后其实类似于我们的一个就是我们的一个mysql,的一个优点回来一个提取啊,但是的话他这边的话是利用它的一个数据库,的一个特性来去写入到我们的目标机上面去,然后的话再把它组合成一个文件。
然后再用这个文件来去创建,我们的一个可执行的一个呃,就是执行命令的这样子的一个函数啊,然后他再利用这个呃创建这样子的一个对象,然后利用这个对象来去呃,执行我们的一个系统的一个命令,像比如说在这里。
就我这边这一篇笔记的话,应该是写的很详细的。
然后下节课的话再给大家去介绍这个吧,因为一节课的话讲不了这么多好呃,大家先去看吧,然后下节课的时候的话,上课之前的话,我再问大家,就是看大家有没有必要去给大家讲一下,这个好吧。
呃呃大家对今天课程的一个内容,有没有什么疑问,有问题的扣一,没问题的扣二,大家都能能能跟得上我吧,能能听得懂吧,其他同学呢怎么每次都是这这这这这三位同学,还有这四位,其他其他同学是不是在挂机呀。
没没没有在没有在听我讲吗,就大家就大家觉得我这样只去这样子,去给大家讲课,然后的话呃大家能能不能能不能接受,如果不能接受的话,你可以提出来,所以你觉得你觉得就是要怎样子。
那个你才能够去比较好的一个接受对吧,我这边的话可以就是根据大小的一个需求,做相应的一个调整好吧,哎行吧,大家还是大家还是不喜欢跟我互动了,已经很细了,ok ok那那就,能主要还是要大家能听懂啊。
那那应该是没有什么其他问题了,应该就大家不回的话,我就默认默认大家都,都都都能听懂啊,然后呃,然后的话呃,然后的话我这边就是哎这边就是中间讲课的话,有这种咳嗽的这种声音,就是大家可能就是,希望大家能够。
希望大家能够不要介意啊好吧,就我这边实在有点控制不了,就是讲课讲的喉咙有点难受,然后的话加加上咳嗽的话,就是一说话的话,就是给大家讲的时候的话就有点咳好吧,就希望大家不要介意,就是忽略我的咳嗽声好吧。
就大家听我就是讲的一个内容,然后的话中间就是就可能最近讲课的话,都会有这样子的一个情况,就是就说声抱歉吧好吧,好没有其他没有其他的一个位诶,没有其他的一个问题的话,那么我们本节课的话就呃到这边就结束了。
好这边ppt忘记给大家。
P77:第47天:权限提升-Postgresql数据库提权 - 网络安全就业推荐 - BV1Zu411s79i
这位同学说的有道理啊,每天早点来听会歌是吧,美好的美好的晚上就开始了,呃然后的话大家能听到我声音的话,在讨论区扣个一吧,就还是照常了,好的应该没有没有问题啊,好的话嗯,我们本节课的一个内容的话。
就是按课表上来的话,就是呃上节课的呃数据库的一个应用,提前的话,因为呃我这边的话是计划呢有三个,就是呃多了这个cosical seyle的,这个加特希尔的这个呃提纯。
所以的话呃因为上节课的话是讲的那个mysql,跟那个succel的一个题全对吧,然后这个的话就是呃上节课的话讲不完,所以的话就放到这节课,然后的话我这边的话,其实笔记的话都已经呃给给大家了。
然后的话大家有没有自己去做,大家有没有自己去做,就是这里的这个还需要我去给大家讲一下,或者是说演示一下吧,因为这个的话其实呃,我这边的话已经写的很详细了,然后的话讲的话应该没什么好讲的。
主要的话就是就你跟着我这边去操作就ok了,就命令命令什么的都给了,然后你照着这边你复制粘贴,你就就能够去得到,大家呃需要我去讲了。
这里。
呃需要讲的在讨论区讨论区扣个一,不需要的话,在讨论区扣个二,呃要讲啊,而其他同学呢就是有不同的意见,就是我看多数的好吧,思路大概过一下,其实我这边也是计划的,就是因为我这边的话。
笔记已经很详细的给大家聊对吧。
然后大家只需要去搭一个这样子的一个,很简单的一个环境,照着我这边的命令敲就可以了,大概的思路的话,就呃这个的话其实就是利用这个post procycle,来去进行一个good share嘛。
就是利用他的这个数据库,然后呃这你的这个数据库的话,它跟我们前面的那个mysql的这个命令,执行的话挺像的,就在这边的话,它是呃,它我们前面在讲那个mysql的那个udf,集权的时候对吧。
需要去用到我们的一个自定义的一个,就是用户自定义的一个函数对吧,然后的话我们要去创建那样子的一个,u d f的一个函数的话,我们就需要一个呃dl的一个文件,因为我们需要去通过这个dio文件来去呃。
创建这样子的一个执行命令的一个函数对吧,好的话,我们再去调用这个执行命令,一个函数来去执行我们的一个系统的一个命令,然后在这边的话,它同样的也是就是说呃,通过这边的有一个nb c1 。
就是说在linux下面的这样子的一个,soo的这样子的一个文件,然的话利用这一个调用它的这个文件,来去进行一个啊执行系统的一个命令,好,这边后面呢就是步骤的话,就是把我们这边的这个soo的一个文件。
用它的这边的这个就是创建大对象,就我这边的话也呃,首先的话是写入对象,创建一个这样子的一个,9023的这样的一个对象,然后的话把我们的这样子的一个文件,这边这个文件的话他是做了一个编码的。
然后在这边的话做一个解码,解码之后的话,很快的存储到了这一个对象当中,存储到这个对象中当中的话,我们在呃调用这个对象,就是把这一个对象里面的这个内容,把它导出到我们的一个系统的一个目录下面。
就在这个目录下面,然后的话再调用这里的这个soo的这个文件,来去创建这样子的一个s y s l ever的,这样子的一个函数,然后这个函数的话,我们就能够去通过这样子的一个语句。
就select这样子的一个语句,来去调用它的一个系统的一个命令,然后具体的一个效果的话,就是在这块就是插入数据嘛,就是啊insert into,把我们这边前面所要用到的这样子的一个文件。
这一个就是创建这个执行系统命令,在一个函数的一个文件,把它导入到我们的一个系统当中,然后的话再导导出来,导入到数据库当中,然后然后的话再从数据库当中,导到我们的一个目标系统上面去。
然后调用它来去创建一个这样子的一个函数,然后最后的一个效果它就是像这样子,我们可以执行我们的一个系统的一个命令,然后以及的话就是说我们在在这边的话,也能够通过,就是说通过这一个号啊,通过这个数据库啊。
来去读取我们系统的一个文件,就是把这给我们mysql一样的对吧,我们可以去啊,把系统当中的一个文件的一个内容,把它导入到我们的一个数据数据库表当中对吧,好的,我们在我们就能够去查看数据库表当中的内容。
或者说把数据库表的内容导出来对吧,然后在这边的话,它也同样的可以用这样子的一个方法,把就是系统当中的这样子的一个,像比如说这边etc password这个文件,把它通过copy的一个方式。
就他这个的话这个命令的话,他是psque cycle里面的一个就特别的这种mini,意思的话就是从这个文件当中去,把它里面的一个内容,copy到这样子的一个p这个表当中对吧。
然后的话copy到这个表中的话,我们只要查看这个表当中的内容,我们就能够去查啊,找到我们就能够去查看到呃,系统上面的一个文件内容对吧,大概的思路就是这样子。
需要我操作吗。
呃好吧。
我操作一下吧。
呃这边的话,我在这边的这个机器上面,我已经就是已经。
我在这边的这个机器上面的话,已经就是呃安装好了。
这样子这个cos recycle的一个数据库,然后安装的话命运的话就是在这边呃,我这边还是用的升到27的一个系统,所以的话我这样子的一个方法装啊,如果说你是用其他的一个系统的方法,就稍微有点区别。
然后看这个旗下,我的话呃重启一下我的一个数据库啊,就之前的话机器关掉了,然后这边重启之后的话呃,就是你要启动它的话,然后你要进入到这个数据库的话,你要做这样的一个操作,就是需要去创建这样的一个用户啊。
然后这个用户的话你在安装这个数据库的时候,它会有创建,但是呃你要去登录的话,你就需要呃设置一个密码,就是要password这个呃用户,然后的话我们可以通过这样的一个方法,切换到这个数据库当中。
然后的话再去呃,连接我们的这样子的一个数据库,啊我这边的话,啊呃我这边的话就是呃我就不不去模拟,说去登录这样子的一个数据库的,我这边的话直接就是在呃我的这一个系列当中。
因为我前期的话就是你已经呃得到这样子的,一个数据库,就是你连接到了这样的一个数据库,至于怎么去得到这个数据库的一个连接的话,就是呃得到他的账号密码对吧,然后或者或者是说绕口令这种。
你能够去连接到它的一个数据库当中,那么我们连接到它,连接到它的一个数据库的话,一般的话就只能去查看到查看它的数据对吧,当时在这边的话,我们可以利用这个我们得到的,连接到了这样的一个数据库来去啊。
进行下面的这样子的一些操作,像比如说呃读取系统的一个文件对吧,文件内容,呃然后在这边的话就是它的一些配置,就是你需要去配置它的数据库的访问权限,就是说你的这个数据库是要能够去被远程允许,远程的一个零件。
那你只能够去远程的去连接,我们才能够去连接到它的这个数据库嘛对吧,然后这边的话就是它的一个这个数据库的一个,一些基本的一个命令,然后这边的话就已经连接到了这个,psp cycle的一个数据库。
然后连接连接上之后的话呃,我们可以通过这样子的一个反斜杠h。
来去查看它的一个帮助现象,好就查看到这些帮助信息的话,就是呃一些像比如说,比如说create table对吧,然后就是一些创建表的这样子一些操作,以及删除啊,删除表等等,还有删除。
就是关于这个数据库相关的一些内容啊,这样子的一些mini。
然后在这的话我们需要去了解的一些选项,就是这里,像比如说我们要去查看它的一个数据库,比如干l在这块,这是他默认的有这样子的一些数据库是吧,up干,就是列出数据表等等等一些东西,对他干爹就是列出用户。
就说这个数据库它的一个用户是哪一个,这个pro和一个pograss grass,分一个数据库,还有的话再待会儿会用到的这样子的一个干dl,就是这样子的一个大对象,这是我们单卡的话。
会去呃创建一个这样子的一个对象,然后的话把我们要要写入的概念,把它写入到这个对象当中,嗯然后的话就是读取系统的一个文件,读取系统文件的话,我这边的话,首先的话就是drop table p。
因为我之前的话就是这个命运的话,意思的话就是删除这个批表对吧,就是删除表批,就如果说你当前的这个数据库当中,有这个表皮的话,那么你去穿的话就穿不了的对吧,所以我们在这边就是把它删除掉。
然后的话再创建一个这样子的一个p表,创建好之后的话,我们再通过这个copy million,把我们的这个etc password,就是说在当前系统下面的这个t parsword,这个文件里面的一个内容。
把它给copy到这个p表当中,然后的话我们在这边就能够通过这个。
通过去查查询这个表当中一个内容啊,去输出它的一个结果对吧,我们这边的话就是只查了一行,就是我们可以查两行对吧,以及他这边的话我们可以看一下,就是这句话copy 21,也就是它有21号对吧。
我们就是能够去输出21行的一个内容,然后这边的这个内容的话,就是我们这边的这个机器的一个,etc password的一个内容,就这一个。
这边的话就是读取文件,以及的话,还有就是可以利用这样子的一个大对象,来去读取文件,方法的话就是先通过这样子的一个。
语句把这个e t c password的一个内容,把它写入到这个12345678这边的,这个e345678 的话就是一个大对象,我们可以干dl来查看一下。
当前这边的话,删除一下这个,我这话,先把我之前测试的这一个大对象给删除掉,停了三,然后这边的话就没有没有这样子的一个,大对象了是吧,然后的话我们在呃,把这里的一个文件的一个内容。
把它给写入到这样子的一个大对象当中,把这个号改了嗯,然后这句话他就呃新增新增了这样子的一个id,为这个12345678的这个large object对吧,然后这个这个对象里面的一个内容的话。
就是这个etc password的一个内容。
好在这边的话,我们通过这样子的一个语句,可以把它里面的一个内容读取出来,然后这边读取的一个内容的话,可以看一下,这边的话有这样子的一个冰嘛,就是把它做了一个hex的一个冰嘛,就把这边读起来的一个数据。
做了一个hex的一个编码,然后的话呃输出来,而在这边执行之后的话,之前就在这边的一个呃。
花括号当中的这一串的一个值,就是我们的一个呃,经过hex编码之后的这一串数据。
我这边的话呃,做一个解,做一个解码,解码之后的话,它的一个内容的话就是像这样子对吧,然后在这边这边的话是他的hs,编码之后的一个值,然后我们这边啊把它从hx来去做一个解码,解码之后的话。
这边的话就是我们这个etc password里面的一个内容。
对吧。
好的,还有就是呃如果说你知道你的这个机器,它是有这样子的一个,它是有这样子的一个web的一个目录,然后的话这个外文物下面的话,正好有一个可写的这样子的一个文件夹对吧,你知道这个文件夹你是可写的。
他在某一个目录下面去,那么你就可以通过这样子的一个呃数据库,把把数据库表当中的这样子一个内容,把它给导出到我们的一个文件系统当中,然后在这话就是呃写了这样子的一个,一句话对吧。
写入到了我的一个目标机器当中,就其实还是跟前面的好操作是一样的。
以及这句话我们可以直接通过这样子的一句话。
我这句话和起个这样的一个web服务,再举个例子。
啊嗯就这样子的,有,然后他的一个机器,这个的话有这样子的一个。
那这样子的一个可写的一个文件夹,就这个e x e c的一个文件夹。
我的话就只是做演示,然后的话我们就可以通过我这边得到这个。
数据库啊,来去做一个写一句话码的一个操作,首先要创建一个这样子的一个表达的话。
把我们这边的一个一句话码的一个内容,把它写入到这个表当中,写入到这个表中,这边的话就是一个。
常见的一个一句话嘛对吧,然后我们在这边可以去查看一下,它里面的一个内容啊。
对吧,这边的话它里面那个的话就是这样子的一句话。
然后我们就可以通过这个copy命令copy to,就从这个表当中呃,把它的一个内容copy到这样子的。
一个指定的一个目录下面的这个文件当中。
然后copy过去之后的话。
嗯copy之后的话,我们可以来去在这边验证一下,就这样的一个一点p h p对吧,然后他这边的话没有那它的一个报错,就说明的话他这边的话有解析这样子的一个,没有解析这样子的一个。
我们的一个菲律宾的一个一句话是吧,然后我们这的话就可以去通过这样子的一个呃,一句话就执行命令得到得到它的一个web系对吧。
以及呃,我们也可以直接就直接通过这样子的一个方法,这里的话就是呃直接copy这样,这里select的这里的一个内容的话,就是select这个语句话,就是输出这边的这个内容嘛对吧。
然后的话就是把这边的这个内容,把它copy到这个文件当中。
这话好熟。
那就可以去。
让我们来验证一下对吧,能够去正常的访问。
这说明我们这一个文件的话,是已经写到我们指定的这个目录下面去了啊,以及呃来去执行数据库的一个系统命令,嗯这边的话就是首先的话我们需要去查看一下。
它这个数据库,它能够去支持的这样的扩展语言,就在这边的话,它默认的话它会有支持一个c语言,就是它它的这个啊数据库,它是支持我们去调用这样子的。
一个用c语言写的这样子的一个扩展,以及还有的话,如果说他支持python pp r这种的话,那我们就可以利用他的这样子的一个环境,来去进行一个呃进行一个执行系统命令。
然后这边的话呃如果没有这样子的扩展的话,我们就需要去编译这样子的一个呃,soo的一个文件,然后这个编译的话我就不操作了。
然后我们这边直接看效果吧,然后首先的话就是呃,创建一个这样子的一个大对象,就是9023的这个我们可以干掉来查看一下,这个话是之前的这个对吧,这个还是我们新进的,然后的话我们这边的话东西有点多啊。
然后分别的把这边的这一个我把那个插进去啊,好注意的话,这边你插进去之后的话,就是说他这边他是hx的一个编码,同样的,然后的话他是把这边的这个编码做一个解码,解码之后的一个值,再去把它给写入到这个表当中。
就比如我们前面,这个我们之前的一个udf对吧,我们的一个优点f的那个文件呃,就是他我们同样的也是先把它转成一个hs的,一个hook px的一个格式,然后的话再去进行一个插入,又在。
这里的话也是一样的,然后在这边的话要注意的一个点的话,就是他这边的话,他这边的话有这样子的一个长度的一个性质,就是呃我我们的这个文件的话,我们需要去把它做一个分块,就是分成好几块,就每一块的话。
它不能去大于这样子的一个2048的一个质,检,要小于或者等于这样子的204吧,如果说大于的话,他会去呃,大约的话它会报错,然后的话我们在的话就需要去,就是这边每一个呃字节这边插入的一个字儿,都需要去。
小于这样子的一个2048的一个长度,好我们这边的话分别把这几块,他这边的话是分成了五块,顺便把这五块插入到这样子的一个酒量上的,这个大对象当中,然后插入进去之后的话。
我们的这样子的一个呃呃这样子的一个定义的,这个soo的一个文件,就已经写入到了这个表当中对吧,这个对象当中好的话,我们就可以通过这样子的一个方法,把这边的一个内容把它导出到我们指定的一个。
目录下面去,好在这里的话实在是一个tp,不然我先把这个视频的这个删掉啊,其实我们可以来看一下这个,就是原本它里面那个话是像这样子的这种乱码,所以的话我们需要去把它作为,做一个静止的一个转换,转换这种呃。
可见的这种hex的这种进步的一些格式,我等会把它把那个文件删掉吧,删掉之后的话,我在这边,导出一下,导出之后的话。
在这边的话就会多这样子的,一个soo的一个文件,就是这个test driver这个点sol的一个文件,那么下面的话我们就可以去利用这个sr文件,来去创建进行一个函数啊,经历了这个函数的一个作用的话。
就是我们可以去执行,我们执行啊系统的一个命令,然后这边的一个函数名的话,就是这个xy s等于ever,执行执行说的话可以看到创创建成功了,这样子的一个function函数是吧,那么这边创建好之后的话。
我们就可以调用它去执行我们的系统命令,先比如说执行id对吧,以及执行外卖,还有的话就是然后再c t,他说了的对吧,这边呢我们在这块就能够去执行啊,系统的一个变量对吧,那么我们既然能够去执行命的话。
我们就能够去进行一个反弹器啊,等等这一些操作是吧,这话就是这一个cosl cycle,这个数据库的一个get share,然后这个的话大家大家自己去动手操作一下,因为呃东西的话就是这些东西啊。
没有什么很特别的,然后的话你知道有这个东西就可以了,然后你碰到了你碰到了这样子的一个东西对吧,你就可以直接去用了是吧,你直接直接按照这样的一个方法去进行,一个使用就可以了,然后以及的话呃。
在msf当中有对应的这样子的一个模块啊,就是cospur cycle的一个模块,比如说啊read file读取文件对吧,还有其他的这样子的一些模块,呃这种话就是关于这个cosport cycle。
get share的一个方法。
大家应该没有什么疑问吧,就像这种的话,你知道你知道有这个东西对吧,然后的话你知道怎么用就ok了好吧,能理解吗,就是思路的话应该能理解吧,具体的操作的话看看看我的那个文档好不好啊,应该是没有问题啊。
那我们继呃开始,我们今天的一个主要的一个内容,我们这的话主要的话就是给大家介绍,这个内置工具的一个横向移动,或者说是横向移动的啊,就是说我们能够去进行横向移动的,这样子的一些啊。
windows系统下面的内置的这样的一些工具啊,然后呃本节课的话主要分为了十块,第一块,那就是i pc加这样子的一个s c s c h tasks,而这个s c h text的话是呃。
windows系统下面的这样子的一个计划,任务的一个管理工具,然后还有的话其实还有就是这个a t a t的话,它同样的也是呃去创建我们的一个定时任务的,这样子的一个工具命令。
然后的话呃这两个命令它的一个区别的话,就是这个命令的话他是在新版的这种server啊,还有windows系统上面啊,是使用的,然后的话这个tp的话,他在呃新版的这种系统上面的话,它是已经被弃用了。
所以的话我们通常的话会去使用这个工具,当然的话老板的这种系统的话,你就可以去使用这个at命令呃,在本节课的话也会给大家去呃演示,然后第一个的话呃,然后第二个的话就是这个i p c加s c,s c的话。
这个变化前面已经有介绍了对吧,它是一个呃去管理我们系统的这样子的,一个服务的一个工具的一个管理工具,我们可以去,我们可以去利用这个命令来去进行一个服务的,一个启动,停止创建等等的这样的一个操作是吧。
然后第三个号就是wm i c啊,前面他也同样介绍了对吧,我们可以利用它来去做一做一些啊,服务的一个配置,以及信息的一些查看对吧,像比如前面我们讲信息收集的时候就呃有啊,就有经常去使用这样的一个命令啊。
第四个的话就是一个wi,呃首先的话第一部分就是呃,我们那个i p c连接,加这样子一个定定时任务的一个横向移动,呃在讲这个之前的话,我们先来了解一下什么是pc啊,保护,我们先来了解一下什么是ipc啊。
这个ipc的话就是这样子的一个internet process connection,就是呃一个共享的一个匿名广告的一个资源,就他是共享秘密管道一个资源,然后他的一个目的是为了让进程。
经通信和开放的这样子的一个命名管道,然后我们可以通过用户名密码,然后的话通过它开放的这样子的一个命名管道,来去进行临界好,然后通过这里建立的一个连接的话,我们可以去进行数据的一个交换,以及对。
以及实现对远程计算机的一个访问,然而这边的这种ipc这种零件啊,我们去前面也要给大家介绍对吧,像我们,直接的需要执行它需要轴的话,在这边的话就是它会显示了我们的系统的一个,共享的一个资源的一个呃链接。
然后的话他有这样子的一些默认共享,这些默认共享的话,主要的话就是我们的一个呃,计算机上面的一个磁盘对吧,然后它的一个主要的一个作用的话就是呃,用来就是方便管理员来去进行一个啊远程管理。
我们的这样子的一个计算机啊,好了,就是这个i p c i p c的话,它是一个远程的这样子的一个,i p c的一个零件,然后我们要去进行这样子的一个,共享的一个连接的话。
我们需要通过这样子的一个i p c,去建立这样的i p c的一个连接,然后的话才能够去访问这样子的一些,默认的一个共享,以及这样子来的min admin的话就是它的一个目的话,就是呃系统的一个安装录。
然后的话就是呃,我们去利用这样的一个i p c的一个呃,建立连接,建立共享连接的话有相应的一个条件呃,我这边列了这三个,第一个就是开放了139445的一个端口,就是他对该pc连接的话。
它是通过这样子的两个端口,去进行一个数据的一个传递的,以及去建立一个呃连接的一个通信,然后第二个的话就是要开启这样的ipc的一个,文件共享的一个服务,就是你需要去开启这个服务,如果这个服务被禁用的话。
那么你就无法去进行这样子的一个啊,共享的一个连接,然后第三的话就是你需要目标机械的一个,管理员的账号以及密码,就是呃再去进行一个ipc连接的话,也是需要呃,就只有管理员的一个用户,你才能够去进行去啊。
进行这样的ipc的一个连接,所以的话在这边的话,我们有一个前提,就是我们已经获得了目标机器的一个管理,员的账号以及密码,啊呃第三话就是常用的一些命令,就是呃利用这样子的一个i p c。
连接的一些常用的命令,首先第一个号就是建立连接,建立连接的话,我们通过net yels的样子个命令哦,那这样子接接我们的一个,接我们的一个远程主机的一个i p,就是在这边吗,这边的这个共享名对吧。
就是这个i p c,也就是我们去连接这样子一个远程ip c的,这个服务,然后的话干user后面的话接我们的一个用户名,注意的是要是管理员的一个用户名,以及接我们的一个密码密码的话。
用这样子的一个双引号做一个包裹,然后第二的话就是查看连接的一个情况,我们可以通过net 2来去查看,以及查看目标主机的一个时间,就是如果我们这边建立连接之后的话,我们可以通过net time来去查看。
远程机器上面的一个呃当前的一个时间,然后删除连接的话,就是net yj这样子的一个呃连接名啊,然后的话接我们的一个干d d l d l就是delay,delete,就是删除这样的一个共享的连接。
以及的话我们可以通过这样子一个共享链接,来去进行一个数据的一个传递,像比如说我们可以把我们本地的这样子的,一个程序,把它给复制到我们的一个远程的一个机器上面,的这样子的一个tp路下面是吧。
以及我们也可以从就通过copy这个命令啊,从远程的,通过这个copy命令啊,从远程的这个机器上面的c盘这个目录下面,把它的一个这个程序,把它copy到我们本地的一个目录下面去。
就是前面的话也有介绍嘛对吧,我们可以通过这个链接,就是建立了这个连接之后的话,我们可以用它来去进行一个数据的交换对吧,那么就可以去进行文件的一个传递对吧,以及的话可以去进行一个呃。
文件系统的一个访问对吧,就前面的话也有介绍,就是我们可以通过net o呃,就是经历了这样子的一个临界对吧,然后的话我们可以通过这个临界来去查看啊,我们的一个默认共享的这样子的一个资源。
对吧,嗯呃这边的话我们来具体的来看一下。
呃在这边的话就是。
在这边的话,其实就是我呃已经省略了前面的,很很多的一些步骤,就说我们在呃在讲这个之前的话,呃,我们一起来捋一下这样子的一个思路。
就是给大家捋清一下这样子的思路,就是大家可能就觉得呃,我这边讲这个横向移动对吧,这个横向移动它是处于一个什么样子的,一个阶段的,就说我们其实我们这个课程内容的话,它是呃我是按照这样子的一个。
就是我们的一个呃渗透测试的,一个基本的一个流程,来去进行一个呃内容的一个安排的,就是我们前面的一个内容的话,就是为我们后面的一个内容做一个铺垫对吧,好,我们前面的话,大家可以回想一下讲的哪些内容对吧。
我们有就是呃外网的一个信息收集对吧,信息收集以及额外网的一些突破口,然后的话通过这一个突破口来去进行一个呃,进入内网,然后的话建立相应的一个构建通道对吧,构建代理通道来去访问内网。
然后的话以及多层的一个代理,也就是一个纵向的一个渗透,也就是纵向移动对吧,就其实前面前面已经有介绍,就是说呃纵向的这样子的一个渗透,就是我们有多层的这样子的一个网站对吧。
然后的话我们一层一层的去建一个啊渗透移动,然后这句话横向移动的话,同样的就是说我们横向移动的一个横向移动的,这样子的一个阶段,是在我们已经得到了内网的一个权限,就说我们已经能够去访问内网,好的话。
我们能够去通过呃,访问内网的这样子的一个机器对吧,来去进行一个横向的一个移动,就说我们得到了能够去访问内网的那台机器,然后通过那一台机器来去进行一个呃,到他同一个网段的这样子的。
一个其他机器的这样子的一个权限对吧,这其实呃,怎么说呢,就其实我们在讲前面的一个构建带呃,构建通道的时候对吧,我们是有讲这样子的一个三层的一个网吧对吧,那么三层的一个网站,你每一个网站的话。
你不可能是只有你不可能是只有这样子的一个,只有啊前面把机所说的这样子的一个机器对吧,你的每一个网段,像比如说你一的这个网站,你不可能是只有一个机器存活的,你还有其他的这样的一个机器的一个存活啊。
那么同一个网段机器的话,我们的这样子的一个就是说呃大家再去,或者说你公司的这样子一个网络,你去划分网段的话,那么你这个网络的一个机器,你肯定是能够互相访问的对吧,那么这个网站机器人能够去互相访问的话。
那么呃它其实它是有,它是会有相应的这样的一些光明的对吧,就比如说你的一个web服务以及你的一个数据库,你都是在同一个网站对吧,那么你的一个数据库以及web服务的话,他们之间是要能够去互相访问的是吧。
那么在管理员去管理这样子的,两个机器的时候是吧,你可能的话就是他去登录,他会去登录这样子的一个机器,去进行一个一个管理对吧,那么他登录去机机器去管理的话,我们如果说正好拿到了这个机器,相。
比如说是通过一个外表机器的,通过外一个web机器,拿到了他这个机器的一个权限,然后的话管理员有去登录这样子的一个机器,以及它还有一个这样的一个数据库的,一个服务器是吧,它在同一个网段。
这个跟这个web机器它是在同一个网站啊,我们拿下这个web机器,我们就能够去访问这个数据库的一个机器对吧,然后能去访问到这个机器的话,我们如何去拿下这个机器呢,就是我们需要去去通过这样子的一个。
横向移动对吧,就是说它是在同一个网站,我们需要去横向的去扩展呃,横向的去利用其他的同一个网段的,这样的一些机器啊,那么在这样子的一个场景的话,我们可以去考虑一下,就是说呃你就是说你管理你去管理这个机器。
对你可能你密码它不是,它是同样子的一个密码对吧,就是说管理,因为他去管理多个机器,你不可能每个机器密码都不一样啊,都不一样对吧,但话呃可以这样子去实现对吧,但是其实像这种绕口令也还有的话。
就是说你的一个密码的话,就其实原本的话是没有这样子的一些问题的,对吧,其实有人的这样子的一个操作的话,就是会存在这样子的一些问题吧,因为你人的一个纪念的话是有限的,然后的话那么他就可能会存在这样的情况。
他webb机器它登录的一个管理的一个用户密码,对吧,他同样的也能够去登录这样子的一个数据库,的一个服务器,以及同一个网段的其他的某一些机器对吧。
那么我们拿下这个web机器的一个shell之后,我们就是去进行怎样的一些操作,前面已经有介绍了对吧,就是对它做一个信息收集,收集他收集他的一些详细的信息,以及的话,在这个主机上面。
我们需要去获取的一个一些内容对吧,像呃网络连接以及呃ip和敏感信息。
账号密码等等这些东西是吧,那么在这边的话呃,我在这边的话,就是省略了前面的这样子的一些东西啊,我这边直接就是因为前面的话已经有介绍,介绍了对吧,而这句话我就通过。
这边是我之前操作的,呃我这边的话是用的还是用的。
之前的这个绑架啊,首先这个的话就是一个web机器。
这话是另外的一个机器对吧,这样的话是预控啊。
我我这边的话通过相应的一个漏洞,拿下了这一台机器的一个线是吧,我这边的话就是我这边的这个操作。
就是处于这个阶段,就是我已经拿下了啊。
这个机器的一个希尔,这个计划就是这个,然后我这边的话通过,通过这个筛选三个啊,其他的这些筛选呢是我之前测试用的,这这些的话大家可以不用管啊,我当前的话是只拿到了这个筛选对吧。
这个筛选的话就是这个机器的一个shell,那么我在这边的话,我就,可以去进行参与的一些操作。
