用户
搜索
  • TA的每日心情
    开心
    半小时前
  • 签到天数: 262 天

    连续签到: 50 天

    [LV.8]以坛为家I

    i春秋-核心白帽

    Rank: 4

    10

    主题

    62

    帖子

    1316

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-11-4

    核心白帽春秋游侠白帽高手积极活跃奖

    发表于 2021-5-15 14:07:12 33400
    本帖最后由 和風 于 2021-5-15 14:24 编辑

    一、前言
    当获取到一个webshell之后,进一步利用不同漏洞及工具,获取到服务器权限或用户名密码,并且可以通过远程桌面连接上服务器,进一步进行控制和利用没办法绕过防火墙之类的设备连接上内网主机,可以通过反弹shell或是端口转发的形式,达到控制内网主机的目的。
    提权的概念
    在入侵过程中,通过各种办法和漏洞,提高攻击者在服务器中的权限,从而以便控制全局的过程就叫做提权。例如:windows系统--->user(guest)--->system;Linux系统--->user--->root
    在web渗透中,从最开始的webshell获取的权限可能仅仅是中间件的权限,可执行的操作控制有限,攻击者往往会通过提权的方式来提升已有的权限,从而执行更多的操作。
    图片1.png
    提权的方法

    一、系统漏洞提权
    (1)获取操作系统类型以及版本号
    (2)根据获取的系统版本号在互联网搜索exp
    (3)尝试利用exp获取权限
    (4)尝试反弹shell
    二、数据库提权
    (1)mysql数据库——udf提权
    (2)数据库提权——mof提权
    (3)数据库提权——反弹端口提权
    (4)数据库提权——启动项提权
    三、第三方软件/服务提权
    (1)通过第三方软件漏洞进行提权
    (2)通过服务端口、服务协议漏洞进行提权



    二、系统漏洞提权
    系统漏洞提权一般就是利用系统自身缺陷,使用shellcode来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。
    提权文件介绍
    (1)Windows的提权exp一般格式为MS08067.exe
    • MS08067,MS---Micosoft的缩写,固定格式;
    • 08表示年份,即2008年发布的漏洞;
    • 067 表示顺序,即当年度发布的第67个漏洞。
    (2)Linux的提权exp一般格式为6.18-194或2.6.18.c
    • 2.6.18-194,可以直接执行;
    • 2.6.18.c,通过源程序编译到可执行文件,如gcc exp.c –o exp;
    • 也有少部分exp是按照发行版版本命名。
    图片2.png


    三、系统漏洞提权---Windows系统提权
    在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。(低权限--->高权限)
    提权思路:

    1.systeminfo查看操作系统详细信息,补丁更新等情况
    2.在tasklist中查看到的进程中使用taskkill/im +进程名称  或taskkill/pid +进程id终止杀毒软件或防护软件
    3.根据系统版本和补丁信息,查找未打补丁的漏洞
    4.上传相应漏洞的exp,然后使用cmd模块进行提权


    根据systeminfo查看补丁信息,发现未打上相应的补丁kb952004、KB956572,于是利用上传巴西烤肉(Churrasco.exe)exp提权,Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。
    由于低权限用户无法执行太多操作,可以利用反弹上传Churrasco.exe,后续可以利用它来做提权。
    图片3.png
    添加用户以及加入管理员组,方便我们提高操作权限。
    图片4.png
    输入net user指令查看是否添加成功,最后提权成功。
    图片5.png


    四、系统漏洞提权---linux系统提权
    使exp执行即可,一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。
    提权思路:

    1.使用nc或lcx反弹到攻击者的电脑
    2.使用 uname –a 查看Linux 版本内核等系统信息
    3.在exploit库中寻找相应系统版本和内核的漏洞利用模块。(www.exploit-db.com)
    4.上传exp到目标服务器中,chmod 777赋予exp权限,需要进行编译的先进行编译。
    5.提权后便可以添加ssh用户 (useradd -o -u 0 -g 0 username)


    通过webshell上传ft.pl,为了等下的反弹shell
    图片6.png
    系统信息收集Uname -a显示的版本内核为(2.6.24>2.6.22),可能存在脏牛漏洞
    图片7.png
    ft.pl文件反弹shell
    图片8.png
    Kali开启监听
    图片9.png
    编译dirty.c文件,生成一个可执行的EXP,运行./dirty su123(密码)
    生成账号firefart,密码su123
    图片10.png
    新生成的管理员用户firefart把原来的root用户替换掉了(root--->firefart)
    图片11.png
    可以通过ssh连接
    图片12.png

    剑未佩妥出门已是江湖

    回帖奖励 +2

    大佬有EXP么
    使用道具 举报 回复

    师傅说的是哪种EXP
    剑未佩妥出门已是江湖
    使用道具 举报 回复
    和風 发表于 2021-5-19 22:33
    师傅说的是哪种EXP

    提权的EXP
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册