关于提权我们要想到这三个问题:1 什么是提权?
2 怎么样提权?
3 提权后的事...
提 权:通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。
Windows:
User >> System
Linux:
User >> Root
我们可以通过:
系统漏洞提权(Linux、Win)
数据库提权
系统配置错误提权
权限继承类提权
第三方软件/服务提权
获取高权限账号提权
WebSevrver漏洞提权
0x01 系统漏洞提权系统漏洞提权一般就是利用系统自身缺陷,使用shellcode来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。
Windows的提权exp一般格式为MS08067.exe;
Linux的提权exp一般格式为2.6.18-194或2.6.18.c
Windows提权
Windows系统漏洞微软的漏洞编号命名格式为:MS08067
MS Micosoft的缩写,固定格式;
08 表示年份,即2008年发布的漏洞;
067 表示顺序,即当年度发布的第67个漏洞。
提权exp使用方法:
使exp执行即可,一般情况下是使用cmd.exe来执行。在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。
那么我们如何知道使用哪个exp来提权呢?
使用systeminfo命令或者查看补丁目录,查看补丁记录,来判断有哪个补丁没打,然后使用相对应的exp进行提权。
KB2645640 MS12-009
KB2641653 MS12-018
KB952004 MS09-012 Pr.exe
KB956572 MS09-012 巴西烤肉
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011 ms11011.exe
KB942831 MS08-005
KB2503665 MS11-046 ms11046.exe
KB2592799 MS11-080 ms11080.exe
实例说明:
1.本地提权使用cmd执行
2.使用webshell来执行。
一般的过程是:
1.先找可写目录。
2.上传cmd.exe、提权exp等工具。
3.使用exp进行提权,加账号等操作。
TIPs:
1.渗透过程中经常会遇到管理员禁止了cmd.exe的使用,我们该怎么办?进止了exe文件的上传怎么办?
2.管理员禁止了一些脚本函数的运行,看不到回显怎么办?
3.在使用webshell提权的时候要特别注意:
asp的webshell要支持:
wscript(wscript.shell/shell.application)
aspx能调用.net组件来执行cmd的命令
/c whoami
Linux系统提权Linux系统漏洞的exp一般按照内核版本来命名:2.6.18-194或2.6.18.c
形如2.6.18-194,可以直接执行;
形如2.6.18.c,需要编译后运行,提权。
当然也有少部分exp是按照发行版版本命名。
提权exp使用方法:使exp执行即可,一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。
那么我们如何知道使用哪个exp来提权呢?使用uname -a命令或者cat /proc/version,来判断系统的内核情况等等,然后使用相对应的exp进行提权。
TIPs:1.提权过程中需要为你的提权exp赋权,chmod。
2.linux服务器很多情况下管理员会设置目录权限,我们无法修改,但是一般/tmp/目录不会被设置权限,这根windows下的tmp和回收站是一个道理。
0x02 数据库提权
数据库提权:
利用执行数据库语句、利用数据库函数等方式提升服务器用户的权限。
首先我们要先有能力登入数库,
所以通常我们拿到webshell之后要去网站目录去找数据库连接文件,
常在形如xxx.conf或conf.xxx文件中。
例如:Discuz的数据库信息就在:
config/config_global_default.php中
Mysql提 权
一般是使用自定义函数提权或mof提权Mssql的提权一般是调用xp_cmdshell函数来提权。
UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。
通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。
同时,UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。
适用场景:
1、目标主机系统是Windows(Win2000、XP、Win2003)。
2、拥有该主机mysql中的某个用户账号,该账号需要有对mysql的insert和delete权限。
最好mysql是默认启动的权限(system)
使用方法:
1、获取当前mysql的一个数据库连接信息,通常包含地址、端口、账号、密码、库名等五个信息。
2、把udf专用的webshell传到服务器上,访问并进行数据库连接。
3、连接成功后,导出DLL文件。Mysql<5.0,导出路径随意;
5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“No paths allowed for shared library”错误;
mysql>5.1,需要导出dll到插件路径,例如:
D:\Program Files\MySQL\MySQL Server 5.1.3\lib\plugin
若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已
将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,
否则将会看到”Can’t open shared library“错误。
如果提示“Function ‘cmdshell’ already exists”,则输入下列语句
可以解决:
drop function cmdshell;
4、使用SQL语句创建自定义函数。语法如下:Create Function 函数名 returns string soname '导出的DLL路径';
e.g:
Create Function cmdshell returns string soname 'udf.dll';
功能函数说明:
cmdshell 执行cmd;
downloader 下载者,到网上下载指定文件并保存到指定目录;
open3389 通用开3389终端服务,可指定端口(不改端口无需重启);
backshell 反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread 读注册表;
regwrite 写注册表;
shut 关机,注销,重启;
about 说明与帮助函数;
5、创建函数成功后,就可以通过sql语句调用它了。
语法如下:
select 创建的函数名 ('参数列表');
e.g:
select cmdshell("net user nsfocus Nsf0cus /add");
创建一个用户nsfocus,密码为Nsf0cus
复制代码
6、函数使用完后,我们需要把之前生成的DLL和
创建的函数删除掉,但要注意次序,必须先删除函
数再删除DLL。删除函数的语法如下:
drop function 创建的函数名;
e.g:
drop function cmdshell;
复制代码
Mssql提 权
利用扩展存储过程来执行系统命令,达到是自己权限提升的目的。
适用场景:
1、Mssql的服务没有降权,是以默认服务继承的权限来运行的
2、拥有该主机Mssql中的sa账号和密码
关于数据库账号/密码的寻找:
类似于Mysql账号的寻找方式,一般先寻找网站目录下的配置文件,如:conn.asp/web.config 有了账号密码等连接信息,我们就可以利用webshell连接数据库了
server=localhost;UID=sa
WD=sa;database=Northwind
rovider=SQLOLEDB
Exec master.dbo.xp_cmdshell 'whoami'
END
关于其他的提权方法,我会下次发出来!
作者:i春秋论坛
链接:http://www.jianshu.com/p/271312b96170
來源:
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。