1、 提權(quán)的方法很多,不同的方法用于不同的環(huán)境,以至于效果也是不一樣的
下面我來(lái)舉幾個(gè)我們常用的提權(quán)方法
我們拿到一個(gè)webshell,一般來(lái)說(shuō)通過(guò)這個(gè)web,拿到這個(gè)webshell,發(fā)現(xiàn)這個(gè)機(jī)器是在內(nèi)網(wǎng)當(dāng)中,在滲透的過(guò)程中,沒(méi)有辦法進(jìn)行一個(gè)遠(yuǎn)程溢出漏洞利用(遠(yuǎn)程代碼執(zhí)行),我們就可以嘗試把端口轉(zhuǎn)發(fā)出來(lái),進(jìn)行一個(gè)遠(yuǎn)程溢出的操作,溢出的話和命令執(zhí)行也是最快拿到權(quán)限的一種方法,如果有這種漏洞存在,我們第一時(shí)間可以進(jìn)行一方面的利用,下面三種漏洞。我都是我們常見(jiàn)的遠(yuǎn)程溢出漏洞
1)、第三方高權(quán)限應(yīng)用提權(quán)
又或者說(shuō),如果沒(méi)有遠(yuǎn)程溢出漏洞。我們可以看一下服務(wù)器文件存放的密碼,也就是對(duì)方的機(jī)器是否有存放機(jī)器的密碼,這個(gè)密碼也是很重要的,windows下查找特定
還有就是第三方的一個(gè)高權(quán)限應(yīng)用提權(quán),比如說(shuō)MySQL、microsoft sql server、oracle,如果這這些數(shù)據(jù)庫(kù)的賬號(hào)是系統(tǒng)高權(quán)限或者說(shuō)賬號(hào)密碼泄露并且賬戶是屬于管理員權(quán)限的話,我們就可以直接提權(quán),而且第三方的環(huán)境比較多,要根據(jù)對(duì)方環(huán)境的情況來(lái)進(jìn)行一個(gè)提權(quán)的操作。
Mysql提權(quán)方法:
提權(quán)條件:獲取數(shù)據(jù)庫(kù)最高用戶的密碼
獲取密碼的方法
1、查看網(wǎng)站的數(shù)據(jù)庫(kù)配置文件(conn,sql,data,include,config,inc等關(guān)鍵字)
2查看mysql數(shù)據(jù)庫(kù)下的data目錄對(duì)應(yīng)的數(shù)據(jù)
3暴力破解指定用戶的密碼
我們的話,第一種方法比較靠譜,我們拿到webshell之后,我們就可以這樣去查看
我們可以利用第一個(gè)方法來(lái)進(jìn)行讀取,讀取相關(guān)關(guān)鍵字的文件去讀取,但是有些它只是普通用戶的數(shù)據(jù)庫(kù)密碼,那也就是說(shuō),我們查看的配置文件,也只是普通用戶的密碼,那也不滿足我們最高權(quán)限的條件,
下載數(shù)據(jù)庫(kù)文件進(jìn)去讀取
表的結(jié)構(gòu)還是列名的結(jié)構(gòu),都是一一對(duì)應(yīng)的
由于mysql數(shù)據(jù)庫(kù)賬戶密碼是存儲(chǔ)在數(shù)據(jù)庫(kù)下的mysql數(shù)據(jù)庫(kù)名下的user表里,user.MYD這個(gè)文件下載打開(kāi)獲取加密的密碼即可
通過(guò)目錄獲取mysql的快捷方法
獲取快捷方式,我們可以知道他的這個(gè)按照路徑的,打開(kāi)這個(gè)mysql目錄,點(diǎn)擊進(jìn)去
然后這里有一個(gè)快捷方式的地址,我們把它下載下來(lái)
然后我們把它的格式改為lnk格式,也就是快捷格式
然再打開(kāi),就可以獲取到這個(gè)mysql的安裝路徑 .然后用大馬跳到指定的路徑去查看
然后就可以看到他這個(gè)myd文件,如果是下載不下來(lái)的話,我們用菜刀下載,因?yàn)椴说犊梢韵螺d下來(lái)
編輯該文件就可以看到root賬號(hào)密碼就在這里了我們把星號(hào)和后門(mén)的密文去解密
啟動(dòng)項(xiàng)提權(quán)
我們Windows主機(jī)重啟的時(shí)候會(huì)加載一些文件,加載一些啟動(dòng)項(xiàng),如果你的文件存在這個(gè)路徑下面,你的文件重啟之后就會(huì)加載這個(gè)路徑里面的文件,那么這個(gè)root用戶是可以進(jìn)行這個(gè)文件導(dǎo)出的,它就可以把一個(gè)添加用戶,把后門(mén)呢放到這個(gè)啟動(dòng)項(xiàng)里面去
我們執(zhí)行sql命令,而load_file的sever.exe是我們放入進(jìn)去的提權(quán)馬
機(jī)器重啟后,它的這個(gè)啟動(dòng)項(xiàng)有了這個(gè)馬
2)、本地溢出
跟這個(gè)第三方高權(quán)限提權(quán)就是本地溢出了,也就是說(shuō)你可以選擇溢出,也可以選擇高權(quán)限的利用,一開(kāi)始如果嘗試了前兩種方法,如果不行的話,我們就看本地溢出,本地溢出也是一樣,那我們就可以嘗試一下第三方高權(quán)限利用
3)、系統(tǒng)錯(cuò)誤配置
它這個(gè)系統(tǒng)錯(cuò)誤配置,不能說(shuō)它錯(cuò),算是不當(dāng)?shù)囊粋€(gè)系統(tǒng)配置,比如說(shuō)這個(gè)Windows和Apache默認(rèn)是一個(gè)管理員權(quán)限啟動(dòng),它默認(rèn)把你的腳本文件放到Apache解析目錄下,那它就是一個(gè)管理員權(quán)限,當(dāng)然系統(tǒng)錯(cuò)誤配置不止這一個(gè)。
1、 exploit集合尋找下載
提權(quán)的時(shí)候,最怕發(fā)現(xiàn)有一個(gè)提權(quán)漏洞未打上補(bǔ)丁,手頭上卻沒(méi)有可以利用的exploit,但除了0day外,微軟已公布的漏洞一般不久就會(huì)在github上面出現(xiàn)exploit,還有就是關(guān)注一下國(guó)外的大牛安全研究員,他們社會(huì)壓力小,有更多的時(shí)間研究這些并且發(fā)布除了,還有可能會(huì)出現(xiàn)國(guó)內(nèi)的安全論壇,但是比較少了,更多的是國(guó)外的安全研究者發(fā)布。
比如說(shuō)我這里要用到cve-2018-8120的exploit去提權(quán),我們就用谷歌去搜索
那么結(jié)果它這里就可以看見(jiàn)搜索出了一個(gè)github的地址,并且?guī)в衑xploit
當(dāng)然,另外一方面我們也可以直接在github上面搜索,因?yàn)楣雀杷阉鞒鰜?lái)的也都是github上面存在的,所以我們直接在github搜索即可
另外,github上面的一個(gè)地址是exploit提權(quán)集合地址,當(dāng)然,在我們國(guó)內(nèi)的tools論壇、quansec這些網(wǎng)站中都存在很多不少的exploit提權(quán)腳本。
最后喜歡我文章的朋友請(qǐng)加圈子關(guān)注我們,私信關(guān)鍵詞:學(xué)習(xí)。(送免費(fèi)資料和優(yōu)惠券)
就會(huì)自動(dòng)分享給你微信號(hào)。歡迎大家加入我們的安全大家庭。提高大家的安全意識(shí),提升大家的網(wǎng)絡(luò)安全技能一直是我們的初衷和愿景,讓我們共同成為守護(hù)信息世界的"SaFeMAN"。
還有可以關(guān)注我們微信公眾號(hào),在公眾號(hào)上輸入安界網(wǎng),就可以關(guān)注到我們,領(lǐng)取資料和優(yōu)惠券
