系统漏洞—提权思路 – 作者:和风sukf

提权的概念

在入侵过程中,通过各种办法和漏洞,提高攻击者在服务器中的权限,从而以便控制全局的过程就叫做提权。例如:windows系统—>user(guest)—>system;Linux系统—>user—>root

在web渗透中,从最开始的webshell获取的权限可能仅仅是中间件的权限,可执行的操作控制有限,攻击者往往会通过提权的方式来提升已有的权限,从而执行更多的操作。

1621058370_609f63422d284c6fa6324.png!small

提权的方法

一、系统漏洞提权

(1)获取操作系统类型以及版本号
(2)根据获取的系统版本号在互联网搜索exp

(3)尝试利用exp获取权限
(4)尝试反弹shell

二、数据库提权

(1)mysql数据库——udf提权

(2)数据库提权——mof提权

(3)数据库提权——反弹端口提权

(4)数据库提权——启动项提权

三、第三方软件/服务提权

(1)通过第三方软件漏洞进行提权

(2)通过服务端口、服务协议漏洞进行提权

系统漏洞提权

系统漏洞提权一般就是利用系统自身缺陷,使用shellcode来提升权限。为了使用方便,windows和linux系统均有提权用的可执行文件。

提权文件介绍

(1)Windows的提权exp一般格式为MS08067.exe

MS08067,MS—Micosoft的缩写,固定格式;

08表示年份,即2008年发布的漏洞;

067 表示顺序,即当年度发布的第67个漏洞。

(2)Linux的提权exp一般格式为6.18-194或2.6.18.c

2.6.18-194,可以直接执行;

2.6.18.c,通过源程序编译到可执行文件,如gcc exp.c –o exp;

也有少部分exp是按照发行版版本命名。

1621058375_609f6347d78c3c32658e1.png!small

系统漏洞提权—Windows系统提权

在日常渗透测试过程中,我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。(低权限—>高权限)

提权思路:

1.systeminfo查看操作系统详细信息,补丁更新等情况

2.在tasklist中查看到的进程中使用taskkill/im +进程名称  或taskkill/pid +进程id终止杀毒软件或防护软件

3.根据系统版本和补丁信息,查找未打补丁的漏洞

4.上传相应漏洞的exp,然后使用cmd模块进行提权

根据systeminfo查看补丁信息,发现未打上相应的补丁kb952004、KB956572,于是利用上传巴西烤肉(Churrasco.exe)exp提权,Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。

由于低权限用户无法执行太多操作,可以利用反弹上传Churrasco.exe,后续可以利用它来做提权。

1621058382_609f634e246e34cb3c5ef.png!small

添加用户以及加入管理员组,方便我们提高操作权限。

1621058387_609f6353ae07d8d3ba2e6.png!small

输入net user指令查看是否添加成功,最后提权成功。

1621058394_609f635a6fd52ed9e4b74.png!small

系统漏洞提权—linux系统提权

使exp执行即可,一般情况下linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行。

提权思路:

1.使用nc或lcx反弹到攻击者的电脑

2.使用 uname –a 查看Linux 版本内核等系统信息

3.在exploit库中寻找相应系统版本和内核的漏洞利用模块。(www.exploit-db.com)

4.上传exp到目标服务器中,chmod 777赋予exp权限,需要进行编译的先进行编译。

5.提权后便可以添加ssh用户 (useradd -o -u 0 -g 0 username)

通过webshell上传ft.pl,为了等下的反弹shell

1621058399_609f635f6d33720375b59.png!small

系统信息收集Uname -a显示的版本内核为(2.6.24>2.6.22),可能存在脏牛漏洞

1621058404_609f6364210301a1f0dde.png!small

ft.pl文件反弹shell

1621058407_609f6367599df489b2b76.png!small

Kali开启监听

1621058411_609f636b3a745106906a1.png!small

编译dirty.c文件,生成一个可执行的EXP,运行./dirty su123(密码)

生成账号firefart,密码su123

1621058417_609f637136f11eeeb9e2a.png!small

新生成的管理员用户firefart把原来的root用户替换掉了(root—>firefart)

1621058420_609f63746cf43f46913ec.png!small

可以通过ssh连接

1621058423_609f637774ef0c9d63deb.png!small

来源:freebuf.com 2021-07-27 17:48:24 by: 和风sukf

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论