系统漏洞—提权思路 – 作者:和风sukf

提权的概念

在入侵过程中，通过各种办法和漏洞，提高攻击者在服务器中的权限，从而以便控制全局的过程就叫做提权。例如：windows系统—>user(guest)—>system;Linux系统—>user—>root

在web渗透中，从最开始的webshell获取的权限可能仅仅是中间件的权限，可执行的操作控制有限，攻击者往往会通过提权的方式来提升已有的权限，从而执行更多的操作。

提权的方法

一、系统漏洞提权

（1）获取操作系统类型以及版本号
（2）根据获取的系统版本号在互联网搜索exp

（3）尝试利用exp获取权限
（4）尝试反弹shell

二、数据库提权

（1）mysql数据库——udf提权

（2）数据库提权——mof提权

（3）数据库提权——反弹端口提权

（4）数据库提权——启动项提权

三、第三方软件/服务提权

（1）通过第三方软件漏洞进行提权

（2）通过服务端口、服务协议漏洞进行提权

系统漏洞提权

系统漏洞提权一般就是利用系统自身缺陷，使用shellcode来提升权限。为了使用方便，windows和linux系统均有提权用的可执行文件。

提权文件介绍

（1）Windows的提权exp一般格式为MS08067.exe

MS08067，MS—Micosoft的缩写，固定格式；

08表示年份，即2008年发布的漏洞；

067 表示顺序，即当年度发布的第67个漏洞。

（2）Linux的提权exp一般格式为6.18-194或2.6.18.c

2.6.18-194，可以直接执行；

2.6.18.c，通过源程序编译到可执行文件，如gcc exp.c –o exp；

也有少部分exp是按照发行版版本命名。

系统漏洞提权—Windows系统提权

在日常渗透测试过程中，我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。（低权限—>高权限）

提权思路：

1.systeminfo查看操作系统详细信息，补丁更新等情况

2.在tasklist中查看到的进程中使用taskkill/im +进程名称  或taskkill/pid +进程id终止杀毒软件或防护软件

3.根据系统版本和补丁信息，查找未打补丁的漏洞

4.上传相应漏洞的exp，然后使用cmd模块进行提权

根据systeminfo查看补丁信息，发现未打上相应的补丁kb952004、KB956572，于是利用上传巴西烤肉（Churrasco.exe）exp提权，Churrasco.exe是Windows2003系统下的一个本地提权漏洞，通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。

由于低权限用户无法执行太多操作，可以利用反弹上传Churrasco.exe，后续可以利用它来做提权。

添加用户以及加入管理员组，方便我们提高操作权限。

输入net user指令查看是否添加成功，最后提权成功。

系统漏洞提权—linux系统提权

使exp执行即可，一般情况下linux的本地提权要用nc反弹出来，因为Linux下提升权限后得到的是交互式shell，需反弹才能进行下一步命令的执行。

提权思路：

1.使用nc或lcx反弹到攻击者的电脑

2.使用 uname –a 查看Linux 版本内核等系统信息

3.在exploit库中寻找相应系统版本和内核的漏洞利用模块。（www.exploit-db.com）

4.上传exp到目标服务器中，chmod 777赋予exp权限，需要进行编译的先进行编译。

5.提权后便可以添加ssh用户 （useradd -o -u 0 -g 0 username）

通过webshell上传ft.pl，为了等下的反弹shell

系统信息收集Uname -a显示的版本内核为（2.6.24>2.6.22），可能存在脏牛漏洞

ft.pl文件反弹shell

Kali开启监听

编译dirty.c文件，生成一个可执行的EXP，运行./dirty su123（密码）

生成账号firefart，密码su123

新生成的管理员用户firefart把原来的root用户替换掉了（root—>firefart）

可以通过ssh连接

来源：freebuf.com 2021-07-27 17:48:24 by: 和风sukf