好久不更新,今天给大家聊一下提权(日常扯皮灌水)
就当是,嗯 给一些小白普及知识吧
每日一句:
给我一个接口,shell,提权都是小意思 ---某业内大佬
简单说,只要我们能上传一个小马,
有一个基本的操作权限,就可以通过提权拿到更多有趣的东西
一些基础
shell: 人机交互页面(cmd仅仅是shell的一种)
拿shell: 取得对服务器某种程度上的操作权限
webshell:
~取得互联网上某些计算机/服务器的某种权限
~指一些工具(能拿shell的工具),如菜刀,蚁剑
其实在早期。shell的含义很少,但是由于我华夏文化博大精深,
随着时间的推移,含义也越来越多
一句话木马:通常是一句话那么长的eval后门(安全性高,危害大)
小马:通常是一个体积小的变形后门,主要用途是上传大马
大马:自带多功能的后门,通常为了方便使用,体积大不容易过WAF
注意:
小马与一句话木马不是一个东西
如果没有拿取服务器的需求/提权的需求,大马就够了
exp:漏洞利用代码,利用他可以搞别人存在XX漏洞的计算机
poc:漏洞验证代码,利用他可以测试自己的计算机有没有XX漏洞
几乎每一个漏洞 都有自己对应的exp与poc,需要注意的是:
不要轻意使用exp,甚至poc;
一些写的差的poc,验证不成漏洞,
反而会把电脑搞蓝屏
快速启动远程桌面方式: (win10下,其他win系统类似)
~按win键,直接输入“远程”,可以看到弹出的远程桌面登录,直接点击
~按win键,直接输入“mstsc”,可以看到弹出的远程桌面登录,直接点击
场景一:一个网站已经上传了小马,且菜刀连接到小马之后
先多提一句,
每次打开菜刀,先清理一下缓存。
每次连接一句马,都会生成一个缓存,不会因为关闭而自动清除
下次打开时,默认先访问缓存
这时候,可能会遇到,点击什么操作都会出错
此时,你的小马可能已经被删除了
而你看到的仅仅是之前的缓存文件
正文:
可以删除一些服务器文件
打开终端shell
输入:whoami
提示:拒绝访问,各位认为是什么原因呢
~是没有权限?
~是权限不够?
正常来说是权限不够。
这个时候,可以发现,假如你的小马在别的盘符(非C盘情况,如D盘)
此时,我们可以看到C盘的一些东西,但是无法进行操作
因为,权限不够,目前我们的身份是一种匿名用户(来宾用户)
(所有访问这个网站的游客都会被赋予的一个身份)
-------先手动分割--------别急,继续往下看---------------
动态语言通过wscript.shell执行cmd命令
如php,asp他们能执行cmd指令是通过调用wscript.shell来间接执行cmd
而这个wscript.shell是存在与c盘之中的
故我们在菜刀的虚拟终端输入:whoami会无法访问
问题零:iis6.0是什么?
一种web中间件,是服务器和具体应该程序的一个中间人(类似管家)
除此之外,还有:apache、tomcat、nginx等等
举例:
你上传服务器一个mp3文件,
服务器将这个mp3丢给中间件,
中间件一看是mp3,
叫来音频解析器来执行该文件
问题一:我们无法调用C盘的cmd,可以自己上传一个cmd,从而执行命令吗?
回答是可以的。
这时我们的权限已经提升了一些,是IIS权限,因为可以调用自己上传的cmd。
问题二:没有上传点,即不能上传小马怎么办?
要明白一件事,没有一款漏洞可以通杀市面上所有计算机,
所以,我们要学习很多漏洞,各类原理,不断丰富自己的武器库
才能,佛挡杀佛、魔挡杀魔。
场景二:上传小马(在D盘),菜刀连接,已经上传了一个cmd程序,接下来要干什么?
创建一个属于自己的用户,
转移到管理员组,(提高权限)
通过远程桌面系统登录上去(win的3389端口)
//这是正常的渗透测试流程与思路
补充:在cmd中添加用户的命令:
Net user youke 123456 /add
函数 参数 用户名 密码 参数(添加)
Net localgroup administrators 用户名 /add
函数 参数(对组进行操作) 目标组名 目标id 参数(添加)
注意:
~不同的win版本对密码强度有不同的要求,建议设置的复杂一些
~假如,最后不加(/add)这个参数,默认是给youke这个用户改密码
~直接net user是查看自己电脑上有哪些用户
~同学们在自己电脑上试试添加用户的话,即在cmd中输入上述命令,极有可能出现:发生系统错误 5。
这是权限不足引起的,以管理员权限运行cmd,执行上述命令即可
~在添加用户时,加$,net user是看不到的,即隐藏了
但这种方式在 计算机管理--本地用户和组 是没有办法隐藏的
当然,也存在一些方法可以隐藏用户,需要很繁琐的步骤才可以找到
这并不是今天的主要内容,不在扩展
场景三:上传小马(在D盘),菜刀连接, 已经上传了一个cmd程序,如何提权?
上传一些提权exp文件(如IIS6.exe)
如何使用上传的exp?
右击菜刀,打开虚拟终端: IIS6.exe whoami
//这么执行两个错误:没绝对路径;没加引号
如提示 “xxx”不是外部命令,也不是可运行的程序
解决---> 带上绝对路径 如: D:\aaa\bbb\iis6.exe "whoami"
命令whoami,其实加不加引号都行,但是不加的话,
一些命令容易执行出错,最好加上
正确执行whoami后应该就可以看到system权限了
格式总结: 路径/exp的名字 "命令"
提权的原理:
1,你是一个企业家,你想去银行款1000万
2,你写一个纸条(贷款1000万)去递给银行的员工
3,员工看你 一个不认识的小瘪三,凭什么贷给你,滚蛋
4,没办法回家,这时你想到你一个远方大表哥是某某官员(这个官员有作风问题)
5,你找到大表哥,一番攀谈交心(阿谀奉承)之后,忽悠的他不知道姓什么
6,最后你说表哥,你帮我把这个纸条交给XX银行的员工吧
7,被你忽悠的大表哥什么也没多想 直接将纸条递给XX银行的员工
8,员工看表哥是某某官员,没什么问题。就把纸条执行了,即贷给你1000万
你: 黑客
纸条: 一些命令
员工: 计算机系统
大表哥: 某有漏洞的软件
来说说IIS6.exe的原理:
寻找目标进程(拥有高权限的) ---iis6找的是wmiprvse.exe
进行进程注入
拿到进程的系统凭证
用拿到的凭证执行我们的命令
补充两点额外的知识:
1,渗透测试的时候,任何“增删改”都是违法的行为,“查”也有很多文件是很忌讳的,
特别是一些敏感文件,同学们且行且珍惜
2,工作中,任何职业之外的事情尽量不要碰,比如你是安全工程师,
你对计算机硬件有所了解,公司有服务器坏了,让你去帮忙修理。
不要去!不要去!不要去!
一旦出问题,你是全责,切记,切记!