昔日

window提权常见方法

Jw0N9'Blog:

前几天跟小伙伴们分享了一下我比较熟悉的提权方式。写下来比较好


由于原来的图片我找不到了。我只能截取ppt里面的。所以看起来不是很清楚。
1.溢出提权:主要是想讲window2008提权,用ms13-046或者是ms-053提权,一般的形式:ms13-046.exe cmd "net user xxx xxx /add",在window2008下执行成功,然后成功常见一个cmd窗口。个人比较喜欢写一个加账户的exe,然后这样执行:ms13-046.exe yonghu.exe。或者是使用14年的溢出加账户比较容易


2.星外虚拟主机:一般情况下是上传cscript.exe和iispwd.vbs或者e.exe去读iis的配置信息。关键是可读可写目录比较难找,上.net的马成功率比较大。


现在比较流行就是:替换可执行的文件或者是利用星外虚拟主机本身毛病,跨目录文件读取。


比如:c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv

C: \windows\IIS Temporary Compressed Files\ee.exe 命名为
log.csv 就可以执行了。也可以找一下winrar,php.exe的执行权限。cscript.txt 1.vbe


3.udf提权:利用MYSQL的Create Function语句,将MYSQL账号转化为系统system权限。


低权读取root:也就是创建一个数据表,然后将user.myd的数据导入到这个表中,然后再读取表中的内容。


创建plugin:利用NTFS ADS流来解决这个问题


select @@basedir;    //查找到mysql的目录 


select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION';    //利用NTFS ADS创建lib目录 


select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录




mof提权:对mof文件进行预编译,然后就可以执行我们的命令。mysql是受害者之一,最常用的还是FTP。mof提权只是在03及03以下的系统有效。


mysql下:找一个可写目录上传mof文件,我这里上传到了 C:/wmpub/nullevt.mof


然后执行


select load_file('C:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'


也可执行上传个带回显版的mof.php


mysql下也可以将加账户开端口的VBS,bat到出到windows的启动项下,然后使用Ddos,或者蓝屏工具,让服务器重启。比较被动的方式。


mysql下的LPK:常用的是T00ls Lpk Sethc v4.0,一般情况下我是创建一个代码为:


for /l %%i in (1,1,1000) do @net user xxxx xxxx /add&@net localgroup administrators xxxx /add的user.bat,然后上传。



然后将生成的LPK.dll的内容转换成Hex值,


然后select hex值 into dumpfile ‘路径/lpk.dll’。。。还是需要重启服务器。比较被动。但是有时候还是可以用到的。




4.mssql提权:一般是创建一个xp_cmdshell的存储过程。没降权情况下就可以执行system命令。


5.serv-u提权:比较老的版本就是改配置文件加账户。现在更多的是看有木有默认密码。然后直捣黄龙。


6.zend optimizer:实现的原理是对那些在被最终执行之前由运行编译器Run-Time Compiler)产生的代码进行优化。在12年比较好用吧。给了那个目录下everyone权限,可以替换目录下的dll文件。达到提权目的。我一般使用90sec的那个反弹工具。。


7.shift提权:


copy c:\windows\explorer.exe c:\windows\system32\sethc.exe


copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe


8.导hash:导hash比较常用,特别是内网渗透时,收集各种管理员信息。一般我在遇到安全狗的时候,才苦逼的导出hash提权。


9.远控:一般我是使用Ghost,当然也可以使用msf里面的远控。配置外网ip,还有端口,然后别人能访问到你就可以,然后生成EXE,然后你就可以发给你们的女同学,然后你就。。。。。请尽情发挥想象。。。




以上就是我比较熟悉的提权方式。与君共勉!

















评论

热度(2)

  1. 昔日Jw0N9'Blog 转载了此文字