渗透测试入门6之权限提升

渗透测试入门6之权限提升

Windows

BypassUAC

常用方法

使用IFileOperation COM接口使用Wusa.exe的extract选项远程注入SHELLCODE 到傀儡进程DLL劫持，劫持系统的DLL文件eventvwr.exe and registry hijackingsdclt.exeSilentCleanupwscript.execmstp.exe修改环境变量，劫持高权限.Net程序修改注册表HKCU\Software\Classes\CLSID，劫持高权限程序直接提权过UAC

常用工具

UACMEBypass-UACYamabiko...

提权

windows内核漏洞提权

检测类:Windows-Exploit-Suggester,WinSystemHelper,wesng利用类:windows-kernel-exploits，BeRoot

服务提权

数据库服务，ftp服务等

WINDOWS错误系统配置系统服务的错误权限配置漏洞不安全的注册表权限配置不安全的文件/文件夹权限配置计划任务任意用户以NT AUTHORITY\SYSTEM权限安装msi提权脚本

PowerUP,ElevateKit

Linux

内核溢出提权

linux-kernel-exploits

计划任务

crontab -l

ls -alh /var/spool/cron

ls -al /etc/ | grep cron

ls -al /etc/cron*

cat /etc/cron*

cat /etc/at.allow

cat /etc/at.deny

cat /etc/cron.allow

cat /etc/cron.deny

cat /etc/crontab

cat /etc/anacrontab

cat /var/spool/cron/crontabs/root

SUID

find / -user root -perm -4000 -print 2>/dev/null

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb {} \;

系统服务的错误权限配置漏洞

cat /var/apache2/config.inc

cat /var/lib/mysql/mysql/user.MYD

cat /root/anaconda-ks.cfg

不安全的文件/文件夹权限配置

cat ~/.bash_history

cat ~/.nano_history

cat ~/.atftp_history

cat ~/.mysql_history

cat ~/.php_history

找存储的明文用户名，密码

grep -i user [filename]

grep -i pass [filename]

grep -C 5 "password" [filename]

find . -name "*.php" -print0 | xargs -0 grep -i -n "var $password" # Joomla