文章目录
提权目的
有时候,通过某些方式(如上传Webshell)获取执行命令的shell,但是会因为权限限制而无法执行某些命令。这时候为了“扩大战果”就需要利用提权,来让原本的低权限(如只允许列目录)–>高权限(拥有修改文件的能力)。
提权方式
- 本地漏洞提权
1、本地服务提权漏洞
iis6 iis5 (https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2009/ms09-020)
ftp(需要本身的ftp服务权限就很高,ftp,serv-u ftp,g6ftp等)
smb(MS17-010)—在msf框架下成功很高,可以正常放回cmdshell
rpc(ms08-067)
2、系统内核提权漏洞 - 数据库提权
- 第三方软件提权
Windows本地系统提权
systeminfo收集补丁信息
实验环境:
- Windows Server 2008 R2 x64
- Windows Server 2003
- 浏览器
- 大马
- windows-kernel-exploits
- kai3389.exe
模拟实验:
Windows 2003
1、安装IIS服务器、假设已拿下网站getshell
将大马直接拖入C:\inetpub\wwwroot中
查看IP,用浏览器连接,密碼:xiaowang520
执行whoani命令,查看当前用户
2、利用没打补丁的漏洞提权
执行systeminfo命令查看系统补丁信息,对照漏洞补丁表发现目前已有的漏洞都没有补丁
找到C盘的RECYCLER文件夹
选择一个漏洞执行程序进行提权,选择上传到RECYCLER文件夹里
执行成功,复制路径加文件名在CMD命令中执行
如:C:\RECYCLER\ms15-051.exe whoami 执行成功,权限已更改
创建一个用户并加到管理员组中
查看管理组添加成功
3、利用提升的权限连接远程桌面
查看开启的端口,发现只有80开着
上传执行kai3389.exe开启3389端口
再次查看端口,3389已开启
輸入创建的账号
成功连接
Windows 2008
1、安装IIS服务器、假设已拿下网站getshell
将大马直接拖入C:\inetpub\wwwroot中
查看IP,用浏览器连接,密碼:xiaowang520
执行whoani命令,查看当前用户
2、利用没打补丁的漏洞提权
执行systeminfo命令查看系统补丁信息,对照漏洞补丁表发现目前已有的漏洞都没有补丁
找到C:\Windows\Temp\文件夹,将ms15-051的漏洞exp上传到此目录下
执行C:\Windows\Temp\ms15-051x64.exe whoami拿到了system的权限
创建zs用户并添加到管理员组
成功添加
3、利用提升的权限连接远程桌面
查看端口只有80开启
在刚才的目录上传kai3389.bat内容为REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
执行/c C:\Windows\Temp\ms15-051x64.exe C:\Windows\Temp\kai3389.bat开启3389端口
查看端口已开启
使用zs用户成功连接
总结
每个Windows版本都要使用正确的漏洞,否则可能导致服务器瘫痪,切记不能在物理机中使用这些漏洞exp,否则可能造成严重后果