提权就是一个低权限向高权限转化的过程 基于之前的文章,我们获取了一个低权限账户,现在朝着高权限进发 我们现在既然有了低权限账号密码,那么我们就可以登陆3389等远程服务,从而使用一些本地提权的方法 在开始提权之前...Root 对于Linux来说,就只有两种权限,root,非root 其实对于非root也有两种情况,是否可以使用sudo 可以使用sudo的用户可以获取到部分root权限 ---- at命令提权...这个方法相对来说有些古老,之前我在一些技术书籍中还能看到 at 命令提权的原理是at 命令是一个计划命令,可以在规定时间完成一些操作,这个命令调用的是system权限 Win2003 & XP中还是存在的...可以看到我们的权限已经是system了 这个是本地提权,我们看看能不能远程提权(3389属于本地提权了哈) 远程提权需要反弹一个system的shell,我们以nc为例 首先我们用echo命令吧需要执行的命令写入到批处理中...,之后定时执行批处理文件 最好把文件写入到没有空格的路径下,我把nc已经拷贝到c盘根目录了 ?
前段时间也对这个防护软件的命令执行限制功能做了一些测试,没能成功绕过,详情可见这篇:D盾防火墙防护绕过-[命令执行限制] 0x01 模拟实战测试 测试某防护软件时发现在Webshell执行不了命令,提示...:拒绝访问,不是cmd被降权的原因,Admin/System也都执行不了。...这里我们将AspxSpy2014大马中的PluginLoader模块给单独提取出来了,可以使用assembly反射加载dll来进行API Unhook执行命令。...如果IIS长时间不用w3wp.exe就会被结束,刚执行的Unhook就会失效,为了方便,我将命令执行也加了进去,UnHook -> Execute。...只要绕过了这个防护软件的命令执行,随便用一个EXP就可以提权了,这里以CVE-2017-0213为例,当然,前提是要存在这个漏洞哦。
Windows基础命令 net user xx query user #查看用户登录情况 whoami #当前用户权限 systeminfo #查看当前系统版本与补丁信息 net user xx...将某个路径下的文件重命名 tasklist #查看所有进程占用的端口 taskkill /im xx.ext /f #强制结束指定进程 如 taskkill /im QQMusic.exe /f Windows基础提权命令...HotFixID,InstalledOn|findstr /C:"KB4013389" /C:"KB958644" 查看当前安装程序 wmic product get name,version Linux基础命令...查看系统版本信息 cat /etc/issue cat /etc/*-release 查看内核版本 uname -a Linux提权基础命令 基础命令: uname -an id
以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写 UDF提权原理 用户可以自定义提权的函数(比如执行系统命令)来进行提权。...UDF提权条件 1.Mysql版本大于5.1时,udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。.../LinEnum.sh 9.利用UDF提权,先找到exp文件(/usr/share/exploitdb/exploits/linux/local/1518.c) 10.编译exp gcc -g -c 1518...13.提权 先选择一个数据库 mysql> use wordpress Reading table information for completion of table and column...mysql> quit Bye 查看foo文件touch foo 执行whoami命令,返回root,获得root权限 www-data@Raven:/var/www/html$ find foo
mysql之udf提权 前言 UDF简介 UDF (user defined function),即用户自定义函数。...; 删除udf DROP FUNCTION metaphon; 提权思路(一) When 在无web脚本执行权限,但是有mysql root执行的环境下,我们就可以通过into dumpfile函数导入...有web脚本执行权限时,也可以直接上传udf提权脚本,快速搞定。...总结一下就是需要有mysql的root权限,就可以尝试使用UDF提权 这个第一个思路是针对没有web脚本执行的情况下进行的提权 若不确定是否是root权限可以使用命令查看一下 select * from...##有web脚本执行权限的时候,可以直接上传该UDF文件,没有执行权限就提取十六进制这个方法 调用此提权UDF mysql> create function sys_eval returns string
可以看到有147个小工具 psexec 这个工具可以以System账号执行一个程序 适合于本地提权 psexec -i -s cmd -i 使用交互模式运行程序 -s 使用SYSTEM账号来运行 ?...可以看到本地提权成功! 下面我来尝试远程提权,如果能够反弹一个System权限的nc连接,就算成功 ? 这个是拿XP做的实验,现在我们拿win10来测试一下 ?
以前看到大多数人在利用提权EXP进行提权时只会用exp.exe whoami,不行就放弃了,其实每个提权EXP的执行方式是取决于开发作者是如何编写的,这里分享几个我在测试中发现的执行方式。...,可以直接将提权EXP上传至目标主机的可读写目录中执行即可,因为国内大部分提权EXP都这样写的,所以可通过自定义参数来执行。...但有时在执行命令时可能会出现两个“拒绝访问”的情况,这可能是cmd被降权或系统安全设置造成,可尝试将我们上传到可读写目录中的提权EXP放在cmd.exe位置上去执行,也可以尝试用“”双引号将提权EXP括起来后再执行...使用以上提到的反弹shell方式得到一个交互式SHELL,然后再执行我们上传到可读写目录中的提权EXP即可,第一次执行whoami命令还是普通权限,再执行一次即可得到最高权限。...首先我们先用msfvenom命令生成一个以cmd.exe命名的EXE载荷文件,因为CVE-2018-0824这个提权EXP只会去执行cmd.exe文件...
遇到了处接管Postgresql,但是........我tm竟然没有用他来提权。后来经大哥提醒才知道这里可以利用UDF进行提权。遂为了下一次不再翻车,写下这篇笔记。...sys.so | xxd -ps | tr -d "\n" > 1.txtpython2 postgresql\_udf\_help.py 1.txt > sqlcmd.txt图片接下将生成后的sql语句执行...RETURNS text AS '/tmp/testeval.so', 'sys\_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;图片最后尝试执行命令...,成功提权图片0x02 结尾-----曾经有一个漏洞摆在我的面前,但我没有珍惜,等到失去时 才感到后悔.....图片undefined
渗透场景当我们获得了某个Linux服务器的低权限之后,我们想要对该低权限账号进行提权,以执行更多的操作,而在提权过程中发现当前用户具有/etc/passwd文件的写权限,此时我们可以写一个用户进去完成提权...程序用户超级用户:UID=0 程序用户:Rhel5/6,UID=1-499; Rhel7,UID=1-999 普通用户:Rhel5/6,UID=500-65535; Rhel7,UID=1000-60000有三个命令可以查看用户的相关信息.../passwd #查看用户信息cat /etc/shadow #查看用户的密码信息cat /etc/group #查看用户的组信息用户信息使用以下命令查看用户信息...提权流程确定可写首先查看/etc/passwd 的权限,发现任何用户都可以对/etc/passwd文件进行读写操作:ls -lh /etc/passwd写入用户接下来要做的就是自己构造一个用户,在密码占位符处指定密码...UID设置为0,将其添加到/etc/passwd 文件中~首先使用perl语言生成带有盐值的密码:perl -le 'print crypt("password@123","addedsalt")'然后执行下面这条命令
提权类别 本地提权 配置提权 漏洞提权 本地提权 1.AT命令提权 首先以administrator身份打开cmd ?...2.SC命令提权 sc Create syscmd binpath="cmd/k start" type= own type= interact sc start syscmd system 服务名字...,可以随便取 binpath 环境变量,执行的路径 3.内核提权 psexec -i -s -d cmd ?...利用自定义函数功能,将mysql账号换为系统system权限 ②.mof提权 1、win2003 以下版本 2、secure_file_priv参数不为null ③.反弹shell提权 2.Sql...server提权 ①、有sa权限 ②、有dba权限 3.redis提权 未授权访问 1、webshell 2、上传公钥 3、反弹shell 4.oracle提权 1、dba权限执行系统命令 第三方软件
MySQL提权 〇、Mysql提权的必备条件 Mysql的服务没有降权,并且需要获取Mysql root账号密码 使用net user命令查看系统当前帐号,如果出现Mysql这类用户,则系统可能进行了降权...提权原理 MOF文件每五秒就会执行,而且是系统权限,我们通过mysql使用load_file 将文件写入/wbme/mof,然后系统每隔五秒就会执行一次我们上传的MOF。...MOF当中有一段是vbs脚本,我们可以通过控制这段vbs脚本的内容让系统执行命令,进行提权 公开的nullevt.mof利用代码 1 #pragma namespace("\\\\....的值为空时不可提权 当plugin的值为mysql_native_password可通过账户连接提权 3、查看系统架构以及plugin目录 show variables like '%compile%'...而且也不能使用其他提权等手段。所以,我们现在要做的就是使用UDF进行提权。
利用mysql的几种提权方式 mof提权 1.原理 在windows平台下,c:/windows/system32/wbem/mof/nullevt.mof这个文件会每间隔一段时间(很短暂)就会以system...但是网上很多资料都提到win2003很容易利用,而更高版本的就很难成功了,所以大家遇到win2003可以试一下这种提权方式 udf提权 1.原理 UDF提权是利用MYSQL的自定义函数功能,将MYSQL...是不是感觉挺麻烦的,首先找dll文件就是一个问题,其实这个dll文件完全可以从带有udf提权功能的大马的源码中去找。当然我们也可以利用别人写好的工具,网络上有很多关于udf提权的利用脚本。...\\lib\\plugin::$INDEX_ALLOCATION'; //利用NTFS ADS创建plugin目录 上面的目录应该是相应的mysql目录,读者在测试时应该根据情况进行修改 注:udf提权也是一般应用于...win2000、win2003系统 mysql反弹shell提权 其实这也属于udf提权,只不过应用场景不同,比如现在我们没有webshell但是我们却有偶然得到了mysql的root密码(弱口令等),
前提 什么时候用数据库提权????在得到WebShell且没有办法通过其他办法提权的前提下,我们考虑用数据库来进行提权。数据库提权的前提条件: 1、数据库的用户名和密码,且是高权限的用户!...提权大致方法是把我们的动态链接库放置在特定的目录下,创建我们自定义函数,实现系统函数命令的调用,最终导致提权。...接下来的操作: 搞一个动态链接库,这个动态链接库可以提权 将这个动态链接库上传到plugin_dir 通过这个动态连接库来创建函数 执行系统命令 可以提权动态链接库 我们可以使用sqlmap中里的UDF...mof的提权原理为mof文件每五秒就会执行,而且是系统权限,我们通过mysql使用load_file 将文件写入/wbme/mof,然后系统每隔五秒就会执行一次我们上传的MOF。...MOF当中有一段是vbs脚本,我们可以通过控制这段vbs脚本的内容让系统执行命令,进行提权。
useradd test_dora 3、切换用户,并查看用户权限与系统版本内核版本 su test_dora id cat /etc/shadow uname -an lsb_release -a 二、suid提权...gcc -w -fPIC -shared -o /tmp/test_dora/testpayload.c LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3 id 三、脏牛提权
还有不安全的参数“ rw ”(读,写),“ sync ”和“ no_root_squash ” 同样我们也可以使用 showmount命令来查看。...showmount命令用于查询NFS服务器的相关信息 # showmount --help Usage: showmount [-adehv] [--all] [--directories...显示客户端信息和共享目录 # showmount -a 显示指定NFS服务器的客户端信息和共享目录 # showmount -a 192.168.1.1 这里不多说了 我们接下来在我们的攻击机上安装客户端工具 需要执行以下命令...bash"); return 0; }' > /tmp/test/suid-shell.c 编译: gcc /tmp/test/suid-shell.c -o / tmp / 1 / suid-shel 赋权:...好的,我们回到要提权的服务器上 cd / tmp ./suid-shell ? 可以看到是ROOT权限了
@蜗牛师傅也写了一篇,大家可以参考学习下:权限提升 | suid提权及修复方式 0x01 SUID命令提权简介 setuid是set uid ID upon execution的缩写,我们一般会再次把它们缩写为...suid权限的命令进行提权,最终获得root权限。...localhost ~]# ls -al /usr/bin/find -rwsr-xr-x. 1 root root 199304 Oct 31 2018 /usr/bin/find 0x04 find命令提权...如果find命令有suid则可以利用find命令提权,这里注意应该加上-p参数,网上大多数版本并没有-p选项,导致不能真正的以root权限开启一个新的shell。...0x07 systemctl命令提权 如果systemctl具有suid权限则可以利用systemctl进行提权,systemctl 是一个用于管理服务的 Linux 软件套件,可以通过创建一个服务来利用
RogueWinRM是一种新型的提权方法,原理在https://decoder.cloud/2019/12/06/we-thought-they-were-potatoes-but-they-were-beans.../ ,大体意思就是利用winRm端口来实现token模拟并提权。...然后使用该模块进行提权(BITS与WinRm服务必须处于关闭状态) ? 此时我们便获得了一个system的shell: ?...Cobaltstrike操作 之前有讲过Cs的提权武器化,感兴趣的可以转到:使用ReflectiveDLLInjection武装你的CobaltStrike 本来准备像之前一样弄成反射dll,结果发现并不通用...,因为exp自带了-p参数,这里我们直接-p提权即可。
缓冲区溢出漏洞提权 缓冲区溢出(Buffer Overflow)是针对程序设计的缺陷,向程序输入使之溢出的内容,从而破坏程序运行乃至获得系统的控制权。利用该漏洞的关键是目标机器没有及时安装补丁。...系统配置错误利用提权 Windows操作系统中常见的配置错误包括管理员凭据配置错误、服务配置错误、故意消弱的安全措施、用户权限过高等。...Metasploit 在msf中,可使用exploit/windows/local/service_permissions模块进行自动化提权,需要一个session 此模块使用两种发方法来提权:如果meterpreter...在创建服务或者劫持已经存在的服务时,该模块会创建一个可执行程序。模块中AGGRESSIVE选项如果设置为ture,则是利用目标机器上每一个有漏洞的服务,设置为false则是在第一次提权成功后停止。...烂土豆提权就是MS16-075,是一个本地提权,不能用于域用户.
在渗透中,我们拿到的webshell和反弹回来的shell权限可能都不高,如果我们可以使用sudo命令访问某些程序,则我们可以使用sudo可以提权。...sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。...首先超级用户将普通用户的名字、可以执行的特定命令、按照哪种用户或用户组的身份执行等信息,登记在特殊的文件中(通常是/etc/sudoers),即完成对该用户的授权(此时该用户称为“sudoer”);在一般用户需要取得特殊权限时...要利用sudo用户,您需要找到您必须允许的命令。sudo -l 上面的命令显示了允许当前用户使用的命令。 ? 此处sudo -l,显示用户已允许以root用户身份执行所有此二进制文件而无需密码。...在要提权主机方面。
我们可以利用“SharpView” 实用程序通过执行程序集从域对象中读取“ms-ds-machineaccountquota”属性。下面给出了执行此操作的示例命令。...然后我们可以利用下面给出的命令来执行 LDAP 中继攻击。在这种情况下,我们将 HTTP 侦听器配置为侦听端口 8080。...在这种情况下,我们省略了 /nowrap 标志,以使示例屏幕截图中的命令输出更具可读性。...操作员可以利用下面给出的命令序列将生成的 base64 编码的 kirbi 文件转换为 ccache 格式。...我们现在可以使用“socks stop”和“rportfwd stop 80”命令关闭SOCKS代理和远程端口转发,如下图所示,利用完成。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
