渗透测试提权

提权篇

一切一切一切的前提是你拿到了基础权限，能rce时

内核漏洞提权

根据内核从网站上找对应的exp 在里面执行

当然，如果这个漏洞被修复过了，就再找一个，这类漏洞实战中比较少，属于高危漏洞

Suid提权

执行赋予4xxx的可执行文件

Echo $PATH把当前tmp（777）目录增加到环境变量

Export PATH=.:$PATH

设置了PATH执行cat的时候会优先从当前目录下查找程序。所以4xxx的可执行文件中的cat命令会被劫持，就会转到root用户

特定SUID参数利用，工具/手工探测后看参数是否被赋予SUID权限

Nmap，Vim，find，Bash，More，Less，Nano，cp等系统命令在suid可执行文件中使用就会发生劫持

GNU C library动态链接区$ORIGIN溢出提权

https://blog.csdn.net/qq_45555226/article/details/125686751

/proc/N/fd 包含进程相关的所有的文件描述符

LDPRELOAD 在所有其他对象（附加的、用户指定、ELF 共享对象）之前加载，但实际上 LDPRELOAD 并非真的是首先加载，通过利用 LDAUDIT 环境变量可以实现优先于 LD_PRELOAD 加载。

劫持预加载动态链接库 LD_AUDIT：LD_AUDIT=”$ORIGIN” exec /proc/self/fd/3

大概懂了但应该不怎么懂，和suid提权有一点像

LINUX CRON JOBS提权

大概就是利用 /etc/crontab文件，可以设定系统定期执行的任务。

对于crontab的一些学习

首先 vi /etc/crontab添加定时执行任务（需要root权限）

设定细节看链接https://blog.csdn.net/qq_41969358/article/details/87892343

注意python文件的文件格式

如果用xftp传过去的话格式为doc 运行就会提示权限不够所以需要修改fileformat=unix nnd找了好久

然后因为1.py是存在tmp（777）下的达到提权

给dash加上

在普通用户下使用dash能做到在dash中提权

Dash提权一般用于Ubuntu，主要Windows的定时系统

Lpk提权

仅用于Windows2003 和xp系统

在window2003或windowxp存在开机自启应用时,例如WebMail

且该目录中存在exe和lpk.dll时,每当重启电脑,或者电脑开机时,exe执行,调用了假的lpk.dll时就会被劫持。

T00ls Lpk Sethc v4生成lpk dll文件的工具，利用这个工具就可以生成后门文件劫持exe(作用是替换sethc（粘滞键))实现提权

可以在该软件里自定义热键来唤醒,和密码来登录

远程链接按 shirt 五次弹出 Sethc 窗口同时按着 ctrl a 和 b 就会弹出后门输入密码 123456就能进去里

zend nc提权

首先zend是服务器所使用的一个插件,在服务器重启的时候被调用

iis6.0 在启动的时候或收回进程重启启动的时候有人访问网站的时候就会加载 dll 文件

提权方法:

首先利用Zend_DLL_Hijacking_for_nc.exe 生成相应dll文件,

然后替换掉lib下的原dll文件,然后重启服务器,然后访问网站php网页

此时就能telnet远程登录服务器了 teletnt 192.168.0.115 4444

一般都是开防火墙的,可能这个不太行,所以一般只是在反弹shell不能用的情况下碰碰运气用的

Zend 反弹shell提权

原理和前面的差不多

利用msf文件生成反弹程序（msf见kali msfconsole命令详解以及靶机攻破实战）然后上传至目标主机服务器内利用zend工具将dll文件进行生成并将原dll文件替换并在kali攻击机上设置监听当目标服务器有人进行php网站访问时就会被捕获从而提权

Filezilla提权

原理是利用lck端口转发工具利用filezilla多端口远程登录达到可以修改filezilla共享的文件夹内的文件配合其他手段达到提权下文就是利用cmd.exe替换sethe.exe来达到替换粘滞键提权

具体实施过程：

利用lck端口转发filezilla的14147端口至14148 然后在攻击机上用14148端口登录filezilla 从而修改登录用户或者修改所共享的目录然后更改目录中C:\WINDOWS\system32 中的sethc.exe（粘滞）修改为cmd进行污染