首页 > 其他分享 >合天网络安全笔记-十五-

合天网络安全笔记-十五-

时间:2024-09-29 13:02:32浏览次数:8  
标签:网络安全 这个 一个 笔记 这边 的话 样子 合天 就是

合天网络安全笔记(十五)

P74:第43天:权限提升-Linux定时任务提权、SUDO权限滥用 - 网络安全就业推荐 - BV1Zu411s79i

扣个一,然后下次大家想那个就是等待时间,想听歌的话,就是你可以提前在群里说,好吧,就不玩啊,这位同学点了这首歌的话,因为时间关系就听不完了,好吧好啊,现在的话已经八点多钟了,应该就是能来的,应该都来了。

那么我们这次开始我们今天的一个课程内容,今天的话呃,同样的跟上节课给大家介绍的同样的内容,就是linux的一个系统提权,那本节课的话主要分为了四个部分,第一部分的话就是滥用的一个收录权限。

第二个的话就是linux的一个定时任务的一个提权,第三个是s u i d这个特殊权限的一个,提前提前,第四个的话就是其他的一些提前的一个呃实例,第一部分的话就是滥用的一个收do权限。

就我们前面在讲linux的时候对吧,呃以及前面再去呃,与提前与提权相关的,就是就是说在linux下面,我们一个普通用户的一个权限要去执行啊,比如说要去启动一个服务对吧,以及比如说你要去执行一个像啊。

if configure这种命令,如果说你是一个普通权限的话,它可能就是有限制你的一个执行,就是你没有权限,没有相应的一个权限,去执行这样的一个命令对吧,所以说我们通常的话在linux系统下面的话。

通常会用这样子的一个so do命令对吧,这个命令的话大家应该都熟悉,就是呃经常呃玩linux的话对吧,然后这边呢这个so do的话,就是它是linux系统的一个管理的一个指令,主要的话它就是用来就是啊。

允许我们的一个系统管理员,让普通用户去执行一些,或者是说全部都这样子的一个root root命令,它是一个啊工具,就我们可以简单直接的理解,就是它是一个linux下面的一个提取工具。

然而这个命令的话它的一个执行流程,就是大家可能就呃就是经常用这个对吧,但是你不知道它是它实际的一个流程是怎样的,是这边的话我们来一起了解一下,就我们执行这个收入命令的话,他会呃将当前的一个用户。

它会转换成一个root的一个用户,然后的话以root的一个身份去执行一个命令,然后执行这个命令之后的话呃,他就会直接退回到当前的一个用户,也就是它有这样子的一个过程,就是比如说我去执行一个收入。

我之前一个收队要去骑一个service对吧,我提起一个这个service,我一个普通用户的话,我是无法去启动这样子的一个服务的,那么我们在这个时候的话,我们尝试使用收do这一个命令对吧。

然后他在呃执行这个命令的时候的话,他就会把我当前的就说,如果你当前,这,当然前提是你当前这个用户有权限,去执行这样子的一个收入啊,好的话,你当前的这个普通户,你通过收入这个命令。

它会以一个root的用户来去进行一个执行,因为我们知道的话,root用户它是啊,linux系统下面的一个最高权限的一个用户是吧,那么他肯定是有权限去执行这样子的一个服务,的一个启动这个命令的对吧。

那么他呃用这个命令之后的话,他以root身份去执行执行这个服务,启动之后对吧,启动之后的话,它就会立马退回到当前的一个用户,所以说我们呃这这这边的这个收入命令的话,只是一个达到一个短暂提前的一个目的。

就是呃短暂的把我当前的一个用户提,提升到一个root的权限,然后去执行相应的命令,但是你执行完之后的话,你还是会回回到当前的一个用户,也就是回到一个普通的一个用户权限,然而要注意的一点的话。

就是你在执行收入的时候,就是输入的一个密码,就是你如果说你的这个用户,你是有权限去执行这样的一个so do命令的对吧,然后的话你执行这个收do命令之后的话,它会让你输入一个密码。

这个密码它就是你当前用户的一个密码,而不是root的密码呃,呃这个的话应该很好理解对吧,就是你你说你当你当前的一个用户权限,去执行这个命令,那么你肯定输的一个,就说你验证了一个密码的话。

肯定就是你当前用户的密码是吧,如果说你都知道root的密码的话,那你不就可以直接得到root的权限吗,对吧,然后呃还有的话就是这边有一个需要注意的,就是收do的一个配置文件,就我们的收入的话。

它有这样子的一个配置文件,就是这一个etc的一个收到这样子的一个文件,这个文件它的一个文件权限是0440,也就是说它是没有其他这种特殊权限,然后只有root用户以及root组,他才有权限去执行这样子啊。

去读取这个文件里面的一个内容,它是然后其他的一个普通用户以及啊,它是没有权限去啊读取以及写入的,我们这边的话。

我们大家如果就是有在电脑前面操作的话。

大家可以跟着我就是这样子来查看,就呃比如我这边的这个机器对吧。

呃这边能看得清吗,应该能看得清吗,嗯我们可以啊,我们先来查看一下这个so ddos这个文件,它的一个权限,这个文件权限的话是这样子的,就是只有root用户以及note组的用户,他才有权限去读取这个文件。

然后你会发现,其实note用户,他这边也没有给一个写的一个群像是吧,但是因为note用户的话,你是一个系统的一个最高权限对吧,呃你虽然没有在这边没有写这样子的,一个写的一个权限。

但是我们可以通过像比如说vm,然后我这边pc,这个文件对吧,然后我在这边我进入这个文件,我修改之后的话,可以通过就是w q加一个干,就是强制保存,然后的话也是可以去做一个修改的,因为你是一个root用。

然后还有的话就是你要去修改的话,有这样子的vi so do的这样子的一个命令,我们呃可以通过这一个命令来去做一个修改,就同样的也是进入到这边,然后他在这边的话,就是呃你他这边使用的一个编辑器。

是那个narrow,应该能到,然后呃我我是我是不常用这个,我对这个编辑器的话不是很熟悉,然后我通常的话都是使用vm,然后在这边看,在这边的话就是你可以做一个编辑嘛,就跟我们平常的一个编辑器是一样的。

就你可以在这边去写入对吧,然后呃退出的话就是ctrl加x,然后n就通过这样子一个方法来去做一个修改,但是你如果说是你是一个普通用户的话,是没有任何权限,是没有任何权限去查看以及修改这个文件的。

因为在这个文件当中的话,我们可以来查看一下,在这个文件当中的话,它里面它是存的存的,存储的这样子的一个内容啊,就是我们这边的一个收入的这个,特权用户的一个信息,就说我们的一个普通用户对吧。

我们的一个普通用户,我们要想要去执行这样子的收do命令的话,你需要把你的这个用户,把它给添加到这个文件当中,然后可以在这边有看到,就是这边有一个root,就它这里面它默认的话是有这样子的两个对吧。

有这样子的一个root root用户,然后的话or等于or等于or,然后or对吧,这边全是or全是all的话,就代代表就是说这一个用户它是有啊,有完全的一个权限,就是有一个完全的一个root用户的权限。

也就是因为它本我这边的话,本来就是一个root用户嘛,所以的话我可以有完整的一个权限去啊,用so do对吧,然后这边的话就是s这边有一个百分号,然后收入的话这个的话就是表示收度组。

就这个的话就表示主这边是表示用户,然后这边呢这一个收do组的话,它同样的也有就是呃有note的一个权限,就我们可以通过收do来得到root的一个,完整的一个权限对吧。

那么我们想要去就是呃想要得到一个root的权限,你也可以把你的一个用户,把它给添加到这样子的一个收入,主动收入组在这个so do的一个组当中,然后的话你同样的也能够去得到这样子。

一个root的一个群像,就是啊sodas这个文件,然后呃关于这个文件的话,关于这个文件更详细的这样子的一个呃介绍啊,大家可以看一下这篇文章,我放在这个预习内容当中了,就这一个sodas的一个文件。

这这篇文章的话详细的介绍的,就是这个sodows文件,它的一个就是它的一个,它的一个配置的一个组成,就像比如说在这边对吧,就默认的话它这里的话它会有这样子的几行呃。

还有的话可能还会有这样子的一个admin的,这样子的一个组,就是表示的话就是这个admin组的一个用户,同样的有所有的一个权限,然后呃他这边的话呃,我这边就大概的给大家介绍一下,好吧,就是来理解一下嗯。

其实详细的话大家看这一篇文章吧好吧,我这边的话就以他这边给的几个例子,给大家介绍,然后在这边他有详细的介绍,就是说有这样子的一个公式对吧,就是首先的话这边的话授权用户还有主对吧。

也就是我们这边比如说root这个用户,或者说你是一个其他的一个普通用户,像比如说一个看你用户对吧,然后主机主机的话,这边这边对应的就or or的话,就是表示所有的一个主机。

就是呃你任何的这样子的一个主机,你都你去登录,你去用这一个用户的话,你都有都能够去得到这样子的一个,就是对应的这样子的一个权限,然后后面这边的话就是切换到哪些用户或组。

就是这边的话all的话就是表示所有的,也就是它可以通过收do这个命令,去切换其他的所有的一个用户,以及你可以就是指定某一个用户,像比如说指定一个root用户对吧,就在这边指定一个root用户。

然后要注意的话要在括号当中,好像这边的话就是or的话,就是所有的一个用户嘛,all的话就是所有的一个组,就是用户,还有组通过这样子的一个形式,然后呃其实也可以省略就省略,就是在这边只加一个or的话。

就是表示所有的嘛对吧,然后的话要注意要加括号,然后还有的话就是呃是否要输入密码验证,像我们呃如果说不加这样子的一个no password,这个字段,就这一个字段,那么你再去啊用so do。

就说你当前的这,比如说这边的一个lucy这个用户对吧,你通过收do你切换到note的一个用户的话,你用搜你用收队去执行相应的一个命令的话,像我们正常的话,如果不加这个,我们执行收队,我们需要去输入。

当前的一个用户的一个密码对吧,那么你如果有这样子的一个字段的话,那么你去只通过收入去执行啊,相应的一个命令的话,你可以不用输当前用户的一个密码,也就是说你不需要知道当前用户的一个密码啊。

就像我们前面的话,我们要执行收购的话,我们需要输入当前的一个用户密码对吧,所以的话你想要你虽然你得到了这个用户,你你得到这个用户的权限,你而且这个用户有权限去执行这个收入对吧。

但是的话如果你不知道它的一个,当前用户的密码的话,你同样的就是呃,不能够暂时不能够临时的去获得这样子的一个,root的一个权限,然后后面这边它是接我们之前的一个命令,也就是说它限定了在这边呃。

如果说是all的话,就是表示所有嘛,就是所有的命令,你都可以去通过收do来去提前对吧,那么你在这边限定了相应的一个命令的话,也就是像以这边的这个为例,就是这个lucy这个用户他执行收入的话。

他可以不输入,不输入当前的一个用户密码对吧,然后我要去通过执行这一个user a的,也就是他不输入当前密码的话,它只作用于这一个usa的这个命令,而且是只只有执行这个usa的这个命令的话,你才能够啊。

就是说你才有权限去执行,你才能够通过so do来去执行这个u za的,来去得到一个,就是以note的一个权限去执行这个命令,来去听一下用户对吧,而且不需要去输入密码。

然后其他的一个命令的话就是没有权限去执行,就这个意思呃,然后还有这边要注意的话,就是像比如说这边的这边的这个例子的话,就是这个no password,它只作用只作用于第一个命令,然后后面的这个命令的话。

就是它同样的也需要去输入密码,也就是你只有在执行用收do去执行这个children,来去更改我们的一个权限的时候对吧,就执行这个命令的时候,你可以不输入密密码,然后你后面的这些命令的话。

它同样的需要输入密码,以及的话就是多个命令之间的话,用这样子的一个逗号做一个分隔呃,关于更多的话呃,其实主要大家要了解的话,就是我上面讲的这些对吧,然后你想要去了解更多的话。

你从头到尾看一下这篇他的这样子的一篇文章,好吧,应该能大家应该能理解吧,我刚刚讲的那些能大家你能理解吗,好的能理解是吧,那么我们继续,嗯下面的话就是两个命令,就给大家介绍这两个命令。

就是我们呃我们如何去进行一个查看,查看自己当前用户的,就是能够去用收do这个命令,去进行一个提前的这样子的一些命令,首先第一个就是这个so do gul,就显示出自己的一个权限,注意的话。

这边的一个权限的话就是刑诉,是自己当前用户能够去通过收do这个命令,去执行的这样子的一些命令呃,其实啊可能只用收do这个命令来说,可能大家不是很那个就是啊,通过收do这个提成工具对吧。

这样这样说应该应该会更好理解一点对吧,就是通过收do这个工具来去执行啊,这样子的一些命令,你才能够呃就是说你不好意思啊,我这边突然卡了一下,就是我这边执行收do gl对吧。

然后的话他在这边有显示出这样子的一些命令,对吧,这些命令的话就是说你你可以有权限,你可以去使用so do这样子的一个工具,来去执行这样子的一些命令,然后这些命令的话呃。

我们可以通过我们能够以一个root的权限去执行,然后so do杠s的话就是执行环境变数中的shell,所指定的一个shell,或者是etc password里面所指定的这样子的一个系。

就我们呃so do杠s,就我当前用户的话,我当前用户的话呃。

就是,能看实际的例子吧,嗯我们先看一下他说word这个文件对吧,然后这个文件里面的话,就存储着当当前所有用户的这样子的,一些信息嘛对吧,然后最这边的话有这样子的一个字段,就是最在最后有这样子的一个啊。

需要环境变量的这样子的一个字段,在这边,也就是像比如说我这边的这个卡里,用户的话,你的这样子这个shell的一个变数的话,就是这个bbh对吧,然后的话你在当前的话,你啊通过就是你远程登录。

你远程登录这个用户的话,你得到这个shell的话。

就是这个bh的一个shell,然后在这边的话就是我们通过so do杠s,因为我们知道so do的话,它是以root的一个权限去执行对。

那么在这边的话呃,就是对应的我收do杠s的话,就是表示的就是我这边以一个note的一个权限,去指定,去执行,我们这边的一个啊root的所对应的,这样子的一个小就是这一个bh对吧,比如说我这边一个意思。

我先进入s h不对哦,搜对干s对吧,我这边的话就进入到了一个bh,对我当前的话就是一个b,因为root的话,他在这边他呃默认的它指定的这样子的一个shell,的一个变量的话,就是这个shell环境的话。

是这个bbh,然后呃收do gl的话,就是查看当前的当前用户,能够以用收do这个工具去执行的,这样子的一些命令,so do gul啊,我当前是一个root用户,所以的话他这边表示的是沃尔沃。

就是我们在那个sodas文件当中所配置的。

这样子的一个权限对吧,然而我们我在这边的话,我以这样子的一个这个靶机为例,就这边的这个靶机的话,我当前我通过执行这个速度干扰他,这边的话,需要我们输入这个bob的一个用户名啊密码。

然后我这边输入密码之后的话,我在这边就能够去查看到当前的这个报表,用户能够去用收录这个工具所执行的一个命令,也就是能够以note用户去执行的,这样子的一些命令,就在这边的话也列出来了。

然后其实这边的他所列出来的这样子的一些,所列出来的这样子的一些命令,我们在这个他的这样子的一个缩短时的,在他的呃这一个soldiers是文件当中,我们能够去查看到呃,我们来呃一我们啊。

我带大家一起来看一下它的,这边的这个solo是文件它的一个组成啊,首先的话就是呃,他在这边的话有这样子的这么几条对吧,第一条的话就是这个root,这个root的话就是呃我们默认的话就有的对吧。

然后在这边的话它有这样子的两条,这两条的话就是它添加了两个普通用户,然后peter首先电话首先的话就是这个peter用户,peter用户的话它的一个它的一个特点的话。

就是在这边有一个no password对吧,就我们前面说的,就是说他peter再去执行这边的这个命令,这边的这一个命令的话,它其实是对应的这个表,在这边就他这边加了这样子,这个alex也就是别名吧。

也就是他在去执行这一个命令,只是这边的话,它其实就是指指定的这边的这个命令,就是这个user变trast,这个确实命令它就是一个呃路由跟踪的,就是跟踪进程的通信的这样子的一个命令。

然后呃他在这peter这个用户再去执行这个chess,chest命令的时候,他是不需要输入当前用户的一个密码的,然后bob的用户的话,就是他这边的话。

他指定了这边的一个或者what the sense对吧,然后这边或者sense的话,它同样的就是对应的这边,对应的这边他给了这样子的一个值,然后这边的这一串的话就是说它限制了它,限制了这边这个报表。

用户能够通过收购这个工具来去执行,这边的这些命令,然后其实就是对应的在这边所显示的。

就是啊这两个,好呃下面的话我们来就是介绍一下。

就是说我们通过这个收入感啊对吧,我查看到了当前的这一个用户,它能够与root用户去执行这样子的一些命令对吧,那么我知道这些东西有什么用呢对吧,我当前的一个普通用户,用收据来去执行对应的这些命令。

那么我们因为我们最终的一个目的的话,我们是要去进行一个提前的,就是我们的本节课的一个主要内容,就是去进行一个题全对吧,那么我们通过这样子的一个收do,我们能够去临时的得到一个root的一个权限。

以及我们再去执行这些命令的时候,能够去临时的得到root的权限对吧,那么我们如何去利用这样子的一些呃,他在这边所配置的这样子的一些命令。

来去进行一个齐全的,然后讲到这边的话呃。

就是先带大家来看一下这边的这个项目。

我这边的话放在了这个啊预习内容当中,就这个。

就这个gtfo bs这样子的一个项目,这个项目的话它是嗯这里翻译一下吧,这个项目的话它是一个呃,unix下面的一个二进制的一个列表,然后的话它主要的一个作用,就是。

我们可以利用它来去绕过本地的一个安全限制,也就是这边呢在他这边,他所收集的这样子的一些二进制的一些命令,它有对应的这样子的一些功能,我们可以去进行一个利用,然后呃他在这边的话。

就说他收集了这样子的一些就耽误当系统,他再去滥用这样子的一些呃,二进制的一些程序的时候,我们可以利用它来去进行一个啊,权限的一个提升,也就是突破我们的一个壳,这边的壳的话翻译的意思就是吸氧。

就是突破当前需要的一个限制,也是能够啊,进行一个由普通权限去提升到一个高权限的,一个目的,以及可以去传输文件,还有对应的反弹shell等等的这样子的一些作用,然后在这边的话呃,这边先不翻译了。

在这边的话有列举了这样子的,这么多的一些命令,然后这一些命令的话,我们可以在这边去一一的去查看啊,像比如说这个a s h对吧,然后这边的话它就有列出了关于这一个a s h。

这个二进制程序的这样子的一些作用,首先第一个位置需要shell的话,就是他这边可以用它来去得到这样子的一个shell,绘画嗯,翻译一下吧,能够得到这样子的一个程序系统的一个外壳。

也就是我们的一个shell嗯,我们在这边直接执行一个a s h的话,就能够去得到。

我们来尝试一下,比如说我在这边对吧,我在这边我去执行这个s h对吧,我这边他就得到了这样子的一个小,就得到这样子的一个s h的一个像是。

好的话,还有就是它有文件写入的一个功能,就是我们可以通过s h来去写入文件,就像在这边的话,就是呃他首先的话加了这样子的一个变量,这个变量的话就是你要去写入的这个文件,然后的话你在a s h。

然后其实就是写的就是通过echo这一个命令,来去写了这样子的一个数据,把它写入到这样子的一个文件当中,这边的话就是添加这样子的一个变量,啊其实像这整个的这一句意思的话,就是我们s h的话。

杠c的话就是呃我们直线a s h呢,它会进入到一个shell对吧,然后在这个shell下面执行这边的这个命令,这边的这个变化就是echo,就是把我们这边的一个数据,把它从电线到了这个文件当中对吧。

这个大于号的话,就是我们的一个输入重定向嘛对吧,前面已经讲过了,以及还有so seid,也就是这边的这个,如果说这边的这个s h这个二进制程序对吧,它有一个s l o i d的一个权限。

那么我们就可以利用它来去进行一个呃提权,就我们其实前面也有有有说对吧,就如果说你你是一个s ud的一个呃权限的话,你一个普通用户去执行这样子的一个权限,执行这样子的一个程序对吧。

他会继承他的一个这个文件的一个所有者,就这一个文件所有者的话呃一般的话是root对吧,那么你以普通用户去执行这样子的一个u,s l a d的这个程序的话,我们就能够去得到一个啊。

root用户的这样子的一个外壳,就这样子的一个shell是吧,以及还有就是收do,就我们如果说你有so do的这样子的,一个权限对吧,你可以通过so do,来得到这样子的一个s h的一个系。

那我们收对话就是一个root的一个权限嘛,等于就是说我们一个note的一个权限,去执行了一个s h,然后的话就得到了一个root的一个啊,需要我这句话就以这个为例子,就给大家大概的介绍了一下呃。

他这边的这样子的一些组成的,以及就是呃就大家看不懂英文的话,就是翻译一下嘛是吧,以及就是大家碰到一些错误啊,就是大家再去啊执行一些命令啊,以及去安装软件对吧,有碰到这样子这些错误。

像一般的话在进行审面的话,都是用的英文的是吧,然后的话这些英文的话,其实这些报错的一些信息,其实你的一些解决方法,那就包含在了他的一些报错信息当中是吧,然后如果你看不懂英文的话,你就把它抠出来嘛。

然后翻译一下嘛,翻一下之后的话,你至少能够去大概的知道它是什么意思对吧,然后的话你就能够去进行一个尝试了,就是啊提一下,就是大家大家去解决这样子的一些,方法的一个思路啊,也其实也是一个就是解决自己问题。

以及去自己去学习,相应的这样子的一些知识的一个思路啊,就大家养成这样子的一个习惯,然后在这边的话,就是呃他这边有列举了很多的这样子的一些,million啊,他在这边有这样子的一些标签。

像比如说shell shell的话,也就是像我们在这边就是这个share对吧,就等于就是说如果说他这个程序,它有这样子的一个标签的话,那么他可以去得到这样子的一个外壳。

也就是得到这样子的一个需要环境对吧,i i的话就是come on的话就是执行命令以及呃,revise的话就是反弹系等等的,还有s u i d,就是如果说这个程序,它有一个s u d的一个权限。

我们可以利用它来做什么,然后他在这边的话就已经懂详细的列出来了,就是它的一个使用方法是吧,像比如说它是有收do的一个权限,就我们可以用so do来去执行这边的这个,比如说这个sp对吧。

那么我们就可以通过这样的方法,速度加这一个s p n,然后的话执行这样子的一个e s e c,来去得到这样子的一个batch的一个shell,然后在这边得到了这个bish shell的话。

它其实是一个root的一个选,就是它是因为我们执行这个cp n的话,cp n的话它是一个root的一个循序执行的对吧,以及还有等等的,像在这边可以去防弹,谢尔他在这边的话就列举了这样子的一个实例。

我们可以直接去进行一个呃,可以直接呃去进行一个使用,然后在这边的话呃,为什么要去给大家介绍这一个呢,就是我们结合我们在这边通过收do gul,所收集到的这样子的一些信息,就是我们在这边搜都改啊对吧。

我在这边的话就有这么多这一些可执行,呃就是我这边对吧,我通过收do干扰这个命令执行之后,我在这边的话获取到了这样子的一些啊,命令的话,我是可以通过收do这个工具去进行一个呃。

用note的一个权限去执行的对吧,那么对应的这些成二进制的一些程序,我们怎么去进行一个利用对吧,你可能不是很清楚对吧,那么我们就可以把它抠出来对吧,我们放到这个项目当中来找到这样子的。

像比如说这个a s h,也就是我们刚刚我刚刚给大家介绍了,它的这样一些作用是吧,好在这里的话我们是so do,我们能够去用so do的一个权限去执行,对,那么对应的在这边的话就找到这边的一个收入。

我们有这样子的一个收入的一个群啊,能够去用收录这个工具去执行的话,我们如何去进一个利用,就这边我们可以通过收do加,这样子都要a s h,so do l加s h。

然后的话得到了这样子的一个i s h对吧,好在这边的话呃,我在这边的话就是呃提个问题,就我这边的话,我执行a s h对吧,我在这里的话能够去得到这样子的一个呃,shell的一个外壳对吧。

那么我当前执行的这个s h,然后我当前得到这个外壳呃,是什么样子的一个权限,又有谁能回答一下,能看得清吗,就我当前我这边执行一个s h对吧,然后的话我得到这样一个需要外壳。

我当前的这个权限的话是什么样子的一个权限,就是什么哪一个用户的权限是note用户,还是这个bb的一个用户,有知道的同学回答一下吗,知道的同学扣一,不知道的扣二,呃每一位同学知道吗,好吧,那我们继续看。

就我这边执行s h对吧,然后这边这个的话其实毫无疑问嘛是吧,我们执行贩卖我当前的话就是一个bob,因为我当前是一个bb的一个用户啊,我以一个bob用户的一个权限,去执行这个s h对吧。

那么我得到的对应得到的这样子的一个shell,不就是一个bob用户的一个shell嘛对吧,这个应该好理解吧,这这你能理解吗,就就跟这边就不就不就是跟我这边之前,s h对吧。

那我这边之前s h得到这样子的一个,小小的一个外壳,我当前的一个啊用户的一个权限是什么呢,现在知道了,那肯定是报表嘛对吧,因为我是一个报表的用户去执行的嘛,那么我现在用so do对吧,我这边我这边的话。

它是能够用收入去进行一个执行的对吧,那么我在这边通过so do来去执行这个s h,我当前这边得到了一个用户的一个权限,就我这边得到这个小小的一个外壳,的一个权限是什么,有同学能回答一下吗,root。

out嗯好的对了,那大家还是理解了是吧,没错就是root,就说我在这边的话,so do对吧,就是其实这边的话就是大家理解,收入这个工具啊,它的一个作用对吧,我在这边我也能够用收入去执行对吧。

然后的话收入的话它是能够去进行一个提前的,它是一个提前的一个工具,然后的话它会以一个root的一个权限,去执行这边的一个命令对吧,那么他在这边的话,以root的权限去执行这个s h的话。

那么我在这边得到这个小外壳,不就是root的权限吗对吧,也就是我通过这样子的一个方法,我就简单的进行了一个提取,就得到了一个root一个权限对吧,你会发现是不是很简单,就是说他这边的一个呃。

它它这边的一个漏洞,或者说是一个权限的一个配置的一个缺陷,就是说他在这边他配置的这样子的,用收入的这样子的一个权限,他给了这样子的一个s h,那么我们就可以用收do来去执行。

这样子的一个s h来得到一个note的一个权限,以及同理的话在后面后面在这边还有其他的,嗯还有其他的这样子的一些变量对吧,有这么多像我们常见的bin bash,bash的话,它同样的也是一个外壳嘛对吧。

那么我当前我之前半血的话,我得的还是一个bb嘛是吧,那么我它可以用收do来提权,那么我收do bh的话,我这边的话就得到了一个root对吧,以及还有就是啊s h。

还有cs i c s h等等的这样子的一些,就是希尔的这样子的一些呃,这些就是能够去得到需要外壳的这样子的一些,linux的二进制的一个程序,然后其实如果你不知道这样子的一些呃程序。

它的一个利用的一个方法对吧,我们就可以把它扣过来嘛,扣到这边来,我们以这个同样的以这个bh为例对吧,bh这边的话你会发现就有这么多的一些标签了,像法兰西尔对吧,以及shell的一个外壳啊。

对应的shell外壳的话,我直接执行bh,我就能够去得到这样的一个shell外壳,以及能够去反弹shell,反正cl的话这边的话就不用多说了吧对吧,前面已经花了很多的时间给大家介绍。

这个就呃重点的介绍了,就linux下面反弹需要的这个bh,下面的就通过这样子的一个方法对吧,以及还有就是呃像文件上传,文件下载等等这样子的一些,他在这边的话有列举了这样子的一些实力,大家自己去看好吧。

然后呃我们在这块主要就是看这个收do对吧,就我当前的话是收do嘛对吧,我能够用收do来去进行这样的一个操作,那么我的一个操作的一个方法就是收do。

加这个bh我就能够去得到一个root的一个线。

同理其他的也是一样的,好呃介绍了就是说介绍了这个so do gul,以及就结合我们这边的这个项目啊,第一个使用下面的话,我这边的话就以一些啊,实际的一个例子给大家来展示一下。

就是说我们如何去利用它的这样子的一些,滥用的这个收入的一个权限来去进行一个提权,首先第一块就是前面说的这个对吧,然后第二个话就是这个awk就在这边的话,这边可以看到这边他同样的有这个a的。

a w k的一个命令对吧,那么我们把它拖过来。

拖到这边来就是这个对吧,找到这一个so do so do。

这边的话我们可以怎么去利用它呢,就这里这边他命令他命令都已经给出来了。

我们直接call过来,好的话,在这边来去进行一个执行,然而我通过执行这个命令之后,得到了这样子的一个shell的一个外壳对吧,然后我来查看一下当前的一个权限,就是一个root的权限。

然后这边的一个面的话,就是利用这个aw k的这样子的一个文本啊,文本的一个处理器啊,文本的一个处理工具处理命令,然后的话他这边的话是他的这样子的,相应的一个语法,然后其实主要就是在这边对吧。

他在这边的话,我们可以去通过调用这个system来去执行,在这样子的一个bbs,啊必须。

然后的话呃,呃这边还有一个例子,就是用这个aw。k来去进行一个啊,文件的一个读取,就读取文件,然后在这话就是以这样子的一个需要的,这个文件为例,就是我们正常的话,对我们正常的话。

普通用户是没有全新去只去去读取这个文件的,对吧,那么我们在这的话可以利用这个aw k l,我们在这边像这个awk,文件的firead就是文件的一个读取对吧,诶,他这边表示怎么跟我不一样呢。

直接这样可以读吗,试一下,哦可以读啊。

就直接通过这样子的一个方法就能够去读啊,这样子,然后呃我这边还是通过这这一个方法,就是同样的也是用aw k嘛,然后的话在这边的话,就是我这边只输出的就是print,输出第一列以及第2年。

然后的话这边的话指定这个文件,然后其实达到了一个效果的话,就是跟他在呃类似的。

然后主要的话就是在这边,在这边的话我们执行一下,就是我只要那个用户以及密码是吧,我只列出。

对吧,在这边我只出列出了第一列以及第二列,就第一列的话就是用户嘛对吧,第二列的话就是用户的一个哈希嘛,因为是在需要的是文件当中嘛对吧,然后我只要第一列以及第二列那个内容,然后现在这边的话就是他啊。

列出了这一个shell文件所有的一个内容,就是呃通过aw k的这样子的一个,文件的一个读取,以及还有就是文件的一个写入,这边的话我就不演示了,就是可以看这边对吧,然后呃还有的话就是cr c o r l。

就cl的话也是我们常用的暂定,下面就前面在讲那个文件传输的时候,我们可以通过cl来去进行一个文件的一个下载,对吧啊,呃同样的cl的话,它也能够去读取本地系统的这样子的一个文件,像比如说来看一下对吧。

首先的话就是一个文件的一个上传,我们可以通过这样子,就cl的话有这样子的一个pose的一个方法对吧,我们可以通过啊这个pose的方法来去,把我们的一个数据,把它给传递到指定的这样子的一个url当中对吧。

就给一个指定的一个网站,以及能够去进一个文件的一个读取,就读取我们的一个文件,通过杠小写的o,把就是下载了这个文件,保存到我们本地指定的一个目录是吧,还有文件的一个读取,文件读取的话。

在这里他就利用了这个file协议,就我们的这个法尔协议的话,就是用来读取我们本地的一个本地,文件系统的一个文件的,像比如说呃我们可以通过ucl干,对,就我通过这边的这个file协议。

能够去读取我本地的这样子的一个etc password,这样子的一个啊文件的一个内容,然后的话我尝试读取消的,然后在这的话可以看到就是不能够去打开这啊,这边写错了,这样的话是打不开这样子的一个文件对吧。

因为在这边的话它没有权限,是一个普通用户端,然后这句话,如果说这个cr,我们可以用收据来去进行一个执行的话,那么我是可以去读取本地的这样子的一个啊,这个root用户才能读取的一个文件的。

呃以及最后的就是我们常见的这样子,一个fd fd命令就放,等命令的话,我们我们前面有介绍,我们通过方案的命令能够去查找,就是说它是一个就紧锁我们文件系统,我们啊指定的这样子的一些文件的对吧。

就是用来去做文件的一个检索,以及查找的这样子的一个命令,然后在这边的话,我们可以通过这个方案的命令,来去进行一个提权,就是主要的话就是利用到它的这个杠e x e,杠e x e c来去执行这样的一个命令。

就是说他再去找到这样子的一个呃,找到这样子的一个,通过方案的命令去找到我们呃,文件系统当中的一个文件的时候对吧。

他会去执行这样子的一个命令,然后的话就会去得到这样子的一个线,我们来看一下,对,好吧,得到一个note一个选项,然后现在这句话主要的话就是用的这个干e x,e c的这样子的一个选项,呃。

这边的一个命令的一个意思的话就是我放的吗,放的点的话就是当前目录嘛,就是我从当前目录开始查找,然后的话找找的话就是呃我当前目录去查找,然后的话找到,然后的话加这一个选项的话。

就是他会去执行这边的一个bh,然后干q的话就是找到之后的话就退出啊,也就是我通过放的话,放着这样的一个查找,因为在这边的话,加目的话是他的一个命令的格式,所以的话你需要去加这样子的一个那个。

可以来查看一下这个。

这个发展命令的一个选项就是,呃他这边的话。

啊我这边不早了,就是就是在这一个刚刚e x,e c这个选项后面的话,我们可以去接我们的一个命令,就是他查找之后的话,我们可以去执行命令,然后的话如果他能够去用深度去进行一个,查找的话。

那么我就能够去得到这样子的一个root的一个小,以上的话就是呃关于这个收do的这个权限,的一个滥用,所导致的这样子的一个提前的,这样子的一个一些方法,呃大家能理解吗,就是第一部分的一个内容。

呃先休息两分钟吧。

P75:第44天:权限提升-SUID提权 - 网络安全就业推荐 - BV1Zu411s79i

好我们继续啊,呃大家关于第一部分的这个收do,滥用权限的一个提前的一些方法,大家能理解吗,理解的在讨论区扣个一,不理解的扣二,是是是有有有延迟吗,我我怎么感觉是不是有点延迟,我这边说完话。

然后大家总是要就是过一会才有回应啊,啊应该是没有问题的对吧,应该讲的讲的应该挺详细的,然后下面他就是第二部分的一个linux的一个,定时任务的一个提前呃,关于这个定时任务的话,就是在讲题群的时候。

我们先来大概的了解一下,就是什么是这个电池任务啊,就linux下面的一个定时任务,就这一个cortable,那前面在讲信息收集的时候对吧,有对这个定时任务的一个信息的一个收集对吧,然后嗯。

同样的我们想要去去利用他的这样的一个题型,对吧,我们同样的需要去对这样子这个定时任务,去进行一个新型的一个收集嘛,啊好,那么我们就需要去了解这个cortable,这个电池生物,它所对应的这样子的一些。

像比如说它系统的一个电池任务的一个文件,它是在哪对吧,以及用户的一个电池生物,它的一个文件在哪啊,我们需要去在这样子的一些目录下面,去查找到对应的一个定时任务的一个配置,然后这边的一个ktable的话。

就是linux下面的一个电视人物啊,就是它的一个守护进程,大家理解什么是电池任务吧,就定时任务的话,就相当于就是嗯相当于就是一个闹钟对吧,你定你每天早上定一个闹钟,八点钟的。

那么你每天每天早上的八点钟他就会去,他就会想对吧,那么就是每天他去想的这个时间是八点钟对吧,那么我们就可以去试,我们设置闹钟的话,就需要去设置时间以及设置它呃,到了这个时间之后的一个行为对吧。

也就是呃也就是闹铃嘛对吧,或者说设置播放什么样子的一个歌曲对吧,那么在这边的话,这边的一个ktb的一个电池的话,那么我们需要去设置啊,哪一个时间就是到了这个时间之后的话,去执行对应的一个命令对吧。

就是去执行这对应的一个任务嘛,然后在这边的话要去了解的话,就是这样子的两个目录啊,就系统的一个定时任务,是在这这样子的一个文件当中。

我们可以来看一下,像比如说在这边的话,我们可以通过c t来查看一下这个cotable,这个文件对吧,然后这边的话就是我们的一个系统,用户的这样子的一个定时任务,然后在这边的话我们可以看一下。

就是有这样子的一个电磁炉,就这个,然后在这边的话它的这个定时任务的话,就是像这样子的一个呃这样子的一行啊。

然后关于这一行的话,我们来理解一下,就是说他是他这样子。

他为什么是这样子写的对吧,他这样子写的一个作用是什么,就是大家看一下,这边就这边的一个空空table的这个定时任务,它的一个格式是这样子的,就是我们可以看到,我们可以看到对吧。

就在这的话它有这样子的一个新号,这边的这个新号的话,就是代表了就是有这样子的,123455个星号就代表了分时日月周,也就是每分钟每小时,或者说几分钟几小时,几天几月几周对吧。

然后command后面的话就是接mini,然后在这边他就是呃详细的对吧,就是第1年就是我们知道分钟的话,就是1~59分钟嘛对吧,好的话,每分钟的话可以用心来去表示,或者说用心干一。

这边的干一的话就是表示频率嘛,就是你每隔一分钟他会去执行这边的一个命令,如果你这边是二的话,那就是每隔两分钟对吧,然后还有就是小时日期等等这样子的一些呃,然后在这边的话这边实际的一个例子对吧。

我们来看一下,就在这里的话就是它会每隔一分钟,然后的话去执行这边的这一个命令,执行这边的这一个目录,下面的这个back up的这个命令对吧,然后在这边的话有这样子的,中间在这边跟前面稍微有点差别对吧。

就在这边有这样子的一个note这边的这个root的话,就是说它会以一个root的权限去执行,这边的这个命令,也就是说这个电池任务的话,它是一个note的一个权限去执行的。

呃呃如果说你想要以其他的一个用户,像比如说你想要,你想要一个普通的用户去执行这个程序的,那么你就可以通过这样这样子的一个方法,来去做一个设置,然后还有的话就是用户的一个电池的话,也就是呃我们的。

一些普通的用户对吧。

用户的一个电池,用户的话在这个下面on table啊。

不是,在这样子的一个目录下面,然后在这个目录下面的话,它会有这样子的一个,啊我这里没权限就行,啊我这边的话没有权限,就是说在这边的这一个目录下面,那个是怎样,啊不好意思,有人因为我在家家里这边讲课。

刚刚有人敲门,然后的话就是说在这边啊,这一个目的就是用户的一个电池的话,也就是他在这个目录下面的话,如果说你是bob用户,我这边的一个bob用户,我,我在bob用户下面有去创建这样子的一个。

定时任务的话,那么他会在这个目录下面,它会有一个以bob用户为名的,这样子的一个文件夹,然后的话在这个文件夹下面的话,就是写的记录着我们的一个定时的一个任务。

然后我们可以通过这样子的一个on table杠l,来去查看,当前用户下面的,是否有这样子的一个用电池的话,然后我们从这个文件夹这边也看到,他没有这样子一个bob的,而当前的一个boss用户的话。

它是没有没有设置电池任务的。

然后的话在这里的话,我们通过在系统的一个定时任务当中对吧,这个文件夹的这个文件当中,又找到了这样子的一个电磁炉对吧,而且它是一个note的一个用户去执行的一个,定时任务对吧,就这个。

那么我们如何去利用它呢。

啊首先的话我们需要去搞清楚,就说他执行了这样子的一个电池任务。

它是它是干嘛的对吧,我们可以啊,就是这个,我们可以呃cd到这个目录下面,然后的话它有这样子的一个,look up,还有一个这样子的一个back up的,这样子的一个文件对吧,好的话。

我们可以通过cat来查看一下它的一个文件内容,对吧,我们要了解清楚它执行的这一个程序,它是干嘛的对吧,我们才能够去说有方法,或者说找到方法去尝尝试去利用,对好,在这边的话我们查看它里面的一个内容。

它是一个这样子的一个bh的一个脚本对吧,然后这是它的一个脚本内容,他这边的一个脚本内容的话。

我们来分析一下,是这样子的对吧,然后这里的话前面的这部分就是一个for循环嘛,就是for i in对吧,这种的话应该大家应该都都都理解对吧,大家都是学计算机专业的话,这种的话应该很好理解。

就是一个for循环吧对吧,然后在这边的话,for循环这边音的话,就是说它会这里这里有一个n的这样子,一个变量,然后这边的话他括号里面的话是执行的,这个l s的这个后杠home对吧,然后其实这一部分的话。

其实就是啊这边l s干home执行的一个结果对吧。

我们来可在这边执行一下啊,scar home执行之后的一个结果,它就是有这样子的三个对吧,那么在这边的话就是它会把i这个变量对吧,它会把这边执行的这个结果它会分别的付给i。

这个值,也就是分别就是bob peter susan,然后的话挨着的话,i的值话就分别等于这三个嘛对吧。

它会它会付给他,然后的话但就是它是一个循环嘛对吧,他会做这样子的,就是当比如说i等于这个bob的时候,对i等于这个bob的时候,它会do对的话,就是cd到这样子的一个干home,就是把呃多了。

i也就是进入到这样子的啊,比如说我当前的话是得了是一个bug对吧,那么这边i这边的话就等于抱抱吧,然后在这边的话就执行了,cd到这个bob这个目录下面对吧,然后的话执行了这样子的一个命令,就是变态的话。

就是在闭幕下面找到这个tag程序对吧,他的话就是我们的一个压缩的一个程序嘛,解压缩的一个就压缩啊,我们的这样子的一个压缩包的这样子一个命令,然后呃在这边他就是呃压缩了这样子的一个。

这一部分对这一部分的话,就是说他通过他这个命令把这边当前目录,然后注意的话这边当前目录是在这里啊,就我们先cd到了这个bob这个目录下面对吧,然后cd到这个bob下面目录下面之后的话。

这边用了一个通配符星,关于通配符的话,这边大家大家了解吗,就理解吗,通配符,像我们这边的一个新就是我们linux linux上面的话,通常会常用的这样子的一个新的一个通配符。

对吧,大家了解吗啊不了解的话。

我这边有一个例子来看一下是吧,就比如说我这边,我这边对啊。

比如说我这边我这边的话,当前有这么多的一些文件对吧,有这么多的一些文件,然后的话我想要去把这边所有的这些文件呃。

或者是说把这边以v b s结尾的,这样子的一些文件对吧,你这边以顶v b s结尾的这样子的一些文件,把它给copy到这样子的一个啊temp目录下面对吧,那么我的一个命令的话通常是怎样的对吧。

就是cp新嘛,然后点这样子这个vbs,然后到cap目录下面对吧,好我们可以在这个探索目录下面看一下,就是多了这样子的一个1234,这四个vbs的一个文件对吧,那么这个命令它是怎么去找到。

这样子的四个文件呢,就是利用的这样子的一个新的一个通配符,这边通配符的一个意思的话,它就是会有这样子的一个就是模糊查询,就是他会去我当前的话在这个目录对吧,当前这个目录下面的话有这样子的一些文件。

这些文件的话我这边新点vbs,就是新的话,他首先他会去找到这样子的一个点v bs嘛,呃,就是以点ub s结尾的这样子的一个文件,然后的话新这边的话他不管就是不管前面。

不管点vbs前面它是什么样子的一个内容,只要它是以点vbs结尾的这样子的一个文件,那么它都会去执行,它都会copy到这样的一个探路,然后其实它是这样子的一个过程,就是我这个通配符。

我cp他首先会找这个文件检索这个文件,看它是不是符合我这边的对吧,就是它是以顶一边时结尾的,他不是对吧,然后找第二个这个二等于b s,然后它是一个等于b s结尾的,然后前面的这一个它是二。

然后这一部分我们不用管,因为它是就是呃模糊查询嘛对吧,它不,它不是像我们的一个精确的去找到某一个文件,然后他会去一的去进行一个检索,然后的话匹配这边以点vbs结尾的,这样子的一个文件。

然后的话他会去分别的去执行copy这个命令,把它复制到这个tap目录下面,现在应该能理解吧对吧,以及我们以及我们就是我想要copy当前所有目录,下面的一个文件到这个tab目录对吧。

我我的一个面积就是像这样子嘛,cp新是吧,而我不可能说我不可能说我一个一个文件的去,就是我一个一个文件,像比如说cp 10点cp,然后到temp,然后的话下一个文件的话就是2。1b s。

这样这样子去copy对吧,这样子的话就是呃,没有任何效率的一个方法对吧,我们通常会用这个通配符星,然后在这边的话,他就会去把单节目下面所有的一个文件,它都会去紧锁,解锁之后的话。

他会去执行一个copy的一个命令,然后的话复制到tav下面这边。

这我这样讲的话应该能理解吧,大家都没有点没点反馈啊,就就其实,呃就我我一般的话我会我首先会问大家,就是大家对这个了解嘛对吧,就是如果你了解的话,或者说大部分同学都了解的话,我就不会去细讲了啊。

如果但是你们不你们不回应我的话,我不知道你们就是有没有两脚,就所以的话我这边的话,就是我我可能的话,就是就觉得大家不了解这个东西,所以说所以的话我就会给大家就讲的比较细嘛,对吧,但是如果大家都了解的话。

我就没必要去再讲这个东西了,所以的话还是我问大家的时候,大家给我一点反馈的吧,就是就节省一点时间好吧,然后的话呃,就是这边的话就是这个电池任务的一个意思啊。

对吧,然后在这的话他就是他会去分别的去报本目录,以及在这边。

以及在这边啊p层目录。

还有苏省目录下面去做一个压缩,就是把它目录下面的所有文件都做一个打包,打包到这样子的一个目录下面,etc back啊,back up这个目录下面,然后的话它的一个名字的话就是home干啊。

以他的一个呃用户名为名的这样子的一个,tgc的一个压缩包对吧,然后其实这里的这个定时任务的一个作用的话,就是他每隔一分钟他会去啊这个用户目录下面,去把它下面所有的一个文件做一个打包对吧,像这种的话。

应该也是比较常见的一个操作了是吧,就是备份你的这样子的一个用户的一个文件嘛,就是你用户文件的话啊,就是你每次你每次的每次都这样子的一些更改,一些数据的话,他都会去做一个打包。

然后的话备份到啊指定的目录下面。

然后这边的话就是它的这一个电池,任务的一个作用。

那么针对这样子的一个电池的话,我们单从这样子看的话,它其实是没有问题的对吧,是一个比较正常的,很正常的,这样子的一个就是啊备份的一个定时任务嘛,对吧,那么它的一个问题它是出在哪呢。

就是我们如何去利用他的这样子的一个,电池任务来去达到一个提权的目的呢,就是我们下面要讲的,好像在这边的话,其实它的一个问题就出在于这一个呃心呃,这个新的一个通配符啊,就是我们这个通配符的一个注入。

关于这个的话,大家可以去看看一下这篇文章,嗯嗯嗯就这一个他这篇文章的话呃,很详细的介绍了,就是说linux下面的这个通配符的一个注入,以及我们如何去利用它,现在这边的话他也介绍了这个。

他的一个通配符的一个注入方法,就通过这样子的一个电池任务,然后其实他的一个问题的话,他就是这边的这个啊新的这个通配符啊,好,我们可以去注入我们自己的这样子的一个命令,以及选项。

然后呃具体的一个应用方法的话,就是我这边的这边列出来的,这个就这三条命令,就能够去达到这样子的一个提前的一个目的啊,在这个话我分别给大家,就是我们分别一起来看一下。

我这边命令的一个意思,首先的话就是echo这边的这一个关于这里的话,应该不用我多说了吧对吧,大家应该都熟悉了,这边他就是一个反特希尔的这样子的一个,命令嘛对吧,然后的话它是就是nc。

就是nc没有杠一这个选项的这样子的一个呃,这样子的一个方方式对吧。

利用的是这个make make f i f o的这样子的一个呃。

这个命令,然后呃其实我们在这边的话,nc这边的话它是有nc这个命令。

但是他这个nc这个命令的话,他就有这样子的一个情况,就他没有杠一的这一个选项对吧。

就我们前面的话有介绍。

就是nc如果有杠一这个选项的话,那么我们可以直接nc。

然后的话直接干预嘛,就是nc到指定的那个ip端口。

然后的话把我们的一个需要环境,把它给做一个重建项对吧。

然后在这边的话它没有杠一选项的话,就用到我们前面讲的,就是没有杠一的这个选项的,这样子一个反弹需要的一个方法,然后这边的话是把它写入到这个shell,点s h的一个shell啊,一个文件当中对吧。

然后的话第二个的话就是echo,然后的话加了这样的一个输入的一个重定向,而这边echo前面的话它没有东西,也就是呃eq为空,也就是它像这样一个文件当中,他写了一个空的一个呃内容对吧。

其实就是相当于就是创建了这样子的一个文件,然后这个文件的话它里面内容为空,就这两,然后的话呃还有的话就是这个跟上面的话。

这边的话是一样的,就是他创创建这样子的两个文件。

然后命令的一个之前的一个效果的话,就像这样子,就是在这里分别的话,就创建了这样子的三个文件,首先第一话就是这个c2 点s h这一个,然后在这的话我就写入了这样子一个反弹,希尔的一个呃命令对吧。

然后我这边反弹的话是反弹到了这边啊,其实在这边的话,我这边的话其实已经得到了呃,等会的话再重新来给大家看吧,然后呃,还有的话就在这边有创建了这样子的两个文件,对吧,就是,嗯应该是com对吧对。

呃在这边的话,在这边话是不能通过这样子的一个方法去查看,然后其实在这边的话,你会发现我在这边通过cat这个命令,去查看这个文件对吧,他会发现就是它的一个报错,就是unrecognized option。

也就是他没有找到这样子的一个选项,就是说选项是什么意思呢,就我们cat这个命令对吧,我们看的这个命令的话,它会有就是对应的这样子的一些参数选项对吧,就啊这边的这些option嘛对吧,这一些。

然后他在这边的话,我们通过这样子的一个方法cat这个文件的话,他报的是没有找到这样子的一个选项,这个然后的话也就是说我这边的话,本来是我要去cat这个文件的对吧,我们看,对吧。

我们来看一下这个它是一个文件的对吧,它是一个文件,本来的话我是要cat,就是查看这个文件里面的内容的,但是在这边的话,他把我这边的一个文件的这一个文件名,把它作为了一个选项对。

然后呃我这边的话再引另一个例子为例,比如说我在这一个tap木下面,创建一个这样子的一个文件,就是gank help对吧,就这边gank help的话,我们可以看一下,就我这边的话就这一个嘛对。

然后你会发现有这样子的一个效果,我这边的话创建了这样子的一个文件对吧,然后就是这个刚刚help的这个文件,看一下它是一个文件,然后我在这里的话,我想要通过cat来去查,来去查看这个文件的一个内容对吧。

这样应该可以看,还是不行啊,我通过这样子的一个方法,cat来去查看这个文件的一个内容对吧,然后你会发现的话,在这边他不是查看的文件内容,而是他把我这个文件的文件名,作为了他的一个选项。

也就是跟我们前面这边cat刚刚help的这个mini,它是一样的是吧,然后其实是我的一个目的的话,他是要去查看当前的这个gk号的这个文件。

但是他在这边。

他把我的这个文件名作为了一个选项,然后的话执行。

然后在这边的话其实也有利用到了这里的,这一个就是我们通过构造这样子的啊一个文件,然后的话其实主要的话就是利用了它的,就我上上面啊,我刚刚所演示的那样子的一个效果,然后在这边的话实际的一个。

呃实际的一个neo就是这样子的两个选项,就是主要的其实就是这个check point action的这个选项,然后这个选项的话就是它的一个作用,是用于指定到了检查点时将要执行的一个程序。

然后它将允许我们运行一个任意的一个命令,其他的我们都不用管,我们只只要知道就是说这一个选项,后面的话我们可以指定,我们就是指定我们想要去运行的一个,任意的一个命令,那么我们在这的话。

我们就可以构造这样子的一个干干check point,然后后面的话我们可以接这样子的一个,就是它的一个语法,就是干等于e x e c,然后的话下下点s h,然后这边的这个选项的意思的话。

就是他会去执行我们这边的一个,就是通过e x e c的一个方法,去执行我们这边的一个啊shell脚本,也就是执行我们这边的这个,然后在这边的话,我们是通过创建了这样子的一个文件的一个方,法对吧。

那么我们呃他的这样子的一个定时任务,他们是怎么去进行一个,就是说我们如何去利用它这个电池任务,来去进行一个提前的呢,就是我们来捋一下,就捋捋一下它的一个定时任务。

他在打包,我呃,他在做一个打包的这个操作的时候的一个过程。

首先的话我当前的话是在这一个呃,我当前的话是在这个bb的这个用户目录下,面对吧,因为我当前的话是一个bob用户嘛,所以的话我的一个加密就是home bb嘛对吧,然后的话我当前是在这个墓。

那么它的一个电池任务,他在啊打包的时候对吧,当这个i当这边的这个i,等于bob的时候,那么它就会进入到这个bb用户目录下面。

去打包我当前的所有的一个文件对吧,然后他执行的命令的话,就是他呃,当前新的话,就是它其实就是在我当前的这个目录下面。

执行了这样子一个面。

对吧就是执行的这样子一个命令,然后的话他是把我当前的所有的文件,也就是这边的这些所有的一个文件,它通过time命令做了一个打包对吧,那么实际的话在这边新这个通配符的话,我们前面也讲了。

它是会有一个这样子的一个模糊的一个紧锁,它会检索当前目录下面所有的这样的一个文件,对吧,那么实际的话他当去打包这个bob用户的时候。

他实际执行了一个命令,它其实是这样子的,就这边。

咳咳对吧,它实际执行的话,就是说我们的一个新的一个通配符的话,它其实就是检索到了我这边的这些文件吧对吧,就是我这边的这个新的这个通配符,它其实就是检索到了我当前目录的这样子,这三个文件对吧。

123这三个文件,当然如果还有其他文件的话,就一样的嘛,就是往后面加嘛,好的话,他检索到这些文件的话,它会去把我这边所有的文件做一个压缩对吧,压缩到这个文件当中,那么其实完整的一个命令的话,就像这样子。

就是这样子的一个命令对吧,那么在这边的话,我们就用到了前面的这样子的一个呃。

它的一个特性就是我们,嗯嗯就我们,嗯哪,所以我们在这里啊对吧,我们这边cat这个命令去执行,去执行,或者说去查看这个烂节目录下面。

这个文件的时候,它会把它作为一个选项对吧,那么在这边也是同样的嘛,就他这个命令它把它压缩到这边,然后的话他在这边的话,同样的是我们的一个选项,就他要把我们这边的这个文件作为一个选项,以及这边他也是。

那么它作为一个选项的话,就是他在这边他会他当加载到这边对吧,他会去执行我们当前目录下面的,这个需要点s h的一个文件,也就是执行我们这边一个反弹希尔的这样子的,一个这个shell文件对吧。

那么在这边他执行这个shell文件的话,它的一个效果是什么呢,就是反弹一个shell吧,反弹到我们这边的这个ip对吧,然后的话大家还要注意的一点的话,就是我如果说只是单纯的。

就是在当前用户下面去执行这个shell点文件的话,我虽然反弹的一个shell,它是我虽然能反弹shell对吧,但是他得到了一个shell,它只是一个当前用户的一个权限对吧。

而不是说我们想要的一个root用户的权限对吧,但是的话他在这边的话,就是说他的这个定时任务的话,它是一个root的一个权限去执行的,就是说他每隔一分钟,他会以root一个权限去执行这个程序。

然后这个程序的话它执行的话,它同样的是一个root用户去打包,我们这边的一个文件的对吧,那么他在打包这个文件的时候,它是以root权限去打包的,也就是说他在执行到这边的时候。

它是以一个root的一个权限去执行,我这边的一个需要点s h的一个文件的,也就是我他会以root的一个权限去执行,我这边的这个命令,以及反弹一个note的一个shell给我们。

就是像这样子的一个效果。

再看一下,我这边断一下,然后,而我当前目的话已经呃已经写好了嘛对吧,然后只需要在这边做一个精听,我这边进行一下我的6789的一个端口,然后的话在这边等他定时任务,就等他一分钟对吧,等他一分钟。

他会去压缩我我这边目录的一个文件,那么他就会去执行我这边的这样子的一个下定。

s h的一个项,然后我这边就能够去接收到信号,这边的话要等一下。

等待时间的话,我们先继续看后面的。

那么呃在这边的话,就是呃我在这个话就是使用的这一种方法对吧,就是我首先写一个c2 点s h对啊,这样子的一个shell的一个脚本对吧,然后的话通过这样子的一个check point这个选项。

然后他去执行这边的一个shell文件啊,然后的话同样的,我们这边的这一个需要点s h的一个内容啊,对吧,我们前面这边的一个内容还是反弹一个shell对吧,我们也可以通过这样子的就是写一个。

就是说把我们这边的这个内容,把它写入到我们的一个sodas文件当中,就呃因为我们如果说我们前面的这样子的。

一个操作的话是正确的对吧。

就是说他能够去得到这样的一个root的一个权限,那么我们在这边的话。

他去啊执行我们这边的一个需要点s h的,这样子的一个文件的时候,它会以note权去执行,也就是他能够去啊,以note权限,去往这个soldiers文件当中去加这一部分内容。

对吧,这一部分内容的话就是我们前面也讲了对吧,就它能够以root的权限,而且它不需要去输入密码,去执行任意的一个啊所有的一个命令,注意的话这边是有空格的,就是而且的话他的这个no password的话。

这边是有一个冒号这样子的一个格式,也就是说我这边的话加入到这个,sodas文件的话,我就可以通过sodas的这个工具对吧,就是在bob用户下面能够以搜到这个工具,去得到一个root的一个权限。

以及还有的话就是通过这边我可以写入,这样子的,就是一个权限去执行这样子的一个,就是给find命令加一个s i,s u i d的一个权限对吧,然后的话我们就可以通过前面的这边的一个啊,find。

通过前面这边的find,以s u i d的一个方法来去进行一个得到呃,就这两对吧,得到一个root的一个s h的一个线。

就是啊给大家扩展一下另外的一些思路啊对吧。

就其实就结合了我们前面所讲的一个内容对吧,我们可以通过这样子的一些方法,来去得到一个note的一个权限啊。

然后的话在这边应该就是差不多一分钟了对吧,在这的话我就得到了这样子的一个接收,到了这样的一个小编s h的一个shell对吧,然后他的这个小小的话,它是来自这边的一个78。38,也就是这边的这个机器。

那么我们在这边的话我就可以啊,直线或卖,可以看到当前的话是一个root的一个用户。

说明的话,我我们这边的话是呃。

成功地达到了一个提权的目的,然后呃效果的话就是像这样子最终的一个效果,然后呃以及的话就说关于这个linux定时任务,提前的,有相关的这样子的使用,就是这样子的,one hub的这个靶场。

大家可以去那个我们在一个实验室上面去做啊,然后大家也有vip,有会员做,这些话都是免费的。

呃呃建议大家去做一下,就是在这里的wahab的话,它是一个靶场,它是一个实战的一个靶场,然后他这边的话大家可以照着指导书做,也可以自己先尝试自己做是吧,他这里面的话它是一个重要性的一个东西啊。

就是他啊涉及到了,就是我们呃渗透测试相关的,这样子的一些内容吧对吧,首先的话就是信息收集对吧,通过给定的ip端口找对应的服务的一个漏洞,然后通过相应的这样的一个漏洞来去得到,需要得到稀有之后的话。

还有相应的一个提前对吧,然后的话结合我们msf的对应的这样子的一些,应用的一个方法是吧,得到需要之后的话啊,通过提权,然后在这边上,就是他这边也是通过,就在计划任务当中找到了这样子的一个定时脚,本。

有定时任务的一个脚本,然后通过这个脚本,它的一个就是它的一个呃功能对吧,就它通过它这个脚本那个功能来达到了,就是提前的一个目的呃,这边的话内容就涉及到内容哈,内容的话还是挺多的呀。

就是你通过做这边的这些实验的话,你也能够去学到很多的一个东西,就综合性的话比较强,好啊,下面的话我们来一起看一下,就是s u i d的一个提前,就s u i d提前的话。

前面的话也前面的话已经有有介绍了对吧,就是sd的这个权限,主要的话就是理解他的这个权限的一个作用,就我们呃我这边的话我就不多说了,因为上节课的话也也介绍了是吧,然后我们如何去利用他的这样子。

那个sd的一个权限呢,就是我们首先需要去找到对应的。

就是有这种s u i d,全新的这样子的一个啊可执行的一个文件对吧。

然后我们可以通过通过fd命令,然后的话加这样子干p p杠pm的这个参数,这个参数后面的话就是接,我们就是指定了这样子的一个u嘛,也就是文件的一个所有者。

有sid的一个权限,得这样子的一些文件。

然后的话通过这样子的一个方法找到,然后的话念出来对吧,也就是这边的这些文件都是有啊,su id的一个权限的,然后在这边的话,就针对这样子的s u d的这些文件对吧,我们如何去利用。

这边的话就又回到了这个项目对吧,你一个一个去那个吧,去尝试去啊。

在这个项目当中去找到对应的一个,利用的一个方法。

我这边他就是用这个啊,我这句话就是举了以这个task set这个为例,就是,在这边对吧,找到有这样子的一个,他是个set,你怎么没有啊,嗯应该是有的吧,哎我这边不找了。

应该是有这一段有一个这样子的task a set,就是我们在这边直接搜一下好吧,就是这个,然后的话有s u d权限对吧,那我们可以去怎么去利用,就通过这样的一个方法。

我们在这边试一下吧,它是可set对吧,是有这样的一个命令的,我这边的话应该是哎我懒得找了,然后的话呃通过这样子的一个方法就是一,然后bs h干p是b站,b站s h好在这块就得到了这样子的一个shell。

我们来执行一下,换一,怎么还是爸爸呢。

等一下。

什么关系。

我是不是没有sd的一个权限没找到吗。

怎么这边它没有,cd的一个权限的奇了怪了。

这边的话呃,我这边的截图方式,之前的这个话是同一个靶场。

啊我这边给它加一个吧。

算了不加了吧,就就这样子的,就就这样子,他是如果有sd权限的话,是可以通过这样的方法去得到的,呃我这边怎么就没了呢,就是这样子的一个啊,直接通过这样的方法就能够去得到这样的一个,root的一个系,呃。

那样的话大家自己课后再去自己去尝试好吧,我这边我就我就不做了,然后呃同样的就是这边的话就是这一个实验,同样的也是这一个靶场,就实战马场,下面的话有涉及到这样的s u d的一个提权。

然后这个实验就是作为课后作业,啊呃第四部分的话就是阿泽,阿泽的话就是我这边的话,就其他的这样子的一些方法,首先的话第一个就是这个隐藏文件,就是隐藏文件的话。

就是说我们的一个目标系统下面的话,有一些就是说有一些隐藏的一个文件。

这些隐藏文件什么的,就是像比如说我们ios的话,查看的话是这样子的一些对吧,那么我ios干la啊,就是有能够查看到以这种点开头,这样这样子一些文件,就这些文件的话。

它是呃就通过ios就列出当前的一个目录,文件的话是看不到的,那么在这样子一些文件当中的话。

我们可能去找到,就是说啊一些隐藏的这样子的一些文件。

包含有敏感的这样子的一些信息对吧,我们可以通过这样子的一个fd命令。

来去做一个检索。

就是这样,通过放的命令,然后这边的话就是查找这样子的一个,就是在home目录下面嘛,就是在home目录下面就包括了,就,就在home目录下面所有的这样子的一些用户对吧,然后的话他会去查找。

就是呃顶点心对吧,就是以点开头的,然后点开头的后面的就是模糊的一个检索,就是不管后面它是什么,就是只要一点开头的这样子的一个文件,我都找到,我都列出来对吧,然后的话他是在所有的这样子的home目录下面。

就是所有的这种用户目录下面去查找的,就在这的话就列出来了,有这么多一些文件对吧,然后呃像并by bh r c v m info,这一些的话,都是我们常见的这样子的一些配置文件对吧,我们都知道它是干嘛的。

然后主要就是我们要去在这些东西去找到,我,们就是说可能是用户添加了这样子的一,些文件是吧,像比如说这个。

就这一个的话,在这边的话它的一个文件名就是secret对吧,就是秘密的一个意思嘛,然后我们查看这个文件里面的话,他这样子一个字符串,我们猜测是它的一个,就是这一个susan这个用户对吧。

他把他的一个密码的话,它记录在了当前的一个目录下面是吧,记录在这个文件当中,是我们猜测它是一个用户,我们可以尝试去登录,然后可以看到成功的登录啊对吧,就我们这样子去尝试。

把它作为一个密码去尝试的话是正确的,然后当前的话我是一个书生的一个用户,那么susan这个用户,他有什么就是特别的一个地方呢,我们可以来查看一下这个etc password,看一下这个用户它有什么呃。

没什么特别。

然后呃so do打。

啊说是这个用户不行。

诶,这边的话就是说这个用户的话他不能用so do啊。

就是他没有在搜的那个文件当中的,其实就是这样,就是我通过对吧,就查找他的这种隐藏的一个文件,然后的话发现它里面的一个敏感的一个信息嘛,是吧,然后的话就能够去得到对应的这个用户,它的一个权限嘛对吧。

然后第二个的话就是这个nfs的一个,低权限访问呃。

这个的话涉及到的一个东西比较多啊,首先的话就是关于这个nfs,就它是什么样子的一个东西,就是一个网络文件系统,它可以允许网络中的计算机,通过tcp i p网络共享资源,就一个文件共享吧。

然后的话我们可以通过搭建这样一个,nfs的一个文件系统来去共享我们的一个文件。

然后的话在这边的话,我们首先对吧。

我们可以通过这样的一个方法就对了,我们从哪里去,知道他是不是开启了这样的一个服务呢,对吧嗯。

这边这个点个机器。

就这一个机器,啊这个,呃我在这边的话,我在这个呃看你机器上面啊,首先的话我们要去,就说,我们如果我们是通过什么样的方法去发现了它,是它是有这样子的一个nfs的一个服务的呢,对吧。

那么肯定的话就是通过我们前面的一个信息的,一个收集嘛对吧,就是我们的一个通过这样子的一个。

端口的一个扫描,首先我们通过map啊,我们通过map去就我们首首先得到这个目标对吧,我们肯定也会去对它的一个呃ip,做一个这样的一个端口的一个探测对吧,就看探测它开放了一些端口及对应的一个服务,对吧。

好在这边就有这样的nfs的一个服务,开启了对吧,还有一个端口的话,是这个2049tcp的一个端口,然后这个nfs服务开放了对吧,那么我们通过可以通过什么样的方法来去呃,获取到它的一个信息呢。

就是通过这个shment这个命令,我们可以通过shamt来去查看到,这个nfs服务的一个信息。

就是嗯通过这样子一个变量杠,一加我们的这样子的一个这个nfs啊。

服务所在的一个ip,然后它是用于这个命令。

它是用于查询af nfs服务器相关的一个信息,我们在这边,在这边上通过show mt来查看这个我们的一个目标,78。38,对啊来去获取到这个远程的这个机器,它的关于nfs的一个相关的一个信息。

然后在这的话它就有列出了这样子的一个,这样子的一个目录啊,就列出来这个目录它是什么意思呢,就是说呃他的这个nfs服务的话,它有就是有共享的这样子的一个目录。

这个目录的话是这个home peter的这个目录,然后的话他把这个目录的话,它共享出来的是通过这个nfs的这个啊服务啊,那么那么它这个目录共享出来了对吧。

那么我们其他的这样子的一些机器对吧。

因为我们这个nfs的这个网络,文件系统的一个作用的话,就是允许网络中的一个计算机,来去进行一个资源的一个共享对吧。

那么它共享出来了,我的一个在这个网络当中的一个机器,我就能够去访问到他这样子的一个目录对吧,那么我们怎么去访问呢,访问这个目录的话,我们需要去用mt这样子的一个命令。

来去做一个挂载,就是把我们的这样子的一个呃,把远程计算机的这样子一个,他共享的这样的一个目录,把它挂载到我们的一个本地,就呃大家可以理解成,就是我们前面在讲windows的时候对吧。

那个用net钥匙来去映射磁盘对吧,就我把远程的这样子的一个,共享的这样子的一个目录对啊,把它映射到我本地的某一个磁盘,然后再利用死里面的话,在另一层面的话就是通过这个mt命令。

就是呃如果大家经常玩linux的话,应该应该比较熟吧,就这个命令像比如呃我以我这边的服务器文件。

比如说我这边呢,这我这边的这个服务器,我可以通过mono,我可以通过慢来去查看到我当前的这个机器,它所挂载的这样子的一些目录,然后其实在这边的话,就比如说你要去把你的一个硬盘对吧,把你的硬盘。

你要去把它插到你的这个啊服务器上面去,你插到服务器上面去之后的话,他不会说像windows下面它会自动的去加载对吧,像比如说它会自动的去加载,加载到我们的这样子的一个文件系统当中啊,其实会啊会的。

其实会的,就是说你插入进去,他就会去加载到呃你的一个磁盘,你的一个目录下面,好在这边的话,其实大家可以看到我这边的话,是我这个服务器的话是有插了我的一个硬盘,然后的话它的一个硬盘的一个目录的话。

就是在这边就db的sdb,就大家就是应该理解吧,就是in 10上面的话,一切皆文件,就是就像这种硬盘对吧,像这种硬盘,它同样的它是你插入到linux系统下面的话,它同样的是把它作为一个文件。

作为一个文件或者文件夹的一个形式,那么他这句话他就是在这个文件文件下面对吧,那么我们想要去把它放到本地区,进行一个访问的话,我们需要去做一个挂载,也就是通过这样子的一个命令,还没有吧,我这边。

就这样我是通过这样子的一个方法把它挂在,就是你插入到你把硬盘插进去之后的话,它会分配这样子的一个呃,它会有这样子的一个呃目录对吧,然后的话你要去你要去在本地去访问的话,你是需要去把它挂载的。

挂载到我们本地的某一个目录下面,然后它其实它也会自动的,去挂载到一个目录当中,但那个目的话比较长,我一般我一般的话先把它给,就是会自己自己新建一个这样的一个目录像。

比如说我在root目录下面建一个这样的一个硬,盘的一个目录,然后把这一个把硬盘挂载到这个目录下面,然后我去访问的话,就不用输那么长的一个路径嘛对吧,然后挂载一个方法,就是像这样子。

然后因为呃硬盘呢是n t f s的,这样的一个格式,linux下面的话它不是啊,不是像nt,像windows下面的那个格式,所以的话我们需要用这样的方法去把它转一下。

呃呃好像扯远了呀,这其实就是让大家理解,就是同理的话,就是说在这边它是一个远程的这样的一个目录,对吧,那么我们要去访问远程目录的下面的一个文件,我们同样的可以通过这样的一个mt命令。

去把它挂载到我们本地,然后的话去进行一个访问。

就前面说这些的话,其实就是让大家理解这个。

呃那么的话,那么。

我现在这边的话。

我知道了有他的共享的一个目录,是这个p的目录段,那么我现在我要把它挂载到本地,我先创建一个这样子的一个木啊,创建在这个mn t的这个目前没,创建一个peter的这样的一个文件夹,写错了。

创建了一个这样子一个pet的一个文件夹对吧,然后的话我在这边的话,我通过mt来去做一个,挂载挂载我远程的这一个共享的他的一个目录,078038,下面的,p沉默啊,怕的话,挂载到我这边的一个。

本地的这样子的一个目录pet对吧,然后这边没有报错的话,就说明挂载成功了,然后的话我就可以在这个p整目录下面,去查看对吧,然后在这边呃,你可能你输了ios,你看不到东西啊。

但其实是这其实是他这一个目录下面,它没有文件对吧,但其实它有这样子的一些隐藏的一个文件,就是大家一定要注意啊,就不是说就是大家再碰到这种对吧,就你linux下面,如果你建一个目录下面。

你哎你你s你发现你没有下面没有东西,你就不要真以为里面没有东西啊对吧,你可以通过加一个这个gua参数,就我们一般的习惯是用l r s码来查看的吧,但是这个习惯也是,你可能因为这个习惯。

你就没有发现有趣的东西是吧,加一个杠杆,加个概念的话,你就能够去查看到这样子的一些呃,一点开头的这样子的一些隐藏的文件对吧,就其实在这边的话它是有文件的对吧,也就是我这边的话。

我这边的话是这边的这一个文件的一个内容啊,其实是我这边远程的这个bob这个用户啊,不是这个78。38,这个服务器上面的这个peter用户的一个呃,加目录下面的一个内容,就是就这这就这一些对吧。

那么在这边的话,我们就是我们进入到它的一个目录对吧,因为它是一个这样子的一个文件共享,那么我们可以去尝试去嗯写文件对吧,比如说我在这个目录下面,我touch一个文件,那么它其实它会同步到远程的那个啊。

共享的一个文件夹当中对吧,因为我这边的话挂载到本地的话,它其实我我在这边这个目录下面操作的话,它其实相当于就是在远程的他的那个home干peter,这个目录下面去操作的,那么我尝试去画几个文件。

然后你发现的话没有权限就没有权限,为什么呢,就是呃大家可以看一下他,你会发现有这样子的一个一串字符对吧,就是说原本的话在这边就正常的话应该是嗯,就正常的话应该是有这样子的一个像。

比如说如果说你是一个root用户,那么他这边他就是root嘛对吧,所以说普通用户普通用户的这样子的对吧,就说他在这边显示是这样子的话,就说明我当前的这一个系统下面,就我当前的这个。

看你机器下面没有这样子的一个啊,没有这样子的一个uid为1001,以及gd为1005的这样子的一个用户,所以的话它会显示为这样子的一个uid,以及gd的一个形式,在这边的话我以一个例子为例吧。

就比如说我又我uz的一个用户吧,test 13的一个用户的,然后我可以查看一下我的一个password,好在这边的话就有他有,他会去分配这样子的一个ui d以及gd对吧,就是1004都是1004。

那么我在这边的话呃,我在这边,当前目录,我创建这样子的一个文件,啊不唱了吧,我就改吧,就就改这个一点bt的这个文件是吧,一点bt的话它是一个note note的对吧。

那么我把这个root root改为test 123,然后一点b a p,它的一个就是用户都是test 123,用户和组都是test 123对吧,然后的话我在这边的话,我it delete。

我把这一个用户给删掉,然后的话你再去查看这个一点编辑,你就会发现他这边显示的是uid为1704,以及gd为1004对吧,因为我当前的这个系统下面的话,它没有这样子的一个用户对吧,我这边删掉了吗。

他没有这个用户,所以的话这边它会显示这样子的一个数字,这个数字它就表示这个用户是uid,为这个gid为这个的这样子的一个用户,三,然后同理的话在这边的话应该就能理解了吧,对吧,就是我这边的话。

这个目录下面它是这样子的,一个101u i d为101,701j i d为1005的这样子的一个用户,就那么呃我们知道这边的话是它的一个peter,这个用户的一个加盟,那也就说明我当前这个系统下面的话。

是没有这样一个peter的这个用户的是吧。

a t我们先来看一下是吧,确实是没有这个p图用户。

所以的话它会显示成这样子,那么在这边的话我们就可以尝试我自己去,因为我当前是没有权限的对吧,因为这个peter用户他是要peter的一个用户,他才能够去进行一个写入的。

因为它是peter的一个加目录嘛对吧,只有peter这个用户他才有权限,那么我们是不是可以尝试说我自己。

我在这边,我自己,因为我当前的一个系统它是没有pc用户的,所以他没有权限对吧,那么我通过就是说我自己来,我在我当前的这个开启器上面,我去创建这样子的一个peter,这个用户是不是能能行呢。

啊就是创建这样的一个peter用户来去啊,欺骗或者说来去伪造这样子这个文件,所有的ui d g d来去p,欺骗这一个nfs的一个服务器。

那么具体的一个步骤的话,就是我们通过这样子的一个方法,首先的话我们需要去添加这样子的一个组,就是呃peter组啊,然后的话呃再去创建这样的一个用户。

创建的这个用户的话,ui d j i d的话要分别为这边这边的这个对吧,因为他你只有这边跟这边都是对应的话,他才能够说就说那边呃,aaf s服务器它才能够识别出这边的这个用户。

它是一个peter的一个用户对吧,嗯具体一个步骤的话就是这样子,我先,添加一个这样子的一个peter的,这样子就j i d为1005的这样子的一个啊,peter组就通过group a。

然后的话呃添加一个这样子的一个用户啊,就添加这样的一个peter用户,就是u i d和g d分别为170以及1705,的这样子的一个用户,哎那我这边的话就是创建一个用户对吧。

他这边的话需要你输入密码对吧,我这边的话就输入一个p t r对吧,btr,然后的话呃服装内容的话,这边我也不管了,啊确定确定之后的话,我在这边的话查看一下这个password。

这边的话就添加这样子的一个pc用户,然后这边的一个用户的话,它是uid是1701j i d是1005对吧,然后的话我们再来看一下,这边我再来看一下这边呃挂载的这个目录啊,就原原来的话它是这样子的对吧。

然后下面我们再来看一下,可以看到在这边的话他就得到了这样子,就是它显示的是peter对吧,也就是说我当前的话是有peter的这样子的,一个用户对吧,我因为我当前系统上面是有peter这个用户。

以及它的这边的一个呃权限的话,他得到的就是说他是用的我的这样子的一个,pet的一个用户,我在这边显示的就是peter的一个权限对吧,然后我现在的话,因为我当前的话是一个peter的一个用户啊。

我当前不是我这边的话。

我们先就是要切换到这样的一个。

peter的一个用户对吧,因为我当前的是一个root用户。

我root用户我在这边去创的话,他那边他不认识,然后他认识的话,他这边只认识的话,就只能是这个pet用户,所以的话我们要先切到这样子的一个peter,这个用户下面,对啊,我切到这个批准用户下面。

skr ska对吧,然后我当前的话是一个peter用户以及,而这些文件的话都是peter用户,那么我当前在peter用户的加入下面,我是不是能够去创建文件呢,我当前是一个pet的一个权限。

我们来尝试一下对吧,可以看到我top 123,然而acle,不要删啊,不要删,然后我开启一下123对吧,你会发现的话,我当前我在我当前我切换到这个p的用户的话,我就有对这个文件有写的一个权限。

也就是说我现在的话,我现在在这个木下面创建了这样子的一个,123的一个用户对吧,那么在这边的这个peter用户,我们来看一下吧,我们可以来查看一看这样子的一个泡沫,下面的那个peter用户对吧。

然后你会发现在这边的话,就多了一个123的一个文件对吧,在这边跟这边的话,它其实是同步的,也就是我在这边写的文件,我可以把它写入到这个目录下面去了。

然后的话呃然后的话我现在对吧,我现在可以有写的一个权限是吧,那么我就是不是可以尝试去写相应的一个文件,然后我这边的话就以这一个就写入一个,s h的一个公钥来去进行一个免密登录。

就是我当前的话我是能写文件的,但是我这边的话我执行的一个命令,我执行的一个命令,它其实还是在你当前的这个机器上面,去执行的是吧,我只是能够,我只是得到了这个目录的一个,写文件的权限是吧。

那么我想要去得到这边的这个呃,这边的这个机器的一个权限的话。

我需要去我可以去做这样的一个操作,就是我能够去写吗,那么我可以去写一个公钥,写一个s h的一个公钥,然的话以呃,以这个pet的一个用户来去进行一个登录,因为我写入公样了嘛。

所以的话我不需要知道这个peter用户,它是它的一个密码是吧。

我直接就可以去进行一个秘密的一个登录,然后具体的一个步骤的话,就像这样子。

我在这边的话,首先去生成这样的一个公钥以及试药是吧,就是嗯,然后我这边的话,我生成了这样子的一个吃药对吧,是在这样子的一个点s h的这样子一个木下面,好,就这个i d i s a的一个cel。

以及这个公钥a d s a等于p b对吧,那么现在的话我。

就可以把这边我这边的这个公钥啊对吧。

把它给写入到呃目标机器上面的这一点,取的这个目录,下面看一下这个供养。

对这是它的一个就是它的一个内容,好的话,我们我们要写入到他的这个系统目录下面。

没有。

他这边没有这个文件,我这边插一个,然后我在那个文件名有点长,我这边call一下,怎么没有。

写不到这个文件当中,唉我先拖拖起一个这个问题吧,然后的话我再嗯,a。a还是q5 l t,好我们来查看一下这个好的key对吧,我现在这边的话就已经写进去了,写到了这个目录下面,我们可以在这边来看一下。

对啊,然后在这边的话就。

然后在。

然后在这边的话就已经写入到了他的这一个呃,authorize kiss这个目录就是我们的一个公钥的话,就要写入到,就是要写入到我们的目标机器上面的这个目录,下面这个文件当中要写进去,然后的话我们在这里。

我们就可以通过s h来去进行一个明确的登录,领域,登录ppeter,以peter用户来去登录这个1920208。7,8。38的这个机器对吧,好这句话啊,yes,我们这句话没有输入密码对吧。

我这边的话就进入到了这个peter这个用户对吧,就得到这个peter的一个权限,然后在这边的话,我们的这个peter这个用户,我们的这个peter的这个用户啊,它我们可以看一下。

他其实也是一个普通的一个用户对吧,它不是一个很高权限的一个用户,就是就一个普通用户,我们通过这样的一个方法,得到了他的这个peter的这一个,普通用户的权限对吧,但是他在这边的话有这样子的一个权限。

就这里有一个多口的一个权限,然后在这边的话就是呃涉及到了。

这里最后的这一个多主题选,就是呃大家看预习内容吧,以及看一下这篇文章,呃这边的话虽然是英文的,你翻译一下的话,就知道就是通过docker的一个升级的特权,就是通过多k的一个组的一个权限。

来去进行一个权限的一个提升,然后他在这边的话就是他的一个作者的话,他呃添加了,就是说他用他做了这样子一个多口的一个镜像,然后的话,如果你发现就是说你得了这个用户权限,它是一个多组的一个纯音乘员。

那么你可以通过这样的一个方法,就是直接执行这一个就这一个变化,它就会是起一个容器,它起了这个容器,然后他是从这边脱下来的,这边的话是他的一个镜像地址,然后的话他会去偷一个龙骑下来。

然后拖一个容器下来之后的话,在这边我们就能够去得到这个希尔。

我们来看一下,而在这边的话呃,需要有一个前提,就是你的这个机器呀,零网就是你要能访问到这边的一个网网,就是你要能访问到这个镜像,然后这边的话它起这一个多口的这个镜像的话,他首先会去在本地去找。

是不是有这样子的一个镜像,如果没有的话,他就会去啊远程的去拖获取这样的一个镜像,然后的话基于这个镜像来去创建一个容器,这边的话有几十兆,可能要稍微等一下,有四点钟。

好啊,我们先来看一下实际的一个效果吧,实际的一个效果呢就像这样子,他呃把这个镜像拖下来之后的话,它会自己的启动,启动之后的话,它会进入到这样的选。

进入到的这个shell的话就是一个root的一个shell,然后它就是利用了他的这样子,一个多组的一个权限,因为这个p的用户它有这个多可组的一个权限,那么它可以通过这样子的一个dk组权限。

来去得到这样一个root的权限,嗯以上的话就是我们本节课的所有内容啊,大家有没有什么疑问,我起来了,呃大家觉得我能听懂吗,呃呃觉得有问题的好吧,觉得没问题的,以及能听懂的,在讨论区扣个一。

然后觉得有问题的,然后就是你指出哪里,就是你觉得哪里听不懂,或者说哪里有问题,你现在指出来,我再给你讲一遍,可以吧,计划任务那里,定时任务吗,这里吗啊具体一点,直接创建一个shell,你直接创建。

你怎么创建shell呢,就是说他这边的一个定时任务啊,不是说你能够去写,你能够去往这个定时任务里面去写的呀,你知道吗,他的这个定时任务的话是已经写实的,就是说它是这样子的,不是说定时任务你能够去写。

然后的话你直接写一个写对吧,那么你定你能够去写定时任务的话,你直接那你不直接定时任务,反弹需要不就可以了嘛对吧,他在这边的话,他的这个电池任务的话,它是它的这个配置,它使用了一个通配符。

就是这边的一个新知道吧,他的一个问题的一个点的话,就是通配符这边用心就是他用他的,然后我们利用这个他的这个通配符的一个注入,我们注入了这样子的一个呃选项,这个选项的话。

我们是因为他他他继续打包这个目录下面的,一个所有的一个文件的时候的话,他用通配符的一个方式,他会去检索下面所有的这样子的一个文件对吧,然后的话他在用它执行这个命令的时候,他其实是实际的话。

是执行的这样子的一个命令对吧,而不是它实际是执行到这样的命令,然后他会把这边我们原本是文件的,这样整个命令它会把它作为一个选项去执行,然后具体的话其实实际的一个利用点的话,就是这样。

就这个check point action的这个选项,他能够去执行这样子的一个呃,后面接一个命令,然后我们这边执行了一个命令的话,就是执行我们当前目录下面的这个需要点s h,能理解吗。

为什么要创建,明白了,就说这边的这个s h点下的话,我们是在当前的这个普通用户下面去创建的。

对吧,然后我为什么要去创建这个呢,就是因为我要去我构造的这一个对吧,构造的这一个选项,他再去他去去检索这边的这一个文件的时候,他会把这边的一个我这个文件作为一个选项,然后这边的这个选项的话。

在后面可以接一命令,接到这个命令的话,他就会去执行上对吧。

就是它的一套命令的话,就是我这边写的嘛。

他就他到这边对吧,他到这边的话,他就会去执行这边的一个希尔希尔的脚本吧。

然后的话他就会去执行我当前目录下面写的,这个嘛,这边有点慢啊,明白了还有其他问题吗,这手机什么意思啊,而其他同学呢其他还在听的同学能理解吗,就有有没有问题,有问题直接提啊,或者哪里我你觉得我没讲好的吧。

你可以直接指出来,呃应该是都没有什么问题了是吧好嗯,这个的话这个的话大家自己唉自己去尝试吧。

好吧,就实际的一个效果的话是能达到的,这没有问题的。

就是我ppt这边的一个这边的这个效果。

我这边的话他就要下的话,还要一会儿,好吧呃大家没有问题的话,就下课吧,好吧,应该是没有问题的。

P76:第45天:权限提升-Mysql数据库提权 - 网络安全就业推荐 - BV1Zu411s79i

大家晚上好不好。

能听到我声音以及我的声音没有杂音的,在讨论去扣个一,嗯好的,应该是没有什么问题啊,呃那么就正式开始我们今天的一个主要内容,我们今天的话主要给大家介绍一下,数据库的一个应用题全啊。

这前面的课程的话都是给大家介绍了,就是说windows精进下面这种系统的这种题选对吧,然后的话像我们的常见的这种呃,数据库的一个应用,提前的话,前面没有介绍的,然后本节课的话主要的话就是介绍这一期。

就因为我们呃经常的话对吧,我们通过这样子的一个web的一个应用,而你一个web应用的话,那么他肯定会有由于这样子的一个数据库的,这样子的一个交互对吧,以及我们常见的这样子的一个。

sql注入的这种漏洞对吧,它都是啊有这样子的一个数据库的,那么当我们在拿到这样子的一个,比如说拿到一个web share对吧,然后的话拿到这个web shell之后的话,它里面的话有这样子的一个数据库。

而这个数据库的话我们可以利用它来干什么呢,然后在本节课的话,我们就给大家介绍一下,利用了这样子的一个数据库的这样的一个应用,来去进行一个提前来去得到啊,这个呃服务器的一个缺陷。

就是说原本的话我们得到的是呃,我们得到了一个web share对吧,然后的话呃对应的这样子的一个数据库,我们可以通通过它来去进行一个,权限的一个提升,然而本节课的话就是呃关于数据库的一个应用,题。

全的话,我这边呃主要的话分为了三块内容,然后本节课的话就是给大家主要介绍,mysql的一个提取,以及mysql server的这样子的一个提取,然后关于这个power correcycle的话。

我放在后面的那一节课给大家做一个介绍,因为我放了一节课的话讲不完,就所以的话本节课主要给大家介绍呃,mysql的一个提权以及sel,sel的一个提前的一些详细的一个操作,呃。

第一部分呢就是这个mysql的提权,就关于mysql数据库的话,大家应该都是比较熟悉了对吧,就是啊也是我们经常见到以及经常使用的,这样子的一个呃,数据库的一个这样子的一个呃引擎是吧。

然后的话呃再去了解什么,是再去了解mysql提权之前的话,我们先来了解一下就是什么是u d f,也就是我们本期的话会去使用到的这样子的,一个ud f的用户定义函数,然后这个呃udf的话。

就是这个user defined function的一个景显,就是用户定义函数,它的一个作用就是为用户提供了一个,高效创建函数的一个方式啊,呃具体的一个创建函数的一个方法,是通过这样子的。

就是说我们可以去编写一个这样子的一个,调用系统,cmd命令的这样一个,ud f d l o l的一个文件,然后的话这个del文件的话呃,关于这个dl前面应该有介绍吧,就是呃一个动态链接库对吧。

第二就是专门呃domink lia,这样子的一个动态链接库是吧,然后在windows下面的话,这个dl的话它的一个作用的话,它就是呃用来去,怎么说啊,前面有给大家介绍这个吗,呃我忘了呃。

第一第一期的话是有介绍,我忘了这这一期有没有介绍,就是呃这边的话啊,我先我们先来一起看一下这个吧。

dl就是这样子的一个动态链接库,然后他这dl呢它的一个作用的话,就是它呃它的这个库当中的话,它存放在我们的这样子的一个呃,共享的一个数据,然后这一个dl当中,就我们脑脑海当中有这样子的一个概念。

就是呃我们windows系统下面它的各种程序对吧,它各种程序的话,他需要去调用相应的这样子的一些啊,程序的一个代码以及对应的一个数据对吧,或者说我们的这样的一个函数。

这个函数它是能够被多个这样这样子的一个,程序去进行一个调用是吧,那么我们不可能说在呃每一个呃,就是为了我们不可能说在每一个程序,它去调用的时候的话,他都写一个这样子的一个函数对吧,或者说写一个呃。

写一份这样子的一个代码或者数据对吧,那么我们那个dl的话它是一个就是共享的,然后的话它里面存放的这样的一个数据的话,是能够允许多个这样子的一个程序来去调用它,来去获取它的一个数据是吧。

所以的话我们在多个程序,它去使用同样的这样子的一些数据的时候,我们可以用这样一个dl的一个呃动态链接库,然后的话这样子的一个动态链接库的话,它同样就是它的一个作用的话,它里面它其实实际的话。

它里面是一个函数的一个方法,去进行一个书写的,就是说它我们去调用里面的一个数据,它是通过对应的一个函数,就是一个方程函数,然后的话呃我们再去调用的时候的话,是通过函数的一个方法去调用。

所以的话我们可以通过这样子的一个调,来去创建对应的这样子的一个函数,来去实现对应的一个功能,呃关于更详细的这一些的话,大家自己去百度1下好吧,那么在这边的话,我们就是利用的这这样子的一个用户定义函数。

就说在mysql当中的话,它支持我们用户去自己去定义,这样子的一个函数,那么在windows系统下面的话,因为我们的这样子的一个呃windows系统下面的话,我们要去。

我们要去创建一个自定义的一个函数的话,我们可以通过呃,去编写一个这样子的一个点文件,然后这个del文件的话是呃,里面就包含我们自己创建的这样子的一个,u d f的一个函数。

而我们只需要有这样子的一个调的一个文件,我们就能够利用它来去创建一个用户,自定义的一个函数,在这块也是一个方选为理,然后的话这个函数它的一个功能的话,就是用来去调用我们的一个系统,在cmd的一个命令啊。

linux,linux上面的话,就相当于是调用我们的一个shell的一个命令,所以的话他的这个函数它的一个作用,就是去执行命令是吧,那么我们在每再去数据库当中去查询的,去查询的时候。

我们可以通过这样子的一个方群的一个函数,来去执行啊系统的一个命令,从而来达到一个提前的一个目的,好在这里的话要注意的话,就是呃在而不同的一个版本下面的话,它是这样子的一个电r函数。

它所存放的一个位置它是不一样的,就是在windows server 2003下面的话是啊,在c盘下面的一个windows目录下面,然后mysql 5。1版本之后的话,就我们现在的一个mysql版本。

它都是5。1版本号是吧,然后它所存放的一个library啊,这样子的一个调文件存放的目录,是在它的一个安装目录下面的,libr下面有一个plugin,这样子的一个目录下面,就说这样子的一个目录。

它是有什么作用呢,就我们的这样子一个del文件,需要放在指定的这样子的一个目录下面,像比如说mysql 5点多的一个版本对吧,你需要把这样的一个调文件,放到这样子的一个目录下面呃。

安装目录下面的lil pgg,这个目前面你放到这个目线面之后的话,你才能够在我们的一个啊,mysql数据库当中来去调用它,对他再去调用这样子的一个deal呃。

再去调用这样子的一个deal的一个文件的时候,还会去在这个目录下面去找,去查找到对应的这样子的一个文件,然后的话利用它来去创建这样子的一个function函数。

然后关于这样子的一个呃mysql的一个提取的话,我们本节课的话主要是通过这样子的一个实验。

通过这个mysql u d f t群,那这样子的一个实验,来给大家做一个详细的一个讲解,然后呃这个实验的话,大家可以就是在电脑面前的话可以打开。

现在的话先创建这个虚拟机,然后的话可以。

待会的话可以跟着我一起去做操作好吧,我要一步一步的带大家来,去进行一个相应的操作呃,然后第二部分呢就是这个nt f s的一个a abs流,创建目录以及创建文件呃,就是在我们这边的这个uf提取的话。

我们会去用到这样子的一个ntf的一个a aba,abs流来去创建一个对应的一个目录,就为什么会去用到这个呢,啊就是在我们的一个mysql的一个5。1之后的,这种环境下面的话。

我们只有去将这样一个del文件,导出到这样子的一个目录下面,就是导出到这个mac口的一个安装目录,得这个moon hy,然后的话我们才能够去进行一个啊,这样子的一个去使用这样子的一个,用户定义函数。

当时的话很多时候的话,我们的一个s mysql下面的话,安装目录它不存在这样子的一个lib,对不,然后的话,如果说它不存在这样一个lib目录的话,那么我们就算有这样一个del文件对吧。

我们也无法导入到这样一个lib,下面的一个plug目录下,所以的话我们呃,而且的话我们mysql的一个文件操作,并不能够去直接的去创建物,就在我们的mysql的mysql下面的话。

我们可以通过我们的一个select in trout file对吧,我们可以通过这样这样子的一个,intro fire的这样子的一个方法,拿去把我们数据库当中的一个数据,把它给导出到我们的一个呃。

系统的一个指定目录下面对吧,但是的话你导出的话只是成为一个稳定,而不能够说去直接的去创建目录是吧,所以的话在这边的话,我们就需要去利用他的这样子的个方法,这个ttf 22的一个a abs流。

来去创建一个这样子的一个目录,然后关于这个a abs流的话,它是一个全称是这个就是交换数据流,然后它是我们nt f s文件系统的一个特性,它的一个格式是这样子的,就是呃文件名加我们的一个流明。

加我们的一个牛的一个种类,然后这边的话流明的话我们可以省略,就是我们的一个,而我们去把我们的一个数据,存储到这样子的一个呃数据流当中的时候,我们可以通过这样子的一个牛来去呃。

就是来标识这样子的一个数据流的一个呃名字,然后有种类的话,就是我们这边的一个strive stream type,好stream type的话我们可以设置为这个,就是我们在这边上。

通常的话就是这边的一个stream time type的话,通常看到的一个文件的话,就是这个date流也就是我们的一个数据,就比如说我们的一个文本文件,它就是这样子的一个数据流,data流。

然后他的其他的种数据流的话,它是处于一个隐藏的一个状态,然后还有的话还有一个的话就是这一个,当我们的这个牛牛种类为这个时候,index options有当它为这个的时候,就表明这个数据流的一个数组。

它是一个文件夹,所以的话,我们在这边的话,我们可以通过mysql的一个导出数据,导出到这样子的一个文件,来去创建一个这样子的一个路,这边的话怎么去理解呢,就我们刚刚的话有介绍。

我们可以通过这样的一个方法来去导出,我们的一个数据库当中数据是吧,然后的话导出数据的话,它是一个文件的一个形式,其实就是我们的一个背景流a data数据对吧,就data里的一个形式。

然后的话我们是创建文件,所以的话是data,那么我们要去想要去创建一个目录的话,我们就可以使用这样子的一个这一个牛,index alog lotion,这样子的一个牛,然后这里的这个流类型的话。

就表示我们前面的这个数据流的一个数组,注意的话这边是数组,也就是我们这边的一个文件夹啊,就是我们这边的这个文件夹,它是一个数组,然后后面的话是流民,就是我们的这个交换数据流的一个名字。

然后我们设置了是这样子的,就我们创建了这样子的一个文件,那么它实际的话它会创建一个文件夹,文件夹的一个名字的话,就是这这边都是一个文件名的一个名字,就是会创建一个是一个directory pass的。

这样子的一个文件夹的一个目录,我这边的话可能我这样子刚说的话,大家不是很理解对吧,我这边的话我,大家可以呃跟我一起操作,我这个号创建了这样一个文件夹对吧,然后我这边打开一个命令提示符。

然后,我们创建一个文件对吧,我们常见的话就是我们可以通过leo来去创建。

一个比如说电商的tt这样的一个文件对吧。

好这个话就是一个正常的一个文件对吧。

好的话,如果说我们想要去创建一个流文件的,可以通过这样子的一个方法嗯,比如说我输入一个,stream file,然后,比如说1234点tx,好哦,这边的话是文件名对吧,然后后面的话接我们的一个牛名。

比如说,就就一下三四吧,然后的话接我们的一个呃牛的一个类型,我们的一个牛的类型的话,注意的话是有这样子的,一个多了符号开头,而我们的话是一个date流啊,就是一个date的一个数据流呃。

一四,这200。

好在这边的话运行的运行内容,这边我给了一个链接,就是关于这个备用数据流的一个比较详细的,一个那个,没错。

好这边我写错了,不是d a t e啊,bt的话数据的话是d a t a l是这一段b,就数据的话是d a t a对吧。

时间的话是bt是吧,bt是时间。

我这边写错了呀,对啊,这个是data话是使劲d a t a才是数据,因为我这边的话是大写的a l是这样的啊,你会发现的话,在这边呃,我通过创建了这样子的一个,就是我其实实际上是创建了这样子的一个文件。

是然后在这边的话。

我是向这个文件当中写入了这样的内容,但是实际保存到我们windows机器上面的话。

你会发现的话是这样子的,一个1231234点tt的,这样子的一个文件对吧,但是在你的这个文件里面的话,你会发现它里面没有内容,我们可以看一下,我这边通过echo。

像这一个文件当中去写入了这样子的一个stream,file这样子的一个字符字符串是吧,但是我实际打开的话,它这里面是没有内容,那么为什么呢,我们可以通过这样子的一个dr tr,来去进行一个查看。

就是你在这边的话,你会查看到有这样子的一个文件,这个的话就是它的一个流文件,然后这个文件它的一个数组的话,就是这个就是1234点text,也就是我们像这一个这样子的一个文件名当中,去写入一个内容的话。

它会创建一个这样子的一个文件,就是1234点test的这样的一个文件,然后的话这个流文件的话,它是呃是这个文件的一个就是备份牛呃,交换数据流的一个文件,然后如果你把这个文件删除掉的话。

这个文件它也会没有,然后在这边的话,我们通过可以通过notepad,就文本编辑器嘛,我们可以来打开这样子的一个文件,打开之后的话,在这边你会发现我这边打开之后的话,它这里面就存储着我们想要的一个内容。

就是我们刚刚通过app输入进去的一个内容对吧,大家有有在跟我操作吗。

大家可以就是可以跟着我,就是我边讲,然后大家可以边跟着我去操作,好的话,在这边的话,但是这样这样子的一个牛文件的话,我们在这样的一个文件系统当中,你是无法直接看到的,是。

然后我们需要通过这样的一个dr杠二来去查看,然后这边来干大写的r的话,就是显示文件的一个备用数据流,也就是显示我们这边创建的这个文件,然后呃,然后讲到这边的话,我再就是呃在做点补充,就是啊。

就我们再去进行一个文件上传的时候是吧,就是在web安全的,就是web安全的那些课程的话会讲这一下,然后渗透测试这边的话应该是没有奖励,因为这些话应该算是比较基础的一些。

就是你在一个文件上传的时候,我们再去文件上传,去进行一个相应的一个logo的时候,你会发现的话呃,就是比如说你看别人的文章对吧。

你看别人的文章或者是说文件上传绕过的这种,别人总结这种方式的话。

就会有这样子的一个a abs流的这样子的一个方,式,就这个,然后他的话就是他会去就说呃,文件上传的那一个点,他对呃,他在对我们的一个文件名有趣做的呀,文件的一个扩展,没有去做这样子的一个性质以及过滤的。

过滤的话对吧,然后的话它那个机器它在中的时机上面的话,我们就可以使用这样子的一个,a d s流的一个方式来进行一个logo,就我们再去创建的这样子的一个呃,我们上传一个文件对吧,就比如说,还得我们想要。

我们想要上传一个这样子的一个热点,三要三点菲律宾的这样的一个文件对吧,然后的话pp这种后缀的话,那么肯定他是不会允许你去直接去上海的对吧,那么我们呃你会发现的话,会有这样子的一个方法。

就是我们可以通过这样子的一个,在后面接一个这样子的一个嗯,直接切去把你的一个上传文件名的话,写成这样子,好的话,如果你的一个目标机器的话,它是一个windows的一个机器。

那么你实际去上传了一个文件名对吧,他去警察,在他的一个后缀的时候,他是这样子,它是这样子的一个后缀,嗯应该是要加一点点,对吧,他是这样子的一个文件名,那么这个文件名的话,它没有了这样子的一个呃。

就是菲律宾的这种敏感的,这种就不允许上传的这样的那个文件后缀是,然后实际的话就是我们可以去绕过他的,这样子的一个检测,然后实际的话在windows系统上面,我们去写入这样子的一个文件的时候。

是就我们在windows系统上面我们去上传一个文件,我们把我们的一个内容,把它写入到这个文件的时候。

他在win系统上面他会去他做处理的时候,他会去生成这样子的一个牛文件,然后他实际的话它会生成一个,就是说在当前目录它会生成一个这样子的一个,比如说。

对吧,你实际的话他再去写入的时候,它会就是你windows现,他去写入这样子的一个文件的时候。

他会在他的一个目下面,它会生成一个这样子的,123点p h p的一个文件。

然后这个时候的话,你会发现这里面的一个内容的话,其实就是我们想要的一个内容,对啊,我们这样子的,在这里的话就是一个p p p的代码,我们而且它的一个文件后缀的话就是123点。

菲律宾对吧,那么我们就能够去写这样子的一句话,来去绕过他这样子一个文件上传的一个性质。

通过这样子的一个a abs流的一个方法,啊这是一个啊就是讲到这边的话。

就是给大家提一下,就是他这边的话,它的一个logo方法,就是利用的利用了这一个a abs牛啊。

好了的话,我们回回来回过头来再去看,我们,p p t上面的一个内容。

那我们上面它是创建了一个date的一个文件对吧,然后下面的话我们想要去创建一个目录的话,我们通过什么方法呢,有通过创建目录的话,其实跟我们这边创建文件的话类似,然后在这边的话。

我们比如说我想要去创建一个,插刀插的这样子的一个文件夹是吧,嗯aa的一个文件夹。

然后的话我们在后面的话接这样子。

一个就这样子的一个牛的一个类型,我这边它直接复制,还有点长,其实这样子的一个流类型就是这个index location,然后呃下面的话我们注意看这表,注意看这边,然后我这边执行,执行之后的话。

他虽然这边说系统找不到指定的一个文件,也报了这样的错,但是你在这边的话,你会发现,你会发现在这边我们就创建了这样子,一个aa的一个文件夹是吧,那我们,对吧,就是这样子的一个嗯嗯啊呃。

这边的这个流文件的话,你是无法直接看到的。

然后,然后这边这边这边这篇文章的话,有详细的介绍了这一个东西啊,就是关于它的创建文件夹以及创建创建文件。

这边的话我就呃就给他大家演示到这边,更详细的这种东西的话。

大家去看一下那篇文章,然后自己去操作一下,所以的话我们通过这样子一个方法,他就创创建了这样子的一个文件夹对吧,然后嗯,下面的话就是mysql提权的第一种的一个方法,或者说第一个场景,而这边的话嗯。

场景的话主要的话就是大家看这一个实验,有实验指导书,这边的话已经写的很详细了,就关于这个mysql的一个u d f提取,以及它的一个简介对吧,大家可以详细的看一下,这边这边的这一个呃内容,然而。

然后在讲这个实验的时候的话,我们先来看一下ppp的一个内容啊,就是我这边ppt的一个内容的话,其实就是一个流程,一个过程就是给大家做了一个总结。

总结了这样子的一个期权的一个过程,然后实际的一个内容的话就是呃就是更详细,更多的话大家做这个实验。

在实验这边的话有详细的一个介绍,然后等会的话我也会带大家就是一起来做一下。

就是啊,我也亲就是亲自带大家去做一下。

这样子的一个实验,然后在做实验之前的话,我们先来呃过一下这样子的一个流程,就是呃首先的话是第一个场景,第一个场景的话就是我们的一个目标主题,它开启了这样子的一个mysql的一个远程文件。

而我们工具的获得了这样子的一个数据库的,一个民间的一个用户名,还有密码信息,好,我们可以通过这样的一个udf的一个,手工提取,来去获得操作系统的一个管理员的权限,好呃这边的这个场景怎么去理解呢。

就是呃首先它有一个前提,就是目标主机它开启了一个mysql的一个远程文件,然后的话就是说我们就是目标的一个机器,它我们可以在远程去连接这样子的一个,mysql的一个数据库,阿尔法。

我们已经获得了他的一个mysql数据库的,用户名及密码对吧,关于这个用户名密码信息的话对吧啊,用户名嘛,密码信息的话,就比如说,我们通过就是说某一个漏洞对吧,通过某一个漏洞得到了他的一个。

或者得到了他的一个管理后台对吧,得到了某一个网站的管理后台,然后的话在他的后台当中的话有呃,查看到对应的一个数据库的一个信息,或者说你得到了这个机器的一个web share。

当时的话这个web shell的话呃,他对你执行了这样子个命令,就是你在他的你得到这个web share的一个环境下面,你比如说你用菜刀对吧,或者说用已经这样子一个web share工具连接之后。

我们可以去得到一个虚拟终端是吧,但是他这个虚拟终端,他再去执行相应的一个命令的时候,他是有对应的就是有限制的,就他因为你去执行系统性的话,你是同样的,是需要去调用它的一个系统的一个函数来去呃。

执行我们的一个命令对吧,那么他有禁用这样的一些系统函数的话,你的一个shell的话,你是无法去执行对应的一些命令的对吧,那么在这种情况我们得到vip之后,我们可以去查看他的这样子的一些文件是吧。

就是比如去翻他的一些配置文件,然后的话正好翻到了他的一个数据库的一个,用户名称以及密码的这样子的一个,配置文件的一些信息,那么这个时候的话我们可以利用呃,就是我们得到了一个shell。

我们可以通得到它的用户名密码,我们可以连接到这个mysql的数据库当中,然后的话连接到它的一个数据库当中,之后的话,我们可以通过这样子的一个udf的一个群,来去尝试得到它的一个管理员的权限。

然后具体的一个方法的话就是呃,首先第一个创建一个临时角,就创建了这个表的话就是用于存放我们前面啊,用于存放我们的这样子的一个,前面所说的这样子的一个调文件是吧,因为我们现在的话是能够去对它的一个数据库。

做相应的一个操作对吧,但是的话我们的一个操作的话,只只只限于它的一个数据库对吧,我们无法去操作它的一个系统,好在这个时候的话,我们可以用这个u d f,提前就把我们自己写的这样子的。

自己编写的这样子的一个ud f的一个调文件,把它插入到这样子的一个表中,插入到我们这边创建的一个临时表当中,插入进去之后的话,我们再去通过这样子的一个呃音区,通过这样子的一个方法。

把我们这边所插入到的一个数据,把它导出到我们的这样子的一个呃目录当中,就是把我们这边的一个ud f d l文件,把它给导入到我们这边所创建的这样子的一个,呃文件夹设当中,然后在这边的话就会有一个问题。

就是如果说这边他没有对应的这样的一个,文件夹对吧,那我们就需要去用到这边的这个a abs流,而去创建这样子的一个,lib以及plug的这两个目录,好注意的话是在这样子的一个目录。

这个目录的话就是它的一个mysql的安装目录,关于mysql的安装目录的话,我们可以通过selector呃,data base di来去查看它的目录网,然后呃我们这边导入进去之后的话。

等于就是我们的一个dl文件,已经导入到了他的一个,发给到一个文件目录下面去对吧,然后我们就可以通过利用这个udf的一个,dl文件,就通过这个点文件来去创建,一个这样子的一个function。

这边的一个翻译,取名字的话就是和sam d share创建这样的一个函数,然后的话我们就可以用这个函数来去执行,我们的一个系统的一个命令,好在这边的话就是创建了,就通过啊执行这样子的一个。

添加管理员用户的一个mini,来去创建一个管理员用户,然后的话我们就能够去啊,得到这样子的一个管理员的权限对吧。

呃大体的一个思路的话就是这样子,我们来具体的来看一下这个实验,呃关于这个实验的话,呃,大家应该就是前面的话有相应的一个,就是相应的一个实验对吧,就是有涉及到实验室的这样子的一些内容。

就是给大家做课后作业是吧,大家应该对我们实验室的这样子的一些操作,他应该比较熟悉了吧,就是呃关于这些操作,应该应该算是比较熟悉了吧对吧,就是指导书这些东西应该都是看得懂了是吧,知道书这边的话很相像呃。

呃呃熟悉好,那么我就不再去介绍,就是说怎么去做这些东西了是吧,我这边的话就是呃会挑一些内容,就比如说这边的这种实验环境对吧,你首先的话你就先去看一下吧,然后的话在这边的话注意就是有两个机器啊。

就是我们这边有一个用户以及漏洞主机对吧,我们这边还可以去做一个切换的,就切换到这两个主机上面去操作,以及就是实验文件的一个下载对吧,就这边他有给一个和下载地址,注意的话。

这个地址是你只能在我们的这个机器上面,在我们的这样子的一个机器上面,你才能够去呃下载到,而不是说你在外网,你在而不是说你在你自己的一个浏览器当中,你去打开这一个链接,你是访问不到的。

因为没有这样子的一个资源,就是这个资源你要访问的话是在内网去访问的,然而在这边的话实验的话,他呃有列举了这样子的1234个步骤,三个步骤,然后每一个步骤的话,它就是提供了一个任务,就是作为一个任务。

你是就你跟着他一个步骤来来去进行一个完成,然后首先第一个它就是介绍了这样子的一个产,两种测两种测试场景,就是在碰到这样子的两种场景下面的话,我们逻辑进行一个提前。

然而以及也介绍了就是夜店舞提前的三个步骤,就是信息收集,信息收集的话就是收集你的一个目标,你你的一个目标的一个像这种呃,你的一个数据库的一个呃类型对吧,如果说你的一个数据库你是mysql。

那么你就用mysql mysql的一个提取码,如果你是sex sel,那么你就用sex seven以及的话呃,当然他在这边的话就是udf的话,就是mysql以前的话,还有就是收集你的一个就mysql。

数据库的一些版本对吧,你的一个版本信息,就版本的话就是如果说你的一个版本,你低于这样子的一个版本对吧,你在这个以及你的一个系统版本,是这样子的一个版本,那么你这个掉文件里。

是要放到这样子的一个目录下面去了,当然的话现在的话就是呃,应该是不存在这样子的一一个机器人,低于这个样子的一个版本的一个mysql了,然后的话就是呃,两两种场景的两种场景下面的一个提前。

就是在这边的话总总结了这个实验的三个步骤,分别的一个内容,它是什么,第一个步骤啊,就是信息的一个收集,就是我们我们得到了这样子的一个呃,那效果数据库的这样子的一个。

操作的一个权限,我们这边的话嗯,在这边的话是能直接在目标机上面去执行的,这边的话,因为其实我们我们得到的话,得到了这样的一个数据库的这样子的一个,连接的一个就是连接到它的数据库,对数据库做一个操作对吧。

当然的话呃直接执行这样一个system info的话,是在目标机器上面去执行,那么我们已经得到了他的目标机器的一个,这样子的一个能够去直接去执行命令的话,那么我何必要去提升。

所以在这边的话就是其实就是是告诉大家,就是我们可以通过这样一个命令来去收集到,我们的一个服务器的一个信息,然后其实我们通常就是通关map嘛是吧,通过map去扫他的一个服务器的这样的一个信息。

扫他的一个服务器的一个版本,以及mysql服务的这样的一些版本的一个信息是吧,啊,呃再对话他通过这样子的一个mysql加杠v,我们可以来查看到它的一个,那下面的一个版本啊。

然后的话我们可以通过select gression,来去查询它的一个版本,当然在这边直行是max,执行这样子的一个slack的话,我们只需要在连接到它那个mysql的数据库当中,才能够去执行,好。

直接这样子在呃,在mysql当中是直接sla vision在这边的这个wah的话,它是mysql内置的这样子的一个呃,这样子的一个函数,这样子的一个方法好,我等会再讲那个succel的时候。

就是用这样子的一个art art venture,来去查看它的一个呃版本,也是它内置的这样子的一个,因为它内置的有这样子的一个语句啊,这话我们就能够去查看到他的一个mysql的版本,是5。1。

4的这样的一个版本对吧,那么从这边的一个信息,我们就知道它的一个level的一个目录啊对吧,它的一个level入的话,是在他的mysql数据库的安装目录下面的一个level,lag planet是吧。

然后的话我们还需要去知道,这是它的一个数据库的一个安装目录,安装过的话,就是这个我们可以在mysql当中通过base编,来去查看到当前的这一个数据库,它的一个所在的一个目录。

就这个这个的话其实就是它的一个安装目录,好,我们可以呃,因为我是在直接连着本地的对吧,我可以直接在这边来查看一下,看看是不是对吧,就这边的这一个mysql的这边的话,就它一个安装路。

以及在这块有这样一个level,以及发展的这样的一个目录,而他这边的话是已经有了这样子的一个目录,所以的话就可以省略我们前面的一个操作,那话如果没有的话,就需要我们通过a d s6 去创建,好在这里话。

我们呃尝试通过这样的一个方法对吧,来去演示一下,来来去演示一下创建单子的一个a abs的画像,比如说我我们可以通过,就是这样子一个方法,而在这个话我直接通过snet。

select into onfire这样子一个方法,然后这边的话select的话,这这里的一部分呢就是我们的一个数据是吧,就嗯这边的话随随便填啊,就是其实就是我select这样的一个数据吧,对吧嗯。

呃大家带有对mysql数据库了解嘛,就是大家自己有去玩过吗,像比如说对吧,我这边直接select这样子的一个,随便的一个数据的话,它就会输出这样子的一个数据对吧。

然后其实在这个话其实就是我select这个数据,就是这个数据就是我要去导出来的,然后导出来到这样子的一个,到这样子的一个目录下面去是吧,然后呃是要导出到这个目录下面去。

然后我这边的话就先看一下这样子的一个例子,我这边的话就找出一个就是导出一个文件,比如说123这样子的一个文件,我把我的一个内容,然后要注意的话,就是在windows下面。

用p要用一个反斜带来去做一个早一个样子的。

一个反斜杠,才能够去,才能够去执行呃,这边的一个就是把我们的一个数据,写到这样子的一个对应的一个目录,然后你可以看到,就我这边的话是通过这样的方法select行,然的话导出到了这一幕下面的。

一个123的这个文件当中是吧,你会发现他在这边,原本应该原本的话是没有这个文件的,我们这边可以打开看一下。

这里面的一个内容的话,就是刚刚所写进去的这样子的,三个叉的一个内容对吧,那么我们也可以通过就是这样子的一个,创建文件流的一个号,比如说345,dt比如说我要去创建这样子的一个,一三点tx。

用3400太值了,这样子的一个文件,咳咳,那么我可以通过这样的一个方法,然后呃大家看这里注意。

对吧,我这边执行之后的话,在这边它就生成了这样子的一个文件,就这一个1234点text里面那个内容的话。

同样的也是尴尬的一个内容对吧,这就是创建了一个这样子的一个文件,那么我们要去,我们实际的话要去创建这样的一个文件夹对吧,就没有这个lib文件夹的话,因为这边有的话,我就以另外一个文件夹为例啊。

我就比如说我要去创建一个1234,1234的这样子一个文件夹,比如说aa的一个文件夹,好我们需要去,指定的一个牛牛的一个类型是这个index dunlocation,呃呃中间的这个牛的一个名字的话。

我们可以省略,省略的话就是视为空嘛,就等于就是两个两个冒号,这两个冒号然的话执行执行之后的话,执行之后的话,虽然在这边他会有这样的一个报错啊对吧,就是他说every writing fire是吧。

然后就其实就跟我们在这边cd上面,刚刚说就是找不到那个文件对吧,他也会有这样挖成,但是实际话它的一个内容的话。

它是已经就是我们的一个文件夹,它其实已经创建好了对吧。

你会发现在这边就多了一个这样子的感,aaa的一个文件夹,也就是我们这边所写的,比如说我再创一个,我在aa目下面我再创一个,换一个bbb,换个bbb的这样子一个文件夹,就是这样子对吧。

你会发现这边他就加了一个bb,就其实呃我们要去创建这样子的一个lib,plugin的话,就是我首先创建一个lib文件夹是吧。

然后我再在那个文件夹下面,再去创一个party的一个文件夹。

就通过这样子的一个方法,aa目录下面的话有了一个bbb的一个目录,就是这样子的一个方法,这边的话他也呃语句的话已经都已经给出来了,好呃这边要注意啊,这边这边没有这一个这个这个这个叫顿号啊,没有这个顿号。

就如果你复制粘贴的话,你注意把这个顿号去掉,就你不要你不要直接就复制这一块,复制这一块,然后的话直接粘贴啊,然后还有的话就建议大家自己多去手敲,就人不复制的话就不复制,就像这一些代码的话。

应该不是很长对吧,然后的话你手敲的话,你会对这个语句会比较熟悉,以及你能够去了解它的这样子的一个结构吧,嗯我们先休息两分钟吧,好吧,50的话再继续,好我们继续啊,呃刚刚的话给大家就是实际的讲解。

就已经操作了,我们的话通过这样的a d s流,来去创建这样的一个目录,对吧啊,呃下面的话就是我们的一个第二步,第二步的话它就是第一种场景,就是我们的一个目标主机。

开启了这样的一个mysql的一个远程连接,而我们通过相应的一个方法得到了他的数据库,用户名密码对吧,然后我们可以通过udf的一个手工提权,来去获得操作系统管理的一个权限,好我在这边上实验。

这边的话是有有两个主机对吧,这个leak的话就是我们的一个,就是我们攻击的一个主机,就是我们的一个靶机,然后这边的一个tag的话,就是我们的一个呃攻击的一个机器。

就我们实际操作的话是在这个机器上面去操作,然后我们来去攻击这个远程的这个主机是,然后呃在这边的话就是实验的话,这里给的就比较人性化,这边给的就是如何去开启目标主力的mysql,远程零件。

就说这一个场景的话,它的一个前提的话就是目标主机,它开启了一个mysql的一个远程连接,也就是说我们能够去远程的去呃,登录这样子的一个mysql数据库,然后的话进入到他一个数据库,去做这样子的一些操作。

对吧,呃,呃在这边的话就是开启他的一个隐形的一个方,法,是这样子的,然后呃首先的话就是柚子这样的一个mysql数据库,就是进入到这样一个mysql的一个,系统数据库当中啊。

update来去更新这样子的一个优质的一个数据啊,其实我们可以通过新闻查看一下selector,比如说host user,from the,从这个,从这个优质表当中我们查看一下,就是它的一个现象。

就是主机线下要用户名密码的一个信息,我们可以通过这个语句来去查看对吧,然后在这边的话就是呃,我们要去更新它的这样的一个信息,因为他这边的一个host,就表示它的一个数据库的话。

它只允许就是说它只允许在本地,也就是通过log house的一个方法,来去用root方式来去登录这个数据库,所以的话我们想要去远程的去登录的话,我们就需要把这个host的把它做一个更改。

然后给你改了一个方法,就是update,就是呃update user ser 22等于一,等于这样子的一个百分号,百分号的话就表示就是啊,任何的一个这样子的一个组件。

它都能够去通过这样子的一个note的一个用户,以及其以及它的一个密码,还去登录我的这样子的一个数据库,然后这边影响了一行对吧,然后我们再去查看的话,你会发现这边host就改成了2%对吧。

而我们更改之后的话,这个时候的话,我们就能够去做一个这样子的一个登录了,然后在这边还要还需要去给一个这样子的,一个权限,给给权限的话,就是给这样子的一个,就是呃给来自note的用root用户。

就是来自任何主机的这样的一个root用户啊,的一个账号来去登录这样子的一个数据库,我这边画粘贴一下吧,就保存就不少打啊,因为有点长啊,这边如果我这边的话,就用这边,他就是表示你要去设置一个密码。

就我这个号就是个肉啥,就嗯,执行执行之后的话,然后的话刷新一下权限,就fresh privages,也就是刷新权限,就是我们这个在数据库表当中去做了这样的,一些操作的话。

我们需要去通过这个来去刷新它的一个权限,因为我们这边的话通过grant来去呃,更改了他的一个权限嘛对吧,所以的话我们在这边需要通过,就是通过这个语句立即的去刷新它的权限,然后就是能够去立即生效。

呃呃然后在这边的话。

我们切换到这个攻击机上面。

就是其实这个话就是,才是我们实际要去操作的一个机器人。

就前面这边的话就是实验指导书,这边是告诉你,我们要去在我们那个目标机上面去,通过这样的方法能够去开启这样的远程攻击,然后我这边的话我们通过访问那个,访问这个网址对吧,我们这个网址。

然后的话下载我们所需要的这样子的一个工具,以及代码,然后就是在这边我这边把它拖到桌面解压,解说的话,在这边有这样子的一个mv cat,这样子的一个数据库的一个连接工具,我们可以通过这个工具来去连接。

我们的这样的一个远程的一个数据库,好啊,我们这边零件名的话,就比如说kdf吧,然后嗯主机名的话,就是这边的这个呃leak的这个主机啊,就是这边i p的话,就是这个,等1等1等1对啊。

然后呃密码的话是note note也是我们已知的对吧,就我们要去连接这样的数字化,我们就需要知道它的一个额账号密码了对吧,好我们尝试连接在这的话,可以看到这边的话已经连接成功了对吧。

我们能够去访问到他的这样子的一些数据,连接到它的一个数据库啊,呃大家自己在做梦的时候,可以,就是你可以先在这边一些尝试去去连接一下,因为呃,你前面的话没有去配置这样的一个权限的话。

你是不能够去远程的去连接的,你需要去配置这样子的一个,允许它的一个远程连接之后,你才能够通过这样的一个方法,去远程的连接这样一个mysql的一个呃服务器,对啊啊啊啊,连接连接服务器之后的话。

我们在这边的话,就我们可以直接去超过他的一个数据表对吧,然后这话我们可以通过这样子的一个方法,就是新建查询呃,在这里啊,就是你连接之后,这个这个工具大家应该经常用吧,就我们点这边查询对吧。

查询这边我们新建一个查询,新建一个查询之后的话,在这边的话我们就可以去呃,输入我们的这样子的一个查询的一个语句,就比如说,sexting from,你没表,嗯比如说我修的base啊。

我在这边的话就能过去啊,执行我们的这样子的一个,mysql的一个查询的一个语句对吧,然后大家要注意的话,在这边的话,因为你是在这个test表上面去查询的,所以的话你当前的一个操作的话,是在这个表现表啊。

如果说你在这边,比如说你mysql这个表现面对吧,你去新建一个查询的话,你就在mysql表现面,然后这边的话我们可以通过the tables,来去查看,就在这个数据库当中的所有的一个表是吧。

然而前面的这两个表的话就是mysql的一个系统表,然后在这边的话,我们就以这一个test的表,在这个表当中去创建这样子的一个临时表,然后呃我们通过这样子的一个语句。

我们首先的话我们当前的是在这样子的一个,test的一个数据库当中对吧,然后可以通过create来去创建这样子的一个table,创建一个tables,然后table的一个名字的话,我就跟他这边的一样。

以及这边的一个表的一个类型,tp就为了等会就是不会那么难区分了,然后在这边的话就是创建了这个表,下面的话创建了这样子的一个字段,就是这个u d f的这个字段好,我们来运行一下,诶我错了呢。

啊不是tles,是create table,然后执行之后的话,在这边的话就,可以看到这边他没有没有报错的话,就说明我们这边语句的话直接成功了,然后我们这边可以没有,通过show tables。

你去查看一下,可以看到这句话就进进入了,经历了这样子的一个temper,优点f的这个表对吧,嗯嗯嗯可以看到,在这边的话就建立了这样子的一个temp,udf的一个表是吧。

然后我们可以通过select section form这样子的一个temp,01:20,在这个表当中去查询啊,然后查询的话,在这边你可以看到有这样的ud f的一个字段,对吧,但是在这个字段下面的话。

因为我们没有插入数据,所以的话他这边是call啊,就是那对吧,说实话我们这边创建的这个表的话,已经创建成功了,就创建了这样一个临时表,这个临时表的话就是用于我们写入我们的啊,这边的一个dl的一个数据。

那么下面的话就是我们需要去将我们这边的,一个一定有文件的一个二进制的一个数据,插入到这个表当中,然而在这边的话嗯,这个dl的话已经这边已经给出来了,就是在a,这里这个话给的这样的一个文档对吧。

这个文档的话,就是我们这个ud f d l的一个数据,他这话是一个16进制的一个数据,就是他把我们的一个这样子的一个dl文件,一个二进制的一个文件,把它给转成了16进制,转成16进制的这样一个格式对吧。

因为呃转成实际建设的话,这样子的一个是我们能够去这样子的一串代码,对吧,是我们能够去直接的去呃查看到的,不然的话,你平常比如说你要去打开一个,像这种可执行文件对吧,这二进制的这种文件的话。

你打开的话它是一个乱码的对吧,好在这边的话,我们复制这个这一串代码,然后我们通过这样子的一个方法,把它给插入进去,就是通过inside这样子的一个语句,inside in true的话就是插入数据嘛。

就是像我们这边的这个表当中,去插入我们的一个数据库了,再点进去查不到这个tank pdf的这个表当中对吧,然后值的话嗯,值的话为这边这边要注意的话,这边comment的话就是把我们这边的这个镜子。

把它做一个转换,就把它转换转换成原来的这样子的,一个二进制的这样子的一个数据,设问,是有问combat,用这个combat的一个函数来做一个转换,然后转换的话,前面这一部分呢,就是我们刚刚所复制的那个。

随时定制的一个代码,然后这句话我一看,就是我们要去转换的一个类型,然后这边的话把我们这边复制的这一串代码,诶这个可,为什么我的,这么快就进行了。

哇,这边碰了,他不能乱用啊,怎么不能用快捷键了,刚刚还可以用吗。

怎么全选,我这的话呃,复制这边所有的一个数据,把它给拖到这边了,粘贴把它粘贴过来,粘贴过来之后的话就是这样子的一个语句啊,就比较长很长的这样子的一个语句,然后他的一个作用就是把这边的这个数据。

它会把它转成一个啊恰的一个格式,刀的话存存到这边来,好我们运行运行之后的话,在这边发现就受影响的是一行,就是你看到这样子的一个结果,就说明我们这边的一个语句的话,它执行执行成功了,也是没有错误的。

然后关注了你,我也会有一种游戏,那我刚刚没写错吧,然后呃在这里的话,我们可以通过查询它里面的一个内容啊,可以看到在这边的话,我们的一个内容其实已经写进去了,写入到了这样子的一个啊对吧。

这边的话就是这边的话其实就是啊,我们正常的在,比如说在我们windows系统上面,去打开这样的一个调文件的话,是会显示这样的一个乱码是吧,你可以发现在这边它是一个调的一个文件,然后显示这样子的一个结果。

那就说明我们这边的话呃,是把我这一个内容已经写进去了对吧,然后写进去之后的话,下一步就是我们需要去把它导出来,导出来的话在这边就用到这个jp file,intrudp file。

那我这样的话直接复制粘贴吧,有点长,就不打了,是个,就是这样子的一个语句啊,就是从就select udf嘛,就从我们这边的一个test数据库当中对查,就是把u d f这个字段当中的一个内容对吧。

从这个表当中查询出来,查询出来的话,导出导出到这样子的一个目录下面,保存为这样的ud f0 dl的一个文件,好在这边的话我们来执行一下,执行之后的话发现执行成功了啊,执行成功之后的话,我们在这边的话。

因为我单纯是在攻击机对吧。

我们可以就切换到我们的这个马车上面。

去查看一下是吧,去验证一下啊,这个话只是为了验证我们可以在这个lib下面,paragon,你会发现他在这边就多了这样子的一个,dl的一个文件对吧,比如说我们用记事本打开,你会发现他就是这种乱码的对吧。

其实就是看看我们的这样子的一个内容,已经写入到这个文件当中对吧,那么我们的一个调文件,已经成功的,就是上传到了我们的一个目标的一个,指定目录下面去了对吧,那么下一步的话。

就是我们要去利用它这个del文件来去创建,我们自己的一个啊,定义的就是用户自定义的这样子的一个函数,然后在你的这一个自定义的函数的话,就呃创建在这个sb share的一个函数,它的一个作用的话。

就是用了可以去调用,我们的一个系统的一个命令,是啊,他这个语句话就像这样子就是create function,创建这样的一个函数,这样子的一个函数,它那个函数名还是savage sh。

然后的话后面的话就是他去调用这样子的一个,呃del文件的一个语法,就是通过这样子的一个方法好,我们执行执行之后的话,发现呃没有报错对吧,就说明我们的一个面的话执行成功了,执行成功之后的话。

我们在这边的话,我们就可以去啊,利用它来去进行一个执行系统的一个命令,比如说我们可以通过啊select sd share来去执行,比如说我这边进行一个ip cb的,运行运行之后的话。

在这边是它的一个结果,它的一个结果虽然是显示这样子,但其实它的一个内容的话呃,是能够我们可以通过这样的一个方法,能够去查看这边右键右键这个内存报表后defile,然后把它保存到我们的一个。

本地的一个计算机上面去,比如说我应该算,123保存成这样子的一个123的一个文件,那我们在这边打开。

打开之后的话,在这边的话就是他的一个直线的一个结果,是我们可以看到这边的话,就是他直接ip configure之后的话,他这个内容就是这里的这一部分,他这个机器的ip是这个对吧。

以及我们还可以去执行其他的系统的一个面,比如说呃拉伸腰的对啊,我们运行。

保存为31522,对啊,这个就是我这边之前那它要走之后的电量,然后这个话是乱码的话,就是它是中文的嘛,它编码的一个格式的一个问题,这边的话其实无所谓的是吧,我们只需要这些内容就ok了。

这个话就是它的一个呃目标机上面,它的一个用户名对吧,也就是我们现在的话就能够去执行,我们的一个系统的一个命令,以及外卖查看我,查看我当前的一个权限,然后在这边的话我们可以看到。

直接就得到了他的system的权限,然后呃就是等于说我单纯,我去执行这种命令的话,我是一个系统的一个群去执行的,所以的话我这边的话得到的是它的一个。

最高的一个选项对啊,但是现在的话我这边还是只能通过这边的一个,mysql的命令去执行对吧,那么我想要去进入到它的一个系统是吧,那么我可以通过这样子的一个命令的一个执行。

来去添加一个系统的一个管理员账号是吧,然后的话我直接再通过远程的一个登录登,通过这个管理员账号来登录到,我的一个目标的一个机器对吧,然后这边的话我就不再演示了,就是添加如何去添加这样的这个用户。

这个的话应该是大家应该都比较熟了,啊这边的话就是第一个场景,然后第二个场景的话就是在已经获得web shell权限,然后的话我们的一个测试人员,可以上传这种片区脚本,但是的话我们无法去执行这样子的一个。

操作系统的一个命令,然后的话呃同样的我们可以用这个udf提取,像我们的一个web share的一个选项,提升到管理员权限,而其在这边的话,就是他啊这边是介绍的一个脚本,就通过这个脚本的话。

这个脚本上已经就是把我们前面的这个优点,很提前的这样的一个步骤,已经就是把它集成到这个脚本上去了对吧,然后我们得到了一个worship,我们可以通过呃上传这个片区的一个脚本。

然后的话来去进行一个这样的一个呃提取啊,当然而上一步的话,其实就是说我这一个场景的话是有假设是吧,是有假设他得到了一个version啊,但是如果你没有得到一个version。

你只知道它的一个mysql的一个啊数据库是吧,就比如说你在内网,你通过呃某一个机器,你得到其他的机器的一个mysql,数据库的一个这样的一个用户名,密码的一个信息对吧,然后你能够去远程连接到它。

那么你就可以去尝试用这样的一个连接上去,之后的话,尝试用这样的一个u d f提取的一个方法,来去进行一个权限的一个提升,然后在这的话就是你得到web share。

然后你就是其实就是我刚刚所说的一个场景嘛,是吧,你可以去上传,上传我们的一个这样子的一个脚本,当时的话你去执行啊系统的一个命令的话,他是受限的,所以的话就其实你得到这个需要,你不能够去执行命令的话。

那么你这个需要的话,相当于是就没有什么太大作用的对吧,你只能够去上传文件,下载文件吧,那么在这边的话,我们就可以通过商城这样的一个文件上传,上传到我们的一个目标机上面去,然后的话他这边的一个脚本的话。

它的一个作用,就是用这个udf提取的一个方法呃,具体的一个,操作的话就是呃我们这边的话,嗯我们这边的话就是试验机的话,已经把这个脚本,已经就是上传到了这个目标机器上面去了,就是他这边的话没有模拟。

说没有去模拟,没有去模拟,就是我们得到web share,然后的话把它上传到这个上面,就省去了中间中间的这一步,然后我们直接从就是我们上传到这个,上传了这个脚本之后对吧,我们怎么去利用它,然后在这的话。

我们同样的需要去知道他这个数据库的一个,账号密码,然后我们提交提交之后的话,在这边就已经登录上了,我们那个目标的一个机器对吧,然后登录的是呃,这样这样子的一个test的一个数据库。

好呃在这边的话呃这边的这个东西的话,我们可以在这边去上传文件,就是有这个脚本的话,我们可以在这边去上传文件,上传到指定的目录下面去啊,呃还有的话就是呃,这边的话是它的一个web的一个目录。

然后在这边下面,这个话就是我们的一个mysql的安装目录,而他这边已经就是已经填好了,这边的一个就是目录下面呃,这个u d f顶尖l的一个呃路径啊,然后我们只需要点点击这个导出的df。

它就会导出到我们的这一个目录下面,那些前面的话我们已经就是有导出了,这个有点回复标,所以的话他这边说已经存在了是吧,这边还是正常的,然后导出之后的话,我们在这边我们就可以去创建sam d share。

以及添加管理,超级管理运用用户是吧,反弹shell等等的这样的一个操作,我们这边的话就以这个创建圣尼希尔为例呃,因为前面同样的也已经创建了是吧,所以的话他这边快报了这样子的。

就是说这一个cbci的一个函数已经存在了,好,这句话我们就直接通过select来去调用,这样子的一个function,来去执行我们的一个系统的一个命令对吧,比如说可,嗯我们执行执行之后的话。

它的一个结果的话就显示到了这边对吧,以及,开麦,对这边的话就是显示它的一个结果,这是这个脚本的一个使用啊,啊这边的话应该就原理的话,就是我们前面讲的这这两个这边的这个操作。

只是他这个脚本的话已经集成了,然后其实你可以打开他的这个脚本。

查看它里面的一个内容,就是这个。

对吧,就这一正面的应用,它的应用的话比较多啊,然后呃其实它的一个,就其实啊,我们刚刚不是有一个导出ud f的那个操作嘛,其实他的这个文件里面的话,他就已经把那个ud f的一个内容。

已经就是写到了这个文件当中嗯,啊这样的话我就不找了,因为你可以往这边拉,有好多,因为他那个和udf文件的那个,字符串的话比较长,大家可以去看一下,去找一下,然后这个脚本上其实就是集成了。

我们刚刚那个操作原理的话都是一样的。

只要知道怎么去用就ok了,呃这边的话就是这个mysql的一个udf,提权的一个实验以及详细的一个步骤。

就大家有没有什么疑问。

可以现在提,大家有问题吗,有问题的扣一,没问题的扣二,就一位同学吗,两位。

三位同学,其他的呢。

其他同学有问题吗,这有18个人,怎么怎么就三个同学回我了。

行吧,大家不是很喜欢,不是很喜欢跟我互动了,我发现那应该应该我就默认大家没有什么问题,好吧,好我们继续我们的一个内容上面,前面的话就是给大家介绍了,就是mysql提权的这样子的两个情景。

下面的一个详细的一个方法,我这里p p t的一个内容的话,就是呃给大家介绍了这样子的一个过程是吧,就梳理了这样的过程,详细的一个内容的话,大家去看那个实验室对吧,好吧好啊。

下面他就是介绍一下这个sex cel的一个提前,就succel的话跟mysql同样,都是我们经常去使用到的,这样的两种数据库对吧,然后呃mysql的话。

它是在windows以及linux产品都能够去使用的,而cccl的话它是windows windows server,windows服务器上面的,就是就是专用的这样子的一个数据库的,这样子的一个数据库。

然后的话呃讲这个这是我的一个齐全的话,我们首先要去了解一下这样子的一个xp,cd shell的这个呃这个扩展存储过程,就是你可以把它理解成一个这样子的,一个组件啊,就这这个这个组件的话。

它可以就是按系统管理员,以操作系统命令行解释器的一个方式,执行给定的一个命令字符串,然后它并以文本行的一个方式,返回任何一个输出,就这句话怎么理解呢,就是说我们就是我们的一个系统管理员。

可以用这一个呃扩展存储过程,来去执行我们给定的一个命令,然后给定的这个命令的话,它会是在它的一个就是操作系统上面,去进行一个解释执行,也就是能够在系统上面,在我们的一个目标系统上面去执行。

我们给定的一个命令,然后的话它会友好的返回输出给我们,啊呃在这边的话就是由于这个xxcm的需要,它的呃,还他可以去执行任何的这种,操作系统的一个命令,所以的话呃它是有一定,它是有很大的一个危害的。

就是如果说我们那个succel的一个管理员账号,就是sa嘛,如果他们获得了他的一个管理员账号,我们连接到这个数据库之后的话,我们就可以利用这个xp cmd c来去执行,操作系统的一个命令。

来得到操作系统的一个权限,所以的话针对这个xp cmd shell的话,在这边后面的话,它会有就是有这样子的一个限制,就是在sex server 2000当中的话,它默认是开启的。

但是2005以上的这种版本的话,它的这个是默认是关闭的,呃呃就是新版本的三个cel的话,它是啊这个xp sm d shell还是默认关闭,所以的话我们无法去直接的去使用它,对啊,如果我们执行。

就是如果说这一个组件它关闭的话,我们执行就通过这个sap sam bp去执行命令的话,他会有报这样的一个错误,这个话就是让大家了解一下,就如果你啊发现报了这样这样的一个错误。

那么就表示这边的一个xp cmd shell的话,它是没有开启的啊,呃这边的话就是如何去利用这个,tcb shell的一个语法,就是通过这样子的一个方法,就ex e c执行这样子的一个呃。

xp cmd的一个小的一个扩展过程,然后后面的话接我们的一个要去执行的一个,mean的一个字符串,就dos命令吧,啊前面的话有介绍,就是说在新版的sql server它是默认关闭的对吧。

那么它默认关闭我们是不是就不能用了呢,其实不是的,就是啊他虽然阻止了对这个xp cm mcl组件的啊,这样子的一个反问,但是的话我们呃可以通过这样子的一个方法,sp configure来去启用它。

当当的话在这边的话要注意,就是是只有系统管理员,他才能够去通过这个方法来去启用它,所以的话就我们要去进行这样的一个期权的,一个前提条件是,你要有你要去得到的这样子的一个啊,管理员的一个账号的一个权限。

或者说你能够去以这样子的一个管理员的权限,来去执行这样子的一个命令,这边的话大家要去注意要注意的一个点,然后呃如何去启用这样子的一个xp cb线呢,就是通过这样子的一个方法。

呃就是使用这个sp的一个config h,首先的话使用这个,然后的话呃,率config的话就是我们这边使用的这一个呃,设置为一,它就是表示启用,启用之后的话,他会去重新配置。

也就是就跟我们前面刷新我们的配置一样的嘛,对吧,然后的话在他再去使用这样的一个xp,cmd的一个shell,然后的话刷新配置之后的话,我们这边的话就启用了,然后我们就能够去去调用它。

来去执行我们的一个系统的一个命令呃。

呃关于这个succel的一个提前的话,在这边通过这个实验。

这个sex cel就是micro。

sex sever的这样子的一个注入提权,的就是通过这个实验,然后这个实验的话嗯,指导书的话同样的也很详细啊,就是详细的介绍了他的一个过程呃,在这边的话这个实验的话,它是首先它是通过一个注入点。

就通过一个cp server的一个注入点,然后这个注入点的话,我们因为我们知道我们的一个sql注入的一个,应用方法呢,就是啊或者说它的一个漏洞的话,就是我们可以去啊,注入我们自己的一个sql的一个语句。

然后的话把它带入到目标机器,目标的一个circle的一个服务器上面去执行对吧,所以说在这边的话,我们找到这样子的一个sql注入点,那么他可以去就是执行我们这边注入的。

额外的这样子的一个恶意的一个sql语句是吧,然后的话带入到他的一个sl服务器上面去执,行,执行之后的话来返回相应的一个结果,就是,然后首先的话就是就是呃,有这样子的一个注入点,就是这边的这个实验。

就他这边已经呃提前给了这样子的一个注入点,对我们利用这个注入点来去进行一个,这样子的一个提权,访问访问之后的话,就是这样子的一个相当简单的一个页面,就是呃就是啊欢迎欢迎,就是抱抱对吧。

然而他的一个ur的话就像这样子,然后通过他的一个ur这边,其实我们就能够,就是大家对收购入比较熟悉的话,就看他这样子的一个参数,我们就能够去基本的去判断对吧,就一般的话搜狗注入的这种点的话。

它是会就是有对应的这样的一个参数对吧,然后这个参数的话,它是从数据库当中去获取数据的,就是说他有与数据库去做这样子的,一个数据交互,那么我在这边的话就能够去利用它。

就如果说它存在这样的一个社会注入漏洞的话,我们可以利用它的这一个参数来去注入,我们自己的一个社会的一个语句是吧,好这句话就是他i d等于一对吧,那么我们尝试一下i d等于二,就等于二的话。

他这边没有数据是吧,三,都是没有数据,那说明的话他这边只有一有数据是吧,或者说他是没有这样子的一个id值是吧,那么呃测试sl注入的一个点的话,就我们常用的一个号就是加一个单引号对吧,就是加一个单引号。

原本的话正常人是这样的页面,我们这边加一个单引号,他这边的话就有了这样的一个报错,然后有这样的一个报错的话,我们也能够去有一个基本的一个判断,判断它存在这样子的,比如他很很有可能存在这样子的一个。

生活中的一个漏洞,就为什么他我们通过这样的一个单引号,能够去做这样的一个判断呢,就是呃大家如果对sql语句比较了解的话,就是我们的这样子的一个这样子一个页面对吧,这个页面我们像这个页面传递的这样子。

就等于一的一个参数对吧,然后这个参数的话,它其实会传递到我们的一个sql数据库,呃,传递到就就是这有一个页面它能够去处理,就说他能够去处理这样子,我们传递的在这样子的一个呃id值对吧。

然后他处理这一个id值的话,它会把我们的一个sql的一个语句,它会传到我们的一个circle server,的一个服务器上面去执行对吧,执行之后的话,他会查询这样的一个结果,然后反馈给我们。

那么其实我们通过这样子的页面,我们也能够去基本的就是能够去呃,猜测它的一个后台的,就是基本的这种sql语句的结构对吧,像比如说在这边的话,我们可以就是假设它是呃这样子的一个,sql的一个语句吧,比如说。

比如说我这边select name对吧,就是这边显示它的一个name值吗,或者说还有一段话就是time是吧,这样的话这边我这边是假设就是假,因为我们从这个页面的一个数据嘛对吧。

就是bob还有这一个这边的这个时间,然后其他的这一个这一个的话,它它都是固定的一个值嘛对吧。

比如说我这边二对吧,它都是不变的。

变的话就是他这边后面的这个数据,那我们是不是可以大胆猜测一下,它的一个sql语句,就是select name或者说time对吧,就是大概也就意思嘛对吧,然后是form这样子的一个u的表当中对吧。

然后while i d等于多就,不把id等于多少,就是这个优质表当中的话呃,我们假设它就就我们从这个方能够去确定它呃,大概有这样子的三个字段是吧,就id id字段,name字段,time字段是吧。

其他的话我们也不知道是吧,就我们也不用管,我们就假设它的一个sql语句,我们猜测它是这样子的是吧,那么它的一个语句的话就是当id等一的时候,他会去这个优质表当中,或者说某个表当中去查询他的一个名字。

以及时间对吧。

那么我们在这的话,我们如何去注入我们的一个语句呢,哈首先在这的话我们需要去判断一下,就是说我们常见的这种sl的一个柱对吧,它有像这种字符型,数字型对吧,我们的一个方,我们需要去判断它的一个这种类型的。

就我们从这边也能够去从这这边的话,也能够去基本判断它应该是一个数字写,那么我们首先在这边呃出了一个单引号对吧,单引号之后的话,它报错,报错的话,他这边是表示呃字符串后的一个引号不完整。

就是我们这边引号是多的对吧,那么我们把这边id等于一单以后。

我们把它带入到我这边的这个sql语句,就就像这对吧,i g等于一这样子的一个数据,那么它实际它如果他没有对我这边做一个过滤,对吧,没有对我这边的ip只做一个工具,它会把我这边的一个这个语句。

把它带入到sql数据库当中去查询,然后他查询的话,他查询这边一单引号,这个值就是在数据库当中,是不可能存在这样子的一个单引号的一个值的,所以的话那么他肯定查找不到这个值,所以的话他就会报错。

当然的话呃如果说就是你加一个单引号对吧。

你没有报错,那么可能是就是说它有对我们这边的一个,传递的这个参数有做相应的一个过滤。

然后在这的话他有这种报错对吧,那么说明他有把我这边的一个单引号的,这个字符代入到了数据库当中去查询,因为他找不到这样的一个数据嘛,所以的话他会报错嘛对吧,好啊,大家还可能说就是有可能是字符型的对吧。

那字符型的话我们来测试一下对吧,就是字符型的话,我们知道它的一个i d值话,它会被这样子的一个单引号做一个包裹是吧,所以话我们在这边的话,其实我们在这边加一个单引号。

然后我们在后面加一个这样子的一个杠杆,刚刚空格,刚刚空格的话,就是在mysql下面的这样子的一个注释符啊,就是他可以忽略后面的这样子的一个字符。

就是实际的话,就比如说如果说他的一个id是像这样子的一个,字符型对吧,它会有这样的一个单引号,它的一个数据的话,它会传到这边来,那么我这边i d等于一,它传到这边来对吧,就是这样子的一个语句。

那么我这边加一个单引号的话,他就是成了这样子对吧,等于的话就是他这边它它它查询的一个值的话,就是i d等于一的这一部分,但是在这边的话它多了一个单引号对吧,所以的话他去查找这个。

所以在这边的话他会有报错。

他说后面的这个引号不完整啊,其实实际的一个语句是这样子的,所以点点干啊,好如果说就是它是一个字符型的话对吧,那么我这边点点干,后面干干空格,后面的话他会把这边注释掉对吧,也就是实际的一个语句。

他其实是这样子的,也就是他这个r一等于一的话,它有这个值,那么它他这边的话就不会有这种报错啊。

然后他这边不是说字符串后面的一个引号。

不完整,也就是我这边加了这样子的一个引号对吧,就是加了这个引号之后,他说后面没有一个引号,因为它没有闭合这边的这个引号,所以的话他说这边不完整对吧,也就是说他其实是这样子的一个这样子的。

一个这样子的一个语句啊,是吧好,我们也可以通过像,比如说通过这样的一个语句嘛来去判断你的,通过这样子的一个方法对吧,如果说它是一个字符型的话,我们在这边的话,通过闭合它的这样子的一个。

就通过闭合它的这样子的一个单引号啊。

来去判断,就比如说它是字符型,他这样子的话,我们嗯,等于一点是这样子的话,那么我们团传进去的一个数值的话,就是这一部分对吧,是这一部分,那么我们在这边的话,如果说它是一个字符型。

那么我这边藏着这个数据化,我通过单引号做了一个闭合对吧,就是这一部分这一部分的话,i d等于一的话是有直的,那么它会返回返回值对吧,因为n一等于一,这边的话他肯定是相等的,也就是为真,然后n德的话是。

很多的话就是两两就是前面的这一部分为针,以及后面的这一部为真,它才会就是为针对吧,也就是他不会报错。

然后这边的话啊扯远了,给大家讲讲师口注入去了啊,就是这其实也是这就是可能有些同学不知道,但当时的话小狗注入的话,应该这个话应该大家都是很熟悉的,我这句话就是正好到这边,我就介绍一下呃。

呃呃前面其实前面课程的话应该也要讲对吧,假sql注,所以原理的话都是差不多的就好啊,其他的不说了,就是我这边的话,就是我判断了他这边存在存在这样子的一个,sl输入对吧,那么我在这边的话。

我们就可以去插入我们想要的这样子的一个,sql的一个语句啊,去做一个查询对吧,然后在这边的话,同样去进行一个这样子的一个提前的话,我们首先需要去判断用户的一个权限。

就是因为只有这样子的一个c s y s i的,命组的一个用户,他才能够去执行这个插线的去选,就是在这个组的一个用户的话,它是一个就是数据库的一个管理员,然后的话我们可以通过这样子的一个语句,来去判断。

好我们我们这边执行执行之后的话,你会发现啊,他这边是没有没有变化的对吧,没有变化的话,那么就说明我们这边的这个语句,它是执行正确的,也就是说也就是说我们这边的这一个select啊。

已知就是这个server member,然后的话判断当前的这个就当前的用户,他是不是在这个s y s i的面的这个组啊,他的这个sql语句它是执行了,而且他的一个执行的话是正确的。

就执行正确是什么意思呢,就是我当前的这一个呃,当前的这个数据库的一个用户,它是属于这个sy s它的面的这个组的,所以的话我这边的话它是没有报错的,因为d等于一,它是为真的对吧,好n的话就是两针才回升吧。

这边为一,它是就是这边为真,然后这边后面的话它同样的也为正,所以的话,我们这边的话是能够正常的去得到结果的对吧,然后我们这边可以就是呃随便改一个对吧,然后我们执行执行之后的话,你会发现他这边没有结果。

因为我们这边的话这边写错了是吧,它它不是就当前用的,他不是这个s y s d m i n这个组,而是admin这个组是吧,说明的话我们这边的话,之前的一个结果它是呃正确的,也就是当前的一个用户。

它是一个管理的一个用户啊,然后的话我们还需要去判断数据库当中,它是否存在这样的一个xp cm的线,好我们先讲实验的时候,我们先看一下我ppt里面的一个内容,就是呃这边的话也练了,就是常见的就是csol。

注入的一个系统的一个函数啊,像user user name就是获取当前的一个用户,然后呃db name就当前数据库的一个名字,然后host name,然后我选数据库的一个版本等等。

以及这一个判断用户是否属于管理员组,啊,这个话都是就是它的一个一些系统的一个函数,就是它已经内置了,我们可以直接通过select来去查询去使用,是啊呃然后的话就是判断用户的权限。

就通过这样子的一个语句好,下一步就是判断是否存在这样的一个x p3 ,p c,就是呃判断这个数据库当中,它是否存在x p cv下,就是呃这边的一个xp cd share,呃,要注意啊。

就是我们前面的话是呃,我们前面的话是有说就说这个type c m d区,它默认它是关闭的对吧,但是的话它关闭的话,就说明它有存在这个type c m d区,而只是被关闭了,对吧。

当时的话如果你的这个sql数据库当中,他没有这样的xp cm d cl的这个组件的话,那么我们肯定是用不了的对吧,我们因为它没有我们怎么去尝试开启来了,所以的话我们可以在这边。

可以通过这样子的一个方法去做一个判断,就是他会在这样子的一个系统的一个,数据库当中去查找,查找它的一个类型是这个啊,名字是这个texcel就行,如果有的话,就说明它是存在这样子的一个组件的。

然后存在这个组件的话,我们就可以利用这个组件去执行命令的,如果说执行命令的时候报错了,就报我们前面的这边所说的这个错误,那么就说明我的这个插件是cd c,它是没有开启的对吧,那么没有开启的话。

我们就可以尝试使用这一个sp config来去开启它,然后的话来去啊,利用它来执行我们的一个系统的一个命令,就大体的一个思路就是这样子,然后具体的话在这边的话,我们来到实验这边来看一下呃。

判断它是否存在这个组件啊,我这边的话,因为呃时间关系以及就是这个的话比较长啊,我这话我就不敲了,敲的话敲的话是可以敲,但是比较浪费时间啊,就呃当然大家的话就是不赶时间的话,不赶时间的话。

我建议大家还是自己手动的去敲一下,就是你敲的话其实长也不是很长对吧,然后这边的话我们执行执行之后的话,发现没有没有没有报错对吧,或者说没有,就是它有内容返回,也就是说我们这边执行的这个语句的话。

它是就是他已经执行了,然后的话他是执行正确的,就表明的话我这边的啊,这个super server的那个服务器的话,它是有存在这样子的一个xp cd shell这个组件的,然后的话呃。

我们确定了它存在这一个组件存在对吧,那么我们还需要去确定它是否启用,你确定它是否启用的话,我们可以直接就就直接去执行,这样子的一个语句对吧,就是利用这个time smisha来去执行语句嘛。

如果说他不存在对吧,那么它就会报错,如果说它存在的话,那么他就会执行我们的一个语句,不会报错对吧,这条就这样,然后这边的话之前的一个语句话,就是就用我们前面的去调用这个txcm,必须要的一个语法。

就ex e c加这样子的一个,然后的话去执行这样子的一个nude name,password a的这一个一句话,就是添加这样子的一个name用户密码,它是password对吧,好好好卡着呢。

这边的话是呃杆的话是卡的,然后这边的话我们执行执行之后的话,可以发现这边的话他报错了,就是有报错对吧,然后其实这边的一个报错的话,就已经写出来了对吧。

他说这边sex server它阻止了对这一个组件的一个,这样子的一个访问,就是用这个呃过程来去执行,我们的一个系统命令吧,它阻止了,然后,就是这个组件它是呃作为了服务器去配置的,一个呃一部分啊。

所以的话他这边的话是把这个xx sb线的一个,组件关闭了对吧,那么关闭之后的话我们无法去直接的一个使用,但是的话它关闭了我们,因为我们前面的话已经判断了,我当前的一个数据库的一个权限的话。

是一个管理那个权限对吧,也就是说就是说啊什么意思呢,就是说我这边虽然没有去得到这个sa,或者说得到它的管理用户的一个密码对吧,但是的话我当前的话我当前的一个数据库,它是一个管理的一个数据库的一个用户。

那么我当前我这边通过sql注入的一个,通过sql注入的一个攻击对吧,我这边插入的注入的这样子的,一个sql的一个语句,它同样的是一个还原的一个用户去执行的,这里大家能理解吧。

所以的话我这边其实是一个管理的一个权限,那么我这边管理的权限的话,我就可以通过这边所说的,呃通过这边所说的,通过sp config来去启用这边的啊,一个xp cmd需要的一个组件。

然后呃方法的话就是我这边复制一下,就是啊这样子的一个语句,执行,而执行之后的话都没有没有就是就是有内容的,就说明我们这我们这边的话,这个语句已经执行成功了对吧,执行成功之后的话。

我们再来尝试第二种这个差距项目继续,来去执行一下这边的一个命令,执行的话还是执行了刚刚的这个,添加一个内容或者一个密码,然后我们回车回车,执行之后的话,他这边也没有,就是没有问题对吧。

就说明我们的一个语句执行成功了,然后在这的话我们验证一下,因为当前的这个机器这个服务的话,但是就只在当前的这个板子上面,就是他不是,因为就你在当前的这个机器上面去操作的嘛。

就是你在一个cf server的一个服务器,同样的也是在这个机器,它是部署在这个机器上面的,也就是我这边通过sex server去执行的一个系统命令,也就也是在当前的这个主机上面啊。

这边的话是一个实验的一个环境,是这样的好,我们这边通过nt os来去查看一下,在这边可以看到就多了这样子,一个name的一个用户好,我们可以,换一个呃电子面纱对吧。

所以呢。

这边的话呃添加一个name,要三个这样的用户对吧,然后在这边它是没有这样子的一个用户的对吧,我们在这边执行一下,执行之后的话,我们再来查看一下,你会发现的话在这边已经添加了一个内容,二三的一个用户。

也就是说我这边的话,通过通过他的这样子的一个注入点。

好的话呃,调用这个xp sm t shell的这个组件,成功地执行了一个系统的一个命令,那么现在的话,我们就你你就能够去调用这个组件,来去执行我们想要的一个系统运动是吧,那么提前的一个思路的话就是呃。

那我们现在能够能够执行命令了嘛对吧,那么我们就能够去添加这样子的一个管理员,用户对吧,然后的话把它添加到管理员组,也就是能够去得到它的一个管理员的用户嘛,那么自然的就得到了它的一个管理员。

用户的一个权限,呃呃这边添加用户的话,就添加到管理员组,这边的话我就不操作了是吧,然后这边添加用户的话是没有问题的,然后呃第七个的话,这边的话就是介绍一下这个就是sp的这个oa create。

就是说在x p sm share被删除,或者说出错的一个情况下,可以充分利用这个来训练一个题型,也就是我们前面就如果说这个xp cmd shell,这个组件它没有了是吧,然后的话或者说我们出错了。

也就是我们就是无法去使用这个组件,来去执行系统命令的时候,我们可以尝试使用这个使用这个来去呃,来去进行一个齐全,在这边的话就是这样子的一个步骤,然后具体的关于这个的话,大家可以去看一下这篇文章。

这边的话他介绍了很多的这样的一个方法,就我们可以通过这样子的一个呃配置,来去打开对应的一个组件,然后然后的话再利用这样的一个组件,就是利用的一个方法,就是像这样子,像呃他这边可以嗯家用户对吧。

然后的话粘贴进的一个替换,还有床码,还有鞋布,鞋控脚本等等的一个方法,我们可以使用这个组件来去达到目的,就就比如说这样子,比如通过这一通过执行这样子的一个命令,就如果说这一个组件我们开启了之后的。

我们可以通过呃这个组件来去执行命令,然后只选了一个命令的话,就是像这样子,就其实就是在这边啊执行,通过cmd来执行一个换麦,然后的话把它输出到我们的,指定的一个文件当中,好在这边要注意的话。

就是你用这个组件你去执行命令的话,他是没有输出的,也就是你看不到它的一个输出,所以的话我们需要去通过这样子的一个重建,相应的一个方法,就是输出到我们的一个文件当中,然后的话因为我们就。

就需要通过这样的一个方法来去呃,从定向到指定的一个文件那种,然后的话才才能够去查看,啊以上的话就是我们本节课的一个内容呃,第三部分的这个postgresql的话,这个的话嗯课程安排里面的话是有说要讲。

然后其实我这边的话,拜拜就是有这样的一个比较,就是已经很详细的介绍了,这一个呃persorcycle的这样的一个期权,就是我们利用他的这个pole,persorcycle的一个呃数据库。

然后的话呃用它来去写一个呃,写一个s o的这样子的一个文件,就是说在linux里面的话,我们就是要去调用它的,就是要去调用系统的这样子的一个,sol的一个文件。

然后其实类似于我们的一个就是我们的一个mysql,的一个优点回来一个提取啊,但是的话他这边的话是利用它的一个数据库,的一个特性来去写入到我们的目标机上面去,然后的话再把它组合成一个文件。

然后再用这个文件来去创建,我们的一个可执行的一个呃,就是执行命令的这样子的一个函数啊,然后他再利用这个呃创建这样子的一个对象,然后利用这个对象来去呃,执行我们的一个系统的一个命令,像比如说在这里。

就我这边这一篇笔记的话,应该是写的很详细的。

然后下节课的话再给大家去介绍这个吧,因为一节课的话讲不了这么多好呃,大家先去看吧,然后下节课的时候的话,上课之前的话,我再问大家,就是看大家有没有必要去给大家讲一下,这个好吧。

呃呃大家对今天课程的一个内容,有没有什么疑问,有问题的扣一,没问题的扣二,大家都能能能跟得上我吧,能能听得懂吧,其他同学呢怎么每次都是这这这这这三位同学,还有这四位,其他其他同学是不是在挂机呀。

没没没有在没有在听我讲吗,就大家就大家觉得我这样只去这样子,去给大家讲课,然后的话呃大家能能不能能不能接受,如果不能接受的话,你可以提出来,所以你觉得你觉得就是要怎样子。

那个你才能够去比较好的一个接受对吧,我这边的话可以就是根据大小的一个需求,做相应的一个调整好吧,哎行吧,大家还是大家还是不喜欢跟我互动了,已经很细了,ok ok那那就,能主要还是要大家能听懂啊。

那那应该是没有什么其他问题了,应该就大家不回的话,我就默认默认大家都,都都都能听懂啊,然后呃,然后的话呃,然后的话我这边就是哎这边就是中间讲课的话,有这种咳嗽的这种声音,就是大家可能就是,希望大家能够。

希望大家能够不要介意啊好吧,就我这边实在有点控制不了,就是讲课讲的喉咙有点难受,然后的话加加上咳嗽的话,就是一说话的话,就是给大家讲的时候的话就有点咳好吧,就希望大家不要介意,就是忽略我的咳嗽声好吧。

就大家听我就是讲的一个内容,然后的话中间就是就可能最近讲课的话,都会有这样子的一个情况,就是就说声抱歉吧好吧,好没有其他没有其他的一个位诶,没有其他的一个问题的话,那么我们本节课的话就呃到这边就结束了。

好这边ppt忘记给大家。

P77:第47天:权限提升-Postgresql数据库提权 - 网络安全就业推荐 - BV1Zu411s79i

这位同学说的有道理啊,每天早点来听会歌是吧,美好的美好的晚上就开始了,呃然后的话大家能听到我声音的话,在讨论区扣个一吧,就还是照常了,好的应该没有没有问题啊,好的话嗯,我们本节课的一个内容的话。

就是按课表上来的话,就是呃上节课的呃数据库的一个应用,提前的话,因为呃我这边的话是计划呢有三个,就是呃多了这个cosical seyle的,这个加特希尔的这个呃提纯。

所以的话呃因为上节课的话是讲的那个mysql,跟那个succel的一个题全对吧,然后这个的话就是呃上节课的话讲不完,所以的话就放到这节课,然后的话我这边的话,其实笔记的话都已经呃给给大家了。

然后的话大家有没有自己去做,大家有没有自己去做,就是这里的这个还需要我去给大家讲一下,或者是说演示一下吧,因为这个的话其实呃,我这边的话已经写的很详细了,然后的话讲的话应该没什么好讲的。

主要的话就是就你跟着我这边去操作就ok了,就命令命令什么的都给了,然后你照着这边你复制粘贴,你就就能够去得到,大家呃需要我去讲了。

这里。

呃需要讲的在讨论区讨论区扣个一,不需要的话,在讨论区扣个二,呃要讲啊,而其他同学呢就是有不同的意见,就是我看多数的好吧,思路大概过一下,其实我这边也是计划的,就是因为我这边的话。

笔记已经很详细的给大家聊对吧。

然后大家只需要去搭一个这样子的一个,很简单的一个环境,照着我这边的命令敲就可以了,大概的思路的话,就呃这个的话其实就是利用这个post procycle,来去进行一个good share嘛。

就是利用他的这个数据库,然后呃这你的这个数据库的话,它跟我们前面的那个mysql的这个命令,执行的话挺像的,就在这边的话,它是呃,它我们前面在讲那个mysql的那个udf,集权的时候对吧。

需要去用到我们的一个自定义的一个,就是用户自定义的一个函数对吧,然后的话我们要去创建那样子的一个,u d f的一个函数的话,我们就需要一个呃dl的一个文件,因为我们需要去通过这个dio文件来去呃。

创建这样子的一个执行命令的一个函数对吧,好的话,我们再去调用这个执行命令,一个函数来去执行我们的一个系统的一个命令,然后在这边的话,它同样的也是就是说呃,通过这边的有一个nb c1 。

就是说在linux下面的这样子的一个,soo的这样子的一个文件,然的话利用这一个调用它的这个文件,来去进行一个啊执行系统的一个命令,好,这边后面呢就是步骤的话,就是把我们这边的这个soo的一个文件。

用它的这边的这个就是创建大对象,就我这边的话也呃,首先的话是写入对象,创建一个这样子的一个,9023的这样的一个对象,然后的话把我们的这样子的一个文件,这边这个文件的话他是做了一个编码的。

然后在这边的话做一个解码,解码之后的话,很快的存储到了这一个对象当中,存储到这个对象中当中的话,我们在呃调用这个对象,就是把这一个对象里面的这个内容,把它导出到我们的一个系统的一个目录下面。

就在这个目录下面,然后的话再调用这里的这个soo的这个文件,来去创建这样子的一个s y s l ever的,这样子的一个函数,然后这个函数的话,我们就能够去通过这样子的一个语句。

就select这样子的一个语句,来去调用它的一个系统的一个命令,然后具体的一个效果的话,就是在这块就是插入数据嘛,就是啊insert into,把我们这边前面所要用到的这样子的一个文件。

这一个就是创建这个执行系统命令,在一个函数的一个文件,把它导入到我们的一个系统当中,然后的话再导导出来,导入到数据库当中,然后然后的话再从数据库当中,导到我们的一个目标系统上面去。

然后调用它来去创建一个这样子的一个函数,然后最后的一个效果它就是像这样子,我们可以执行我们的一个系统的一个命令,然后以及的话就是说我们在在这边的话,也能够通过,就是说通过这一个号啊,通过这个数据库啊。

来去读取我们系统的一个文件,就是把这给我们mysql一样的对吧,我们可以去啊,把系统当中的一个文件的一个内容,把它导入到我们的一个数据数据库表当中对吧,好的,我们在我们就能够去查看数据库表当中的内容。

或者说把数据库表的内容导出来对吧,然后在这边的话,它也同样的可以用这样子的一个方法,把就是系统当中的这样子的一个,像比如说这边etc password这个文件,把它通过copy的一个方式。

就他这个的话这个命令的话,他是psque cycle里面的一个就特别的这种mini,意思的话就是从这个文件当中去,把它里面的一个内容,copy到这样子的一个p这个表当中对吧。

然后的话copy到这个表中的话,我们只要查看这个表当中的内容,我们就能够去查啊,找到我们就能够去查看到呃,系统上面的一个文件内容对吧,大概的思路就是这样子。

需要我操作吗。

呃好吧。

我操作一下吧。

呃这边的话,我在这边的这个机器上面,我已经就是已经。

我在这边的这个机器上面的话,已经就是呃安装好了。

这样子这个cos recycle的一个数据库,然后安装的话命运的话就是在这边呃,我这边还是用的升到27的一个系统,所以的话我这样子的一个方法装啊,如果说你是用其他的一个系统的方法,就稍微有点区别。

然后看这个旗下,我的话呃重启一下我的一个数据库啊,就之前的话机器关掉了,然后这边重启之后的话呃,就是你要启动它的话,然后你要进入到这个数据库的话,你要做这样的一个操作,就是需要去创建这样的一个用户啊。

然后这个用户的话你在安装这个数据库的时候,它会有创建,但是呃你要去登录的话,你就需要呃设置一个密码,就是要password这个呃用户,然后的话我们可以通过这样的一个方法,切换到这个数据库当中。

然后的话再去呃,连接我们的这样子的一个数据库,啊我这边的话,啊呃我这边的话就是呃我就不不去模拟,说去登录这样子的一个数据库的,我这边的话直接就是在呃我的这一个系列当中。

因为我前期的话就是你已经呃得到这样子的,一个数据库,就是你连接到了这样的一个数据库,至于怎么去得到这个数据库的一个连接的话,就是呃得到他的账号密码对吧,然后或者或者是说绕口令这种。

你能够去连接到它的一个数据库当中,那么我们连接到它,连接到它的一个数据库的话,一般的话就只能去查看到查看它的数据对吧,当时在这边的话,我们可以利用这个我们得到的,连接到了这样的一个数据库来去啊。

进行下面的这样子的一些操作,像比如说呃读取系统的一个文件对吧,文件内容,呃然后在这边的话就是它的一些配置,就是你需要去配置它的数据库的访问权限,就是说你的这个数据库是要能够去被远程允许,远程的一个零件。

那你只能够去远程的去连接,我们才能够去连接到它的这个数据库嘛对吧,然后这边的话就是它的一个这个数据库的一个,一些基本的一个命令,然后这边的话就已经连接到了这个,psp cycle的一个数据库。

然后连接连接上之后的话呃,我们可以通过这样子的一个反斜杠h。

来去查看它的一个帮助现象,好就查看到这些帮助信息的话,就是呃一些像比如说,比如说create table对吧,然后就是一些创建表的这样子一些操作,以及删除啊,删除表等等,还有删除。

就是关于这个数据库相关的一些内容啊,这样子的一些mini。

然后在这的话我们需要去了解的一些选项,就是这里,像比如说我们要去查看它的一个数据库,比如干l在这块,这是他默认的有这样子的一些数据库是吧,up干,就是列出数据表等等等一些东西,对他干爹就是列出用户。

就说这个数据库它的一个用户是哪一个,这个pro和一个pograss grass,分一个数据库,还有的话再待会儿会用到的这样子的一个干dl,就是这样子的一个大对象,这是我们单卡的话。

会去呃创建一个这样子的一个对象,然后的话把我们要要写入的概念,把它写入到这个对象当中,嗯然后的话就是读取系统的一个文件,读取系统文件的话,我这边的话,首先的话就是drop table p。

因为我之前的话就是这个命运的话,意思的话就是删除这个批表对吧,就是删除表批,就如果说你当前的这个数据库当中,有这个表皮的话,那么你去穿的话就穿不了的对吧,所以我们在这边就是把它删除掉。

然后的话再创建一个这样子的一个p表,创建好之后的话,我们再通过这个copy million,把我们的这个etc password,就是说在当前系统下面的这个t parsword,这个文件里面的一个内容。

把它给copy到这个p表当中,然后的话我们在这边就能够通过这个。

通过去查查询这个表当中一个内容啊,去输出它的一个结果对吧,我们这边的话就是只查了一行,就是我们可以查两行对吧,以及他这边的话我们可以看一下,就是这句话copy 21,也就是它有21号对吧。

我们就是能够去输出21行的一个内容,然后这边的这个内容的话,就是我们这边的这个机器的一个,etc password的一个内容,就这一个。

这边的话就是读取文件,以及的话,还有就是可以利用这样子的一个大对象,来去读取文件,方法的话就是先通过这样子的一个。

语句把这个e t c password的一个内容,把它写入到这个12345678这边的,这个e345678 的话就是一个大对象,我们可以干dl来查看一下。

当前这边的话,删除一下这个,我这话,先把我之前测试的这一个大对象给删除掉,停了三,然后这边的话就没有没有这样子的一个,大对象了是吧,然后的话我们在呃,把这里的一个文件的一个内容。

把它给写入到这样子的一个大对象当中,把这个号改了嗯,然后这句话他就呃新增新增了这样子的一个id,为这个12345678的这个large object对吧,然后这个这个对象里面的一个内容的话。

就是这个etc password的一个内容。

好在这边的话,我们通过这样子的一个语句,可以把它里面的一个内容读取出来,然后这边读取的一个内容的话,可以看一下,这边的话有这样子的一个冰嘛,就是把它做了一个hex的一个冰嘛,就把这边读起来的一个数据。

做了一个hex的一个编码,然后的话呃输出来,而在这边执行之后的话,之前就在这边的一个呃。

花括号当中的这一串的一个值,就是我们的一个呃,经过hex编码之后的这一串数据。

我这边的话呃,做一个解,做一个解码,解码之后的话,它的一个内容的话就是像这样子对吧,然后在这边这边的话是他的hs,编码之后的一个值,然后我们这边啊把它从hx来去做一个解码,解码之后的话。

这边的话就是我们这个etc password里面的一个内容。

对吧。

好的,还有就是呃如果说你知道你的这个机器,它是有这样子的一个,它是有这样子的一个web的一个目录,然后的话这个外文物下面的话,正好有一个可写的这样子的一个文件夹对吧,你知道这个文件夹你是可写的。

他在某一个目录下面去,那么你就可以通过这样子的一个呃数据库,把把数据库表当中的这样子一个内容,把它给导出到我们的一个文件系统当中,然后在这话就是呃写了这样子的一个,一句话对吧。

写入到了我的一个目标机器当中,就其实还是跟前面的好操作是一样的。

以及这句话我们可以直接通过这样子的一句话。

我这句话和起个这样的一个web服务,再举个例子。

啊嗯就这样子的,有,然后他的一个机器,这个的话有这样子的一个。

那这样子的一个可写的一个文件夹,就这个e x e c的一个文件夹。

我的话就只是做演示,然后的话我们就可以通过我这边得到这个。

数据库啊,来去做一个写一句话码的一个操作,首先要创建一个这样子的一个表达的话。

把我们这边的一个一句话码的一个内容,把它写入到这个表当中,写入到这个表中,这边的话就是一个。

常见的一个一句话嘛对吧,然后我们在这边可以去查看一下,它里面的一个内容啊。

对吧,这边的话它里面那个的话就是这样子的一句话。

然后我们就可以通过这个copy命令copy to,就从这个表当中呃,把它的一个内容copy到这样子的。

一个指定的一个目录下面的这个文件当中。

然后copy过去之后的话。

嗯copy之后的话,我们可以来去在这边验证一下,就这样的一个一点p h p对吧,然后他这边的话没有那它的一个报错,就说明的话他这边的话有解析这样子的一个,没有解析这样子的一个。

我们的一个菲律宾的一个一句话是吧,然后我们这的话就可以去通过这样子的一个呃,一句话就执行命令得到得到它的一个web系对吧。

以及呃,我们也可以直接就直接通过这样子的一个方法,这里的话就是呃直接copy这样,这里select的这里的一个内容的话,就是select这个语句话,就是输出这边的这个内容嘛对吧。

然后的话就是把这边的这个内容,把它copy到这个文件当中。

这话好熟。

那就可以去。

让我们来验证一下对吧,能够去正常的访问。

这说明我们这一个文件的话,是已经写到我们指定的这个目录下面去了啊,以及呃来去执行数据库的一个系统命令,嗯这边的话就是首先的话我们需要去查看一下。

它这个数据库,它能够去支持的这样的扩展语言,就在这边的话,它默认的话它会有支持一个c语言,就是它它的这个啊数据库,它是支持我们去调用这样子的。

一个用c语言写的这样子的一个扩展,以及还有的话,如果说他支持python pp r这种的话,那我们就可以利用他的这样子的一个环境,来去进行一个呃进行一个执行系统命令。

然后这边的话呃如果没有这样子的扩展的话,我们就需要去编译这样子的一个呃,soo的一个文件,然后这个编译的话我就不操作了。

然后我们这边直接看效果吧,然后首先的话就是呃,创建一个这样子的一个大对象,就是9023的这个我们可以干掉来查看一下,这个话是之前的这个对吧,这个还是我们新进的,然后的话我们这边的话东西有点多啊。

然后分别的把这边的这一个我把那个插进去啊,好注意的话,这边你插进去之后的话,就是说他这边他是hx的一个编码,同样的,然后的话他是把这边的这个编码做一个解码,解码之后的一个值,再去把它给写入到这个表当中。

就比如我们前面,这个我们之前的一个udf对吧,我们的一个优点f的那个文件呃,就是他我们同样的也是先把它转成一个hs的,一个hook px的一个格式,然后的话再去进行一个插入,又在。

这里的话也是一样的,然后在这边的话要注意的一个点的话,就是他这边的话,他这边的话有这样子的一个长度的一个性质,就是呃我我们的这个文件的话,我们需要去把它做一个分块,就是分成好几块,就每一块的话。

它不能去大于这样子的一个2048的一个质,检,要小于或者等于这样子的204吧,如果说大于的话,他会去呃,大约的话它会报错,然后的话我们在的话就需要去,就是这边每一个呃字节这边插入的一个字儿,都需要去。

小于这样子的一个2048的一个长度,好我们这边的话分别把这几块,他这边的话是分成了五块,顺便把这五块插入到这样子的一个酒量上的,这个大对象当中,然后插入进去之后的话。

我们的这样子的一个呃呃这样子的一个定义的,这个soo的一个文件,就已经写入到了这个表当中对吧,这个对象当中好的话,我们就可以通过这样子的一个方法,把这边的一个内容把它导出到我们指定的一个。

目录下面去,好在这里的话实在是一个tp,不然我先把这个视频的这个删掉啊,其实我们可以来看一下这个,就是原本它里面那个话是像这样子的这种乱码,所以的话我们需要去把它作为,做一个静止的一个转换,转换这种呃。

可见的这种hex的这种进步的一些格式,我等会把它把那个文件删掉吧,删掉之后的话,我在这边,导出一下,导出之后的话。

在这边的话就会多这样子的,一个soo的一个文件,就是这个test driver这个点sol的一个文件,那么下面的话我们就可以去利用这个sr文件,来去创建进行一个函数啊,经历了这个函数的一个作用的话。

就是我们可以去执行,我们执行啊系统的一个命令,然后这边的一个函数名的话,就是这个xy s等于ever,执行执行说的话可以看到创创建成功了,这样子的一个function函数是吧,那么这边创建好之后的话。

我们就可以调用它去执行我们的系统命令,先比如说执行id对吧,以及执行外卖,还有的话就是然后再c t,他说了的对吧,这边呢我们在这块就能够去执行啊,系统的一个变量对吧,那么我们既然能够去执行命的话。

我们就能够去进行一个反弹器啊,等等这一些操作是吧,这话就是这一个cosl cycle,这个数据库的一个get share,然后这个的话大家大家自己去动手操作一下,因为呃东西的话就是这些东西啊。

没有什么很特别的,然后的话你知道有这个东西就可以了,然后你碰到了你碰到了这样子的一个东西对吧,你就可以直接去用了是吧,你直接直接按照这样的一个方法去进行,一个使用就可以了,然后以及的话呃。

在msf当中有对应的这样子的一个模块啊,就是cospur cycle的一个模块,比如说啊read file读取文件对吧,还有其他的这样子的一些模块,呃这种话就是关于这个cosport cycle。

get share的一个方法。

大家应该没有什么疑问吧,就像这种的话,你知道你知道有这个东西对吧,然后的话你知道怎么用就ok了好吧,能理解吗,就是思路的话应该能理解吧,具体的操作的话看看看我的那个文档好不好啊,应该是没有问题啊。

那我们继呃开始,我们今天的一个主要的一个内容,我们这的话主要的话就是给大家介绍,这个内置工具的一个横向移动,或者说是横向移动的啊,就是说我们能够去进行横向移动的,这样子的一些啊。

windows系统下面的内置的这样的一些工具啊,然后呃本节课的话主要分为了十块,第一块,那就是i pc加这样子的一个s c s c h tasks,而这个s c h text的话是呃。

windows系统下面的这样子的一个计划,任务的一个管理工具,然后还有的话其实还有就是这个a t a t的话,它同样的也是呃去创建我们的一个定时任务的,这样子的一个工具命令。

然后的话呃这两个命令它的一个区别的话,就是这个命令的话他是在新版的这种server啊,还有windows系统上面啊,是使用的,然后的话这个tp的话,他在呃新版的这种系统上面的话,它是已经被弃用了。

所以的话我们通常的话会去使用这个工具,当然的话老板的这种系统的话,你就可以去使用这个at命令呃,在本节课的话也会给大家去呃演示,然后第一个的话呃,然后第二个的话就是这个i p c加s c,s c的话。

这个变化前面已经有介绍了对吧,它是一个呃去管理我们系统的这样子的,一个服务的一个工具的一个管理工具,我们可以去,我们可以去利用这个命令来去进行一个服务的,一个启动,停止创建等等的这样的一个操作是吧。

然后第三个号就是wm i c啊,前面他也同样介绍了对吧,我们可以利用它来去做一做一些啊,服务的一个配置,以及信息的一些查看对吧,像比如前面我们讲信息收集的时候就呃有啊,就有经常去使用这样的一个命令啊。

第四个的话就是一个wi,呃首先的话第一部分就是呃,我们那个i p c连接,加这样子一个定定时任务的一个横向移动,呃在讲这个之前的话,我们先来了解一下什么是pc啊,保护,我们先来了解一下什么是ipc啊。

这个ipc的话就是这样子的一个internet process connection,就是呃一个共享的一个匿名广告的一个资源,就他是共享秘密管道一个资源,然后他的一个目的是为了让进程。

经通信和开放的这样子的一个命名管道,然后我们可以通过用户名密码,然后的话通过它开放的这样子的一个命名管道,来去进行临界好,然后通过这里建立的一个连接的话,我们可以去进行数据的一个交换,以及对。

以及实现对远程计算机的一个访问,然而这边的这种ipc这种零件啊,我们去前面也要给大家介绍对吧,像我们,直接的需要执行它需要轴的话,在这边的话就是它会显示了我们的系统的一个,共享的一个资源的一个呃链接。

然后的话他有这样子的一些默认共享,这些默认共享的话,主要的话就是我们的一个呃,计算机上面的一个磁盘对吧,然后它的一个主要的一个作用的话就是呃,用来就是方便管理员来去进行一个啊远程管理。

我们的这样子的一个计算机啊,好了,就是这个i p c i p c的话,它是一个远程的这样子的一个,i p c的一个零件,然后我们要去进行这样子的一个,共享的一个连接的话。

我们需要通过这样子的一个i p c,去建立这样的i p c的一个连接,然后的话才能够去访问这样子的一些,默认的一个共享,以及这样子来的min admin的话就是它的一个目的话,就是呃系统的一个安装录。

然后的话就是呃,我们去利用这样的一个i p c的一个呃,建立连接,建立共享连接的话有相应的一个条件呃,我这边列了这三个,第一个就是开放了139445的一个端口,就是他对该pc连接的话。

它是通过这样子的两个端口,去进行一个数据的一个传递的,以及去建立一个呃连接的一个通信,然后第二个的话就是要开启这样的ipc的一个,文件共享的一个服务,就是你需要去开启这个服务,如果这个服务被禁用的话。

那么你就无法去进行这样子的一个啊,共享的一个连接,然后第三的话就是你需要目标机械的一个,管理员的账号以及密码,就是呃再去进行一个ipc连接的话,也是需要呃,就只有管理员的一个用户,你才能够去进行去啊。

进行这样的ipc的一个连接,所以的话在这边的话,我们有一个前提,就是我们已经获得了目标机器的一个管理,员的账号以及密码,啊呃第三话就是常用的一些命令,就是呃利用这样子的一个i p c。

连接的一些常用的命令,首先第一个号就是建立连接,建立连接的话,我们通过net yels的样子个命令哦,那这样子接接我们的一个,接我们的一个远程主机的一个i p,就是在这边吗,这边的这个共享名对吧。

就是这个i p c,也就是我们去连接这样子一个远程ip c的,这个服务,然后的话干user后面的话接我们的一个用户名,注意的是要是管理员的一个用户名,以及接我们的一个密码密码的话。

用这样子的一个双引号做一个包裹,然后第二的话就是查看连接的一个情况,我们可以通过net 2来去查看,以及查看目标主机的一个时间,就是如果我们这边建立连接之后的话,我们可以通过net time来去查看。

远程机器上面的一个呃当前的一个时间,然后删除连接的话,就是net yj这样子的一个呃连接名啊,然后的话接我们的一个干d d l d l就是delay,delete,就是删除这样的一个共享的连接。

以及的话我们可以通过这样子一个共享链接,来去进行一个数据的一个传递,像比如说我们可以把我们本地的这样子的,一个程序,把它给复制到我们的一个远程的一个机器上面,的这样子的一个tp路下面是吧。

以及我们也可以从就通过copy这个命令啊,从远程的,通过这个copy命令啊,从远程的这个机器上面的c盘这个目录下面,把它的一个这个程序,把它copy到我们本地的一个目录下面去。

就是前面的话也有介绍嘛对吧,我们可以通过这个链接,就是建立了这个连接之后的话,我们可以用它来去进行一个数据的交换对吧,那么就可以去进行文件的一个传递对吧,以及的话可以去进行一个呃。

文件系统的一个访问对吧,就前面的话也有介绍,就是我们可以通过net o呃,就是经历了这样子的一个临界对吧,然后的话我们可以通过这个临界来去查看啊,我们的一个默认共享的这样子的一个资源。

对吧,嗯呃这边的话我们来具体的来看一下。

呃在这边的话就是。

在这边的话,其实就是我呃已经省略了前面的,很很多的一些步骤,就说我们在呃在讲这个之前的话,呃,我们一起来捋一下这样子的一个思路。

就是给大家捋清一下这样子的思路,就是大家可能就觉得呃,我这边讲这个横向移动对吧,这个横向移动它是处于一个什么样子的,一个阶段的,就说我们其实我们这个课程内容的话,它是呃我是按照这样子的一个。

就是我们的一个呃渗透测试的,一个基本的一个流程,来去进行一个呃内容的一个安排的,就是我们前面的一个内容的话,就是为我们后面的一个内容做一个铺垫对吧,好,我们前面的话,大家可以回想一下讲的哪些内容对吧。

我们有就是呃外网的一个信息收集对吧,信息收集以及额外网的一些突破口,然后的话通过这一个突破口来去进行一个呃,进入内网,然后的话建立相应的一个构建通道对吧,构建代理通道来去访问内网。

然后的话以及多层的一个代理,也就是一个纵向的一个渗透,也就是纵向移动对吧,就其实前面前面已经有介绍,就是说呃纵向的这样子的一个渗透,就是我们有多层的这样子的一个网站对吧。

然后的话我们一层一层的去建一个啊渗透移动,然后这句话横向移动的话,同样的就是说我们横向移动的一个横向移动的,这样子的一个阶段,是在我们已经得到了内网的一个权限,就说我们已经能够去访问内网,好的话。

我们能够去通过呃,访问内网的这样子的一个机器对吧,来去进行一个横向的一个移动,就说我们得到了能够去访问内网的那台机器,然后通过那一台机器来去进行一个呃,到他同一个网段的这样子的。

一个其他机器的这样子的一个权限对吧,这其实呃,怎么说呢,就其实我们在讲前面的一个构建带呃,构建通道的时候对吧,我们是有讲这样子的一个三层的一个网吧对吧,那么三层的一个网站,你每一个网站的话。

你不可能是只有你不可能是只有这样子的一个,只有啊前面把机所说的这样子的一个机器对吧,你的每一个网段,像比如说你一的这个网站,你不可能是只有一个机器存活的,你还有其他的这样的一个机器的一个存活啊。

那么同一个网段机器的话,我们的这样子的一个就是说呃大家再去,或者说你公司的这样子一个网络,你去划分网段的话,那么你这个网络的一个机器,你肯定是能够互相访问的对吧,那么这个网站机器人能够去互相访问的话。

那么呃它其实它是有,它是会有相应的这样的一些光明的对吧,就比如说你的一个web服务以及你的一个数据库,你都是在同一个网站对吧,那么你的一个数据库以及web服务的话,他们之间是要能够去互相访问的是吧。

那么在管理员去管理这样子的,两个机器的时候是吧,你可能的话就是他去登录,他会去登录这样子的一个机器,去进行一个一个管理对吧,那么他登录去机机器去管理的话,我们如果说正好拿到了这个机器,相。

比如说是通过一个外表机器的,通过外一个web机器,拿到了他这个机器的一个权限,然后的话管理员有去登录这样子的一个机器,以及它还有一个这样的一个数据库的,一个服务器是吧,它在同一个网段。

这个跟这个web机器它是在同一个网站啊,我们拿下这个web机器,我们就能够去访问这个数据库的一个机器对吧,然后能去访问到这个机器的话,我们如何去拿下这个机器呢,就是我们需要去去通过这样子的一个。

横向移动对吧,就是说它是在同一个网站,我们需要去横向的去扩展呃,横向的去利用其他的同一个网段的,这样的一些机器啊,那么在这样子的一个场景的话,我们可以去考虑一下,就是说呃你就是说你管理你去管理这个机器。

对你可能你密码它不是,它是同样子的一个密码对吧,就是说管理,因为他去管理多个机器,你不可能每个机器密码都不一样啊,都不一样对吧,但话呃可以这样子去实现对吧,但是其实像这种绕口令也还有的话。

就是说你的一个密码的话,就其实原本的话是没有这样子的一些问题的,对吧,其实有人的这样子的一个操作的话,就是会存在这样子的一些问题吧,因为你人的一个纪念的话是有限的,然后的话那么他就可能会存在这样的情况。

他webb机器它登录的一个管理的一个用户密码,对吧,他同样的也能够去登录这样子的一个数据库,的一个服务器,以及同一个网段的其他的某一些机器对吧。

那么我们拿下这个web机器的一个shell之后,我们就是去进行怎样的一些操作,前面已经有介绍了对吧,就是对它做一个信息收集,收集他收集他的一些详细的信息,以及的话,在这个主机上面。

我们需要去获取的一个一些内容对吧,像呃网络连接以及呃ip和敏感信息。

账号密码等等这些东西是吧,那么在这边的话呃,我在这边的话,就是省略了前面的这样子的一些东西啊,我这边直接就是因为前面的话已经有介绍,介绍了对吧,而这句话我就通过。

这边是我之前操作的,呃我这边的话是用的还是用的。

之前的这个绑架啊,首先这个的话就是一个web机器。

这话是另外的一个机器对吧,这样的话是预控啊。

我我这边的话通过相应的一个漏洞,拿下了这一台机器的一个线是吧,我这边的话就是我这边的这个操作。

就是处于这个阶段,就是我已经拿下了啊。

这个机器的一个希尔,这个计划就是这个,然后我这边的话通过,通过这个筛选三个啊,其他的这些筛选呢是我之前测试用的,这这些的话大家可以不用管啊,我当前的话是只拿到了这个筛选对吧。

这个筛选的话就是这个机器的一个shell,那么我在这边的话,我就,可以去进行参与的一些操作。

标签:网络安全,这个,一个,笔记,这边,的话,样子,合天,就是
From: https://www.cnblogs.com/apachecn/p/18439491

相关文章

  • 合天网络安全笔记-十七-
    合天网络安全笔记(十七)P81:第51天:域内横向移动-域认证及HASH传递攻击-网络安全就业推荐-BV1Zu411s79i大家晚上好啊,大家能听到我声音的,在讨论去扣个一,好的应该是没有什么问题啊,然后没有其他问题,没有什么问题的话,那我们正式开始我们今天的一个课程内容,而我我们今天的话主要给大......
  • 合天网络安全笔记-十八-
    合天网络安全笔记(十八)P84:第57天:域内权限维持-PPT黄金票据伪造-网络安全就业推荐-BV1Zu411s79i大家晚上能听到我声音,都在讨论区扣个一,应该今天能来的,应该都来的。好的应该是没有问题啊,应该是都能听得到的对吧。好那么正式开始我们今天的一个课程是吧,我们今天的话我给大家......
  • 合天网络安全笔记-二-
    合天网络安全笔记(二)P17:第15天:文件上传黑名单,白名单及数组绕过技巧-网络安全就业推荐-BV1Zu411s79i呃大家晚上好,我们先来测试一下呃,我麦的一个声音,大家能听到我声音的话,还还有声音,足够清楚的话,在讨论区这边扣个一,好的都应该都能听得到,然后的话还有大概四分钟的时间,和我们稍微......
  • 合天网络安全笔记-八-
    合天网络安全笔记(八)P49:第13天:SSH远程登录密码破解、Mysql数据库密码破解-网络安全就业推荐-BV1Zu411s79i八八的一个端口给我们执行一个info,info之后,我们也是可以执行的,刚刚我们看你们有一些同学啊,就是使用的一些其他的一些cd的一些命令,我们在这里呢,在这里面呢。并不是属于......
  • Redis小白学习笔记1
    目录这3篇文章是我在学习Redis的过程中,总结的笔记:第一篇Redis学习笔记1-理论篇1,Redis中的数据类型2,Redis的IO模型3,Redis的持久化4,Redis集群原理5,将Redis用作缓存第二篇Redis学习笔记2-性能篇6,Redis高性能的影响因素6.1,Redis内部的阻塞式操作......
  • CTF攻防世界小白刷题自学笔记9
    1.disabled_button,难度:1,方向:Web题目来源:Cyberpeace-n3k0题目描述:X老师今天上课讲了前端知识,然后给了大家一个不能按的按钮,小宁惊奇地发现这个按钮按不下去,到底怎么才能按下去呢?给一下题目链接:攻防世界Web方向新手模式第10题。打开题目场景一看果然有一个不能按的按钮,如图......
  • SpringBoot学习笔记(一)
    源码地址(含完整笔记):https://gitee.com/Mr-Sponge/spring-boot-study主要学习以下内容:SpringBoot入门了解知识(比如:各个注解是什么意思,SpringBoot是如何封装数据到容器的,等等)前后端是如何交互的SpringBoot中的拦截器原理HTML如何实现文件上传(能否实现一个限制上传的文件类型......
  • Task 笔记
    Task笔记 1.计时器类StopwatchStopwatchstopwatch=newStopwatch()stopwatch.Start();//开始计时stopwatch.Stop();//停止计时stopwatch.Reset();//重置计时时间stopwatch.Restart();//重新开始计时==Reset()+Start()2.Parallel类Parallel.Invoke(Run1,Run2,Run3......
  • 网络安全专业的就业前景如何?零基础入门网络安全(非常详细)看一篇就够了!
    前言在数字化时代,网络安全专业是一个热度很高的领域,备受争议与关注,也吸引了很多0基础小伙伴前来学习。但在学习网络安全之前,不少小伙伴会担心就业问题,那么网络安全专业的就业前景如何?一起来看看详细的内容介绍。综合情况来讲,网络安全专业就业前景非常不错,主要表现在:就业......
  • 网络安全工程师自学计划!零基础入门网络安全(非常详细)看一篇就够了!
    网络安全工程师需要学什么?零基础怎么从入门到精通,看这一篇就够了我发现关于网络安全的学习路线网上有非常多看似高大上却无任何参考意义的回答。大多数的路线都是给了一个大概的框架,告诉你那些东西要考,以及建议了一个学习顺序。但是这对于小白来说是远远不够的,有的可能还会......