第133-134天:windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
第133-134天:windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
Yatming的博客
1、Web权限提升及转移
2、系统权限提升及转移
3、宿主权限提升及转移
4、域控权限提升及转移
1 | 简要点: |
演示案例-Web到Win-系统提权-人工操作
解决工具或插件无法实时更新,又或者面对的操作系统较高的情况下人工操作更适合
1 | 优点:解决实时更新不集成的EXP |
如果提权中无法执行命令的话,可以尝试上传本地cmd.exe到可读写目录再调用
在线查询
1 | 小迪视频中的网站已经打不开了 |
就是直接将systeminfo的信息粘贴就可以了:
第二个网站:
1 | https://tools.zjun.info/getmskb/ |
github上的项目:
1 | https://github.com/bitsadmin/wesng |
首先将systeminfo的信息保存到一个文本文档中:
1 | python wes.py systeminfo.txt --color |
然后你就要从里面找对应的漏洞编号的POC或者exp,然后自己去验证,一个一个实验,唯一可以快速的方式是经验。
EXP获取执行
KernelHub 针对常用溢出编号指定找EXP
1 | https://github.com/Ascotbe/Kernelhub |
上面的漏洞编号,可以从这个项目中进行查询。
这里会给出利用方式,如果没有利用方式,也会给出哪里可以找到利用方式。
Poc-in-Github 针对年份及编号指定找EXP
1 | https://github.com/nomi-sec/PoC-in-GitHub |
演示案例-Web到Win-系统提权-土豆家族
参考链接:
1 | https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w |
- 土豆(
potato)提权通常用在我们获取WEB/数据库权限的时候,可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。
自行搭建+Windows 2019(IIS+ASP.NET)-人工操作
首先上传一个asp的木马,模拟拿下webshell,然后上传土豆家族的exe
用一个土豆进行执行whoami的命令
1 | BadPotato.exe whoami |
用这个土豆运行cs.exe的后门,cs得到的权限就是system:
1 | BadPotato.exe cs.exe |
Test in:自行搭建+Windows 2022(IIS+ASP.NET)-人工操作
1 | 这里使用win2022,还是可以用BadPotato.exe提权成功 |
Test in:Windows 10/11(1809/21H2)
Win10
我的windows10全部不行,感觉是SeShutdownPrivilege的原因:
1 | whoami /priv |
提权发现了一个小盲点,就是现在windows在安装的时候,好像不能和以前一样可以设置administrator了,必须要创建一个新的用户,然后administrator用户禁用,如果你不是administrator用户,这个时候去提权,是提不了的,虽然你自己创建的用户等同于administrator,但是就是提权不了
Win11
1 | SweetPotato OK |
土豆家族项目地址
默认有些项目不是编译好的,需要自己编译成EXE文件。
GodPotato-自带exe
1 | 项目地址:https://github.com/BeichenDream/GodPotato |
RoguePotato-自带exe
1 | https://github.com/antonioCoco/RoguePotato |
PetitPotato-自带exe
1 | https://github.com/wh0amitz/PetitPotato |
JuicyPotatoNG-自带exe
1 | https://github.com/antonioCoco/JuicyPotatoNG |
PrintNotifyPotato-自带exe
1 | https://github.com/BeichenDream/PrintNotifyPotato |
BadPotato-需要自行编译成exe
1 | https://github.com/BeichenDream/BadPotato |
EfsPotato-需要自行编译成exe
1 | https://github.com/zcgonvh/EfsPotato |
CandyPotato-需要自行编译成exe
1 | https://github.com/klezVirus/CandyPotato |
RasmanPotato-需要自行编译成exe
1 | https://github.com/crisprss/RasmanPotato |
MultiPotato-需要自行编译成exe
1 | https://github.com/S3cur3Th1sSh1t/MultiPotato |
SweetPotato-需要自行编译成exe
1 | https://github.com/CCob/SweetPotato |
CoercedPotato需要自行编译成exe
1 | https://github.com/Prepouce/CoercedPotato |
权限提升-Windows权限提升篇&数据库篇&MYSQL&MSSQL&ORACLE&自动化项目
转载:https://blog.csdn.net/m0_60571842/article/details/136987336
1 | 数据库提权流程: |
利用数据库自动化提权项目进行连接
- MDUT-图形化
https://github.com/SafeGroceryStore/MDUT
- Sylas-图形化
https://github.com/Ryze-T/Sylas
- RequestTemplate-图形化(项目已经没了)
https://github.com/1n7erface/RequestTemplate
- Databasetools-命令行
https://github.com/Hel10-Web/Databasetools
利用数据库自动化提权项目时可能需要解决不支持外联问题
1 | -利用已知Web权限建立代理节点,然后自动化提权项目在连接这个代理节点(等同于本地连接) |
MYSQL(默认不支持不外联)
1 | GRANT ALL PRIVILEGES ON *.* TO '帐号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION; |
MSSQL(默认支持外联)
1 | EXEC sp_configure 'show advanced options', 1; |
Oracle(默认支持外联)
1 | ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE; |
演示案例-Web到Win-数据库提权-MYSQL(默认3306端口)
1 | MYSQL:PHP+MYSQL 以web入口提权 |
MDUT
RequestTemplate
演示案例-Web到Win-数据库提权-MSSQL(默认1433端口)
1 | MSSQL:.NET+MSSQL 以web入口提权 |
MDUT
RequestTemplate
演示案例-Web到Win-数据库提权-ORACLE(默认1521端口)
1 | Oracle:(站库分离,非JSP,直接数据库到系统等) |
oracleshell
https://github.com/jas502n/oracleShell
当然也可以使用其他数据库自动化提权项目
喜欢这篇文章的人也看了
评论
匿名评论隐私政策
✅ 你无需删除空行,直接评论以获取最佳展示效果
