mssql提权 2022-8-15 《Web安全深度剖析》阅读笔记-4.综合篇 第十四章 提权

返回

摘自《Web安全深度剖析》 张炳帅 著提权常常用于辅助旁注攻击。1.溢出提权-本地/远程（限制执行权限来防范）

利用系统本身或系统中软件的漏洞来获取root权限。分为远程溢出和本地溢出。

远程溢出，攻击者连接服务器mssql提权，根据系统漏洞或者软件组件漏洞（如：office），使用溢出程序，获取远程服务器的root权限，如MS-08067。

本地溢出，攻击者需要有一个有执行权限的服务器用户，通过上传本地溢出程序，在服务端执行。相对远程溢出，本地溢出成功率更高。

? Linux提权
- uname -a查看服务器内核版本，不同内核溢出程序不一样
- 本地接收服务器端数据，使用NC监听本地端口，nc -l -n -v -p 8888
- 服务器端Shell反弹
- 上传本地溢出Exp到服务器中执行，获取root权限
? Windows提权
- 探测脚本信息，观察服务器是否支持ASP、PHP、ASP.NET、JSP。不同环境使用不同脚本
- 执行简单的系统命令
? 本地软件溢出
- 360、IIS都爆出过提权漏洞

防范措施

? 限制命令执行权限，防止溢出提权程序执行
? 及时打补丁

2.第三方组件提权

攻击者通过服务器上安装的.NET framework、PcAnywhere、MySql、Sql Server等组件进行提权操作。

? 服务器支持的脚本语言
? 服务器端口
? 收集路径信息-可访问的目录、软件的安装路径等

? Sql Server：通过存储过程xp_cmdshell调用系统命令
- 例如：net user xx/add&net localgroup administrator x /add增加管理员账户
- 如果没有开启xp_cmdshell，管理员可以通过sp_configure开启
- 使用sqlserveragent、sp_oacreate、xp_regwrite也可以提权
- 注入点，通过工具注入，例如：Pangolin、SQLMap
? MySQL：使用用户自定义函数UDF做到类似xp_cmdshell效果
- 自动化软件，如SQLMap，可以对MySQL提权

? 当FTP权限未配置正确，或者权限过大，利用FTP软件可以执行系统命令提权
- 例如：quote site exec net user temp temp/add
- 第三方FTP软件，如：Serv-U、G6FTP、FileZilla、FlashFXP，可以被利用提权

? 利用“PCA.*.CIF”文件，*是建立了连接的用户名，这个文件保存着加密后的账户信息
? 攻击者下载CIF后，利用专门的密码破解软件获取密码

3.虚拟主机提权

星外、华众、新网、万网虚拟主机

4.提权辅助

提权有时候需要多种“手段”配合才能得到服务器的终端连接

? 使用复杂密码
? 改变端口
? 指定连接用户
? TCP/IP筛选

? 攻击者提权之后，利用端口转发工具把内网服务器映射到外网
? 转发工具：LCX、使用shell脚本、reDuh

? 在启动中执行BAT文件，增加管理员aaa
@ echo off
net user aaa 111111/ad
net localgroup administrators aaa/ad

? 远程控制程序
? 服务器管理账号后门
? 克隆账户
? 管理员账户密码
? 线程插入后门
? Web后门
攻击者最常用的手段就是劫持3389端口登录信息，或者抓取管理员账户HASH破解密码

5.服务器提权措施

? 如果不安装第三方软件，那么提权只能使用溢出、劫持、启动项等手段
? 做好目录安全，因为提权的前提是建立在目录可写、可执行权限之上
? 连接数据库要禁止“root”用户，用户权限按照最小权限原则分配
? 及时打补丁
? 关闭危险端口，例如：445、135等
? 删除system32下的敏感exe文件，如cmd.exe、net.exe、netl.exe等
? 删除不安全的组件，例如：WScript.Shell、Shell.application等

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!