提权方式及原理_脏牛提权原理

 「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作 《网络安全自学教程》，适合基础薄弱的同学系统化的学习网络安全，用最短的时间掌握最核心的技术。

通过getshell控制Web服务器后,通常权限很低,需要通过一些方式来提升权限

提权方式

1. 系统本地漏洞提权
2. 数据库提权
3. 第三方软件提权
4. 获取高权限的用户口令进行提权

 其中系统漏洞提权分为Windows系统漏洞提权和Linux脏牛提权,数据库提权有MySQL的UDF提权和MOF提权

Windows系统漏洞提权

使用systeminfo查看系统信息,根据系统安装的补丁反推存在的漏洞,然后上传对应版本的漏洞工具进行提权,执行系统命令

Linux脏牛漏洞提权

脏牛漏洞利用条件竞争,修改root账户信息,也就是强制覆盖/etc/passwd文件的第一行,同时对源文件进行了备份,其本质是利用线程并发引发的线程安全问题

使用uname -a查看内核信息,上传对应版本的脏牛工具,然后编译工具进行提权

MySQL的UDF提权

UDF是mysql的一个接口,用来创建自定义函数(包括系统命令),但需要dll(程序扩展文件)作为udf的执行库

使用UDF提权有两个前提:

1. mysql服务以管理员身份运行
2. mysql开启远程连接和文件读写功能,并且知道mysql的账号跟密码

将准备好的dll文件上传到MySQL的plugin目录下,然后利用dll文件创建执行系统命令的函数,就能执行任意系统命令了

MySQL的MOF提权

MOF是Windows系统的一个文件(c:/Windows/system32/wbem/mof/nullevt.mof),用来监控进程的创建和死亡,每隔5秒就会以system权限执行一次,攻击者将构造好的mof文件上传到mof目录下,就能执行任意命令

MOF提权的条件非常苛刻

1. 需要Windows2008以下的版本
2. 运行MySQL的用户必须是system
3. MySQL必须开启远程连接和文件读写功能
4. 还要知道MySQL的账号和密码

因此适用的场景并不多

第三方软件提权

FileZilla分为客户端和服务端,客户端使用21端口,服务端使用14147端口,并且只允许本地连接
攻击者利用端口转发,将14147端口映射到其他端口,并使用客户端连接,就可以实现上传和下载等操作,比如将恶意文件写入开机启动项,从而实现提权