网络安全-Day48-Linux提权

Linux反弹提权

1、vim编辑一下监听端口

2、重启apache（/etc/init.d/apache2 start）

3、访问http://192.168.31.198:8080/index.html

4、上传shell到cd /var/www/html目录（上传命令rz）

5、访问hao.php木马文件

6、设置nc.exe监听（nc.exe -l -n -v -p 12666）

7、设置本机ip，并反弹shell

linux 脏牛提权

1、新增账号并修改密码（123/123456）

    1.1、useradd -m guan #新建用户guan

    1.2、passwd guan #为用户guan设置密码

2、把用户切换到guan（su guan）

注意：#号代码管理员权限，$符号代表普通权限

3、查询当前用户（whoami）

3、cd到tmp目录，上传脏牛（命令：cd /tmp、rz）

4、利用gcc编译dirty.c文件（gcc -pthread dirty.c -o dirty -lcrypt ）

5、执行dirty并设置新密码123456(./dirty)

6、切换到firefart账户（su firefart），查看当前账户权限（cat /etc/passwd）

查看发行版本与内核版本命令是什么，分别代表什么含义

Linux内核版本号由3组数字组成：

1、第一个组数字：目前发布的内核主版本

2、第二个组数字：偶数表示稳定版本；奇数表示开发中版本

3、第三个组数字：错误修补的次数。

查询版本命令如下：

1、查看发行版本（cat /etc/issue）

2、查看发行版本（cat /etc/*-release）

3、查询内核版本（uname -a）

4.6.4：内核版本是4，6为稳定版本，修补4次

Windows与linux提权思路

windows提权思路：

1、能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:windowstempcookiesnet1、exe user

2、当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit、asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。

3、cmd拒绝访问的话就自己上传一个cmd、exe 自己上传的后缀是不限制后缀的，cmd、exe/cmd、com/cmd、txt 都可以。

4、cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6、0提权。

6、c:windowstempcookies 这个目录

7、找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便!

8、cmd执行exp没回显的解决方法：com路径那里输入exp路径C:RECYCLERpr、exe，命令那里清空(包括/c )输入”net user jianmei daxia /add”

9、增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit、asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。

10、有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7、exe就可以了，之后到网站去解密即可。

11、有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令 tasklist 查看进程

12、其实星外提权只要一个可执行的文件即可，先运行一遍cmd，之后把星外ee、exe命名为log、csv 就可以执行了。

13、用wt、asp扫出来的目录，其中红色的文件可以替换成exp，执行命令时cmd那里输入替换的文件路径，下面清空双引号加增加用户的命令。

14、提权很无奈的时候，可以试试TV远控，通杀内外网，穿透防火墙，很强大的。

15、当可读可写目录存在空格的时候，会出现这样的情况：’Cocuments’ 不是内部或外部命令，也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互shell切换到exp路径，如：Cd Cocuments and SettingsAll UsersApplication DataMicrosoft 目录然后再执行exp或者cmd，就不会存在上面的情况了，aspshell一般是无法跳转目录的～

16、有时候可以添加用户，但是添加不到管理组，有可能是administrators改名了，net user administrator 看下本地组成员，*administrators

17、进入服务器，可以继续内网渗透 这个时候可以尝试打开路由器 默认帐号密码 admin admin

18、有的cmd执行很变态，asp马里，cmd路径填上面，下面填：”"c:xxxexp、exe “whoami” 记得前面加两个双引号，不行后面也两个，不行就把exp的路径放在cmd那里，下面不变。

19、一般增加不上用户，或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里，用“直接使服务器蓝屏重启的东东”这个工具可以实现，

20、执行PwDump7、exe抓哈希值的时候，建议重定向结果到保存为1、txt /c c:windowstempcookiesPwDump7、exe >1、txt

21、菜刀执行的技巧，上传cmd到可执行目录，右击cmd 虚拟终端，help 然后setp c:windowstempcmd、exe 设置终端路径为：c:windowstempcmd、exe

22、当不支持aspx，或是支持但跨不了目录的时候，可以上传一个读iis的vps，执行命令列出所有网站目录，找到主站的目录就可以跨过去了。

linux提权思路：

1、反弹shell

2、脏牛提权