黑客是這樣提權的，學會成大牛技术頭條網

2020-02-20 16:39:33 安界

1、提權的方法很多，不同的方法用於不同的環境，以至於效果也是不一樣的

下面我來舉幾個我們常用的提權方法

我們拿到一個webshell，一般來說通過這個web，拿到這個webshell，發現這個機器是在內網當中，在滲透的過程中，沒有辦法進行一個遠程溢出漏洞利用(遠程代碼執行)，我們就可以嘗試把端口轉發出來，進行一個遠程溢出的操作，溢出的話和命令執行也是最快拿到權限的一種方法，如果有這種漏洞存在，我們第一時間可以進行一方面的利用，下面三種漏洞。我都是我們常見的遠程溢出漏洞

1)、第三方高權限應用提權

又或者說，如果沒有遠程溢出漏洞。我們可以看一下服務器文件存放的密碼，也就是對方的機器是否有存放機器的密碼，這個密碼也是很重要的，Windows下查找特定

還有就是第三方的一個高權限應用提權，比如說mysql、microsoft sql server、oracle，如果這這些數據庫的賬號是系統高權限或者說賬號密碼洩露並且賬戶是屬於管理員權限的話，我們就可以直接提權，而且第三方的環境比較多，要根據對方環境的情況來進行一個提權的操作。

Mysql提權方法：

提權條件：獲取數據庫最高用戶的密碼

獲取密碼的方法

1、查看網站的數據庫配置文件（conn，sql，data，include，config，inc等關鍵字）

2查看mysql數據庫下的data目錄對應的數據

3暴力破解指定用戶的密碼

我們的話，第一種方法比較靠譜，我們拿到webshell之後，我們就可以這樣去查看

我們可以利用第一個方法來進行讀取，讀取相關關鍵字的文件去讀取，但是有些它只是普通用戶的數據庫密碼，那也就是說，我們查看的配置文件，也只是普通用戶的密碼，那也不滿足我們最高權限的條件，

下載數據庫文件進去讀取

表的結構還是列名的結構，都是一一對應的

由於mysql數據庫賬戶密碼是存儲在數據庫下的mysql數據庫名下的user表裡，user.MYD這個文件下載打開獲取加密的密碼即可

通過目錄獲取mysql的快捷方法

獲取快捷方式，我們可以知道他的這個按照路徑的，打開這個mysql目錄，點擊進去

然後這裡有一個快捷方式的地址，我們把它下載下來

然後我們把它的格式改為lnk格式，也就是快捷格式

然再打開，就可以獲取到這個mysql的安裝路徑 .然後用大馬跳到指定的路徑去查看

然後就可以看到他這個myd文件，如果是下載不下來的話，我們用菜刀下載，因為菜刀可以下載下來

編輯該文件就可以看到root賬號密碼就在這裡了我們把星號和後門的密文去解密

啟動項提權

我們Windows主機重啟的時候會加載一些文件，加載一些啟動項，如果你的文件存在這個路徑下面，你的文件重啟之後就會加載這個路徑裡面的文件，那麼這個root用戶是可以進行這個文件導出的，它就可以把一個添加用戶，把後門呢放到這個啟動項裡面去

我們執行sql命令，而load_file的sever.exe是我們放入進去的提權馬

機器重啟後，它的這個啟動項有了這個馬

2)、本地溢出

跟這個第三方高權限提權就是本地溢出了，也就是說你可以選擇溢出，也可以選擇高權限的利用，一開始如果嘗試了前兩種方法，如果不行的話，我們就看本地溢出，本地溢出也是一樣，那我們就可以嘗試一下第三方高權限利用

3)、系統錯誤配置

它這個系統錯誤配置，不能說它錯，算是不當的一個系統配置，比如說這個Windows和Apache默認是一個管理員權限啟動，它默認把你的腳本文件放到Apache解析目錄下，那它就是一個管理員權限，當然系統錯誤配置不止這一個。

1、 exploit集合尋找下載

提權的時候，最怕發現有一個提權漏洞未打上補丁，手頭上卻沒有可以利用的exploit，但除了0day外，微軟已公佈的漏洞一般不久就會在github上面出現exploit，還有就是關注一下國外的大牛安全研究員，他們社會壓力小，有更多的時間研究這些並且發佈除了，還有可能會出現國內的安全論壇，但是比較少了，更多的是國外的安全研究者發佈。

比如說我這裡要用到cve-2018-8120的exploit去提權，我們就用谷歌去搜索

那麼結果它這裡就可以看見搜索出了一個github的地址，並且帶有exploit