关于提权我们要想到这三个问题：1  什么是提权?

2  怎么样提权？

3  提权后的事...

提  权：通过各种办法和漏洞，提高自己在服务器中的权限，以便控制全局。

Windows：

User    >>  System

Linux：

User    >>  Root

我们可以通过：

系统漏洞提权（Linux、Win）

数据库提权

系统配置错误提权

权限继承类提权

第三方软件/服务提权

获取高权限账号提权

WebSevrver漏洞提权

0x01  系统漏洞提权系统漏洞提权一般就是利用系统自身缺陷，使用shellcode来提升权限。为了使用方便，windows和linux系统均有提权用的可执行文件。

Windows的提权exp一般格式为MS08067.exe；

Linux的提权exp一般格式为2.6.18-194或2.6.18.c

Windows提权

Windows系统漏洞微软的漏洞编号命名格式为：MS08067

MS  Micosoft的缩写，固定格式；

08  表示年份，即2008年发布的漏洞；

067 表示顺序，即当年度发布的第67个漏洞。

提权exp使用方法：

使exp执行即可，一般情况下是使用cmd.exe来执行。在日常渗透测试过程中，我们常常会先是拿到webshell再进行提权。所以提权脚本也常常会被在webshell中运行使用。

那么我们如何知道使用哪个exp来提权呢？

使用systeminfo命令或者查看补丁目录，查看补丁记录，来判断有哪个补丁没打，然后使用相对应的exp进行提权。

KB2645640 MS12-009

KB2641653 MS12-018

KB952004  MS09-012 Pr.exe

KB956572  MS09-012 巴西烤肉

KB971657  MS09-041

KB2620712 MS11-097

KB2393802 MS11-011 ms11011.exe

KB942831  MS08-005

KB2503665 MS11-046 ms11046.exe

KB2592799 MS11-080 ms11080.exe

实例说明：

1.本地提权使用cmd执行

2.使用webshell来执行。

一般的过程是：

1.先找可写目录。

2.上传cmd.exe、提权exp等工具。

3.使用exp进行提权，加账号等操作。

TIPs：

1.渗透过程中经常会遇到管理员禁止了cmd.exe的使用，我们该怎么办？进止了exe文件的上传怎么办？

2.管理员禁止了一些脚本函数的运行，看不到回显怎么办？

3.在使用webshell提权的时候要特别注意：

asp的webshell要支持：

wscript(wscript.shell/shell.application)

aspx能调用.net组件来执行cmd的命令

/c whoami

Linux系统提权Linux系统漏洞的exp一般按照内核版本来命名：2.6.18-194或2.6.18.c

形如2.6.18-194，可以直接执行；

形如2.6.18.c，需要编译后运行，提权。

当然也有少部分exp是按照发行版版本命名。

提权exp使用方法：使exp执行即可，一般情况下linux的本地提权要用nc反弹出来，因为Linux下提升权限后得到的是交互式shell，需反弹才能进行下一步命令的执行。

那么我们如何知道使用哪个exp来提权呢？使用uname -a命令或者cat /proc/version，来判断系统的内核情况等等，然后使用相对应的exp进行提权。

TIPs：1.提权过程中需要为你的提权exp赋权，chmod。

2.linux服务器很多情况下管理员会设置目录权限，我们无法修改，但是一般/tmp/目录不会被设置权限，这根windows下的tmp和回收站是一个道理。

0x02 数据库提权

数据库提权：

利用执行数据库语句、利用数据库函数等方式提升服务器用户的权限。

首先我们要先有能力登入数库，

所以通常我们拿到webshell之后要去网站目录去找数据库连接文件，

常在形如xxx.conf或conf.xxx文件中。

例如：Discuz的数据库信息就在：

config/config_global_default.php中

Mysql提  权

一般是使用自定义函数提权或mof提权Mssql的提权一般是调用xp_cmdshell函数来提权。

UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码，通常是用C（或C++）写的。

通过添加新函数，性质就象使用本地MYSQL函数abs()或concat()。当你需要扩展MYSQL服务器功能时，UDF通常是最好的选择。

同时，UDF也是黑客们在拥有低权限mysql账号时比较好用的一种提权方法。

适用场景：

1、目标主机系统是Windows（Win2000、XP、Win2003）。

2、拥有该主机mysql中的某个用户账号，该账号需要有对mysql的insert和delete权限。

最好mysql是默认启动的权限（system）

使用方法：

1、获取当前mysql的一个数据库连接信息，通常包含地址、端口、账号、密码、库名等五个信息。

2、把udf专用的webshell传到服务器上，访问并进行数据库连接。

3、连接成功后，导出DLL文件。Mysql<5.0，导出路径随意;

5.0<=mysql<5.1，则需要导出至目标服务器的系统目录（如：system32），否则在下一步操作中你会看到“No paths allowed for shared  library”错误;

mysql>5.1，需要导出dll到插件路径，例如：

D:\Program Files\MySQL\MySQL Server 5.1.3\lib\plugin

若mysql>=5.0，语句中的DLL不允许带全路径，如果在第二步中已

将DLL导出到系统目录，那么你就可以省略路径而使命令正常执行，

否则将会看到”Can’t open shared library“错误。

如果提示“Function ‘cmdshell’ already exists”，则输入下列语句

可以解决：

drop function cmdshell;

4、使用SQL语句创建自定义函数。语法如下：Create Function 函数名 returns string soname '导出的DLL路径';

e.g:

Create Function cmdshell returns string soname 'udf.dll';

功能函数说明：

cmdshell 执行cmd;

downloader 下载者,到网上下载指定文件并保存到指定目录;

open3389 通用开3389终端服务,可指定端口(不改端口无需重启);

backshell 反弹Shell;

ProcessView 枚举系统进程;

KillProcess 终止指定进程;

regread 读注册表;

regwrite 写注册表;

shut 关机,注销,重启;

about 说明与帮助函数;

5、创建函数成功后，就可以通过sql语句调用它了。

语法如下：

select 创建的函数名 ('参数列表');

e.g:

select cmdshell("net user nsfocus Nsf0cus /add");

创建一个用户nsfocus，密码为Nsf0cus

复制代码

6、函数使用完后，我们需要把之前生成的DLL和

创建的函数删除掉，但要注意次序，必须先删除函

数再删除DLL。删除函数的语法如下：

drop function 创建的函数名;

e.g:

drop function cmdshell;

复制代码

Mssql提  权

利用扩展存储过程来执行系统命令，达到是自己权限提升的目的。

适用场景：

1、Mssql的服务没有降权,是以默认服务继承的权限来运行的

2、拥有该主机Mssql中的sa账号和密码

关于数据库账号/密码的寻找：

类似于Mysql账号的寻找方式，一般先寻找网站目录下的配置文件，如：conn.asp/web.config    有了账号密码等连接信息，我们就可以利用webshell连接数据库了

server=localhost;UID=sa

WD=sa;database=Northwind

rovider=SQLOLEDB

Exec master.dbo.xp_cmdshell 'whoami'

END

关于其他的提权方法，我会下次发出来！

作者：i春秋论坛

链接：http://www.jianshu.com/p/271312b96170

來源：简书

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。