渗透测试技术-教学课件 第五章权限提升

第五章权限提升权限控制是现代操作系统用来限制用户访问和操作范围的机制，而权限提升则是攻击者利用系统漏洞获取更高权限的过程。在渗透测试中，测试人员可能会遇到权限不足的问题，因此获取服务器主机权限并进行内部网络渗透非常重要。本章将详细介绍权限提升的概念和方法，包括基础知识、Windows系统提权、Linux系统提权等内容。目录CONTENTS01权限提升基础02Windows系统提权03Linux系统提权权限提升基础PART.01Windows权限在Windows环境中，权限主要可以划分为4个级别：访客账户（GuestAccount）、标准用户（StandardUser）、管理员（Administrator）和系统权限（System）。Windows权限权限类型描述适用场景1、访客账户权限仅提供基本访问权限，无法修改系统设置或安装软件，适合短期或临时使用短期访问、临时使用2、标准用户权限可以访问系统和软件，完成大部分日常任务，但不能更改系统设置一般用户日常使用3、管理员权限对整个系统有最高控制权限，包括创建、编辑、删除用户账户及分配权限系统维护、管理任务4、系统权限访问敏感文件（如sam），通常需要从管理员权限提升到系统权限进行操作高级系统操作、敏感文件管理*注意：企业环境中可能还存在其他用户类型，如领导、技术管理员等，这些用户类型的权限与上述四种大致相同，但可能存在细微差异。系统管理员权限极高，应谨慎使用，尽量避免以管理员身份登录系统。Linux权限用户类型UID范围权限描述特殊说明超级管理员（root）0拥有极其广泛的权限，能直接突破很多限制，包括对文件和程序的读写执行权限系统用户1～499主要用于运行系统服务，通常不用于登录普通用户500～65534权限受到基本限制和管理员约束特殊用户nobody的UID为65534，权限进一步限制以确保系统安全性在Linux系统中，用户大致可以被分为以下3类权限提升1.水平权限提升

2.垂直权限提升攻击者试图从较低权限提升至较高权限。例如，从普通用户权限提升到管理员权限或系统权限，从而获得对系统的全面控制。权限提升是指攻击者利用操作系统中的安全漏洞或其他方法，突破原有限制，非法获取更高的权限，从而对系统进行更深层次的控制。权限提升主要分为两种类型：水平权限提升和垂直权限提升。

攻击者试图访问具有与其同等权限的其他用户资源。例如，攻击者通过漏洞获取某个在线银行账户的访问权限后，进一步利用系统漏洞获取其他账户的访问权限。权限提升方式权限提升方式描述示例关键点系统漏洞提权利用系统缺陷来提权。例如，利用漏洞或内核版本漏洞提升权限Windows：MS08-067漏洞；Linux：2.6.18-194漏洞；需要技术知识，系统管理员需修复漏洞确保安全数据库提权通过执行特定的数据库语句或函数提升服务器用户权限SQLServer中的xp_cmdshell脚本（SQL2000默认开启，SQL2005及后续版本默认禁用）攻击者需先登录数据库，并利用数据库漏洞进行提权Web提权在获取WebShell后提高当前用户权限的行为渗透测试过程包括明确目标、信息收集、渗透、获取低权限、提升权限、植入后门。WebShell允许执行与Web服务同等权限的命令

权限提升方式包括利用系统漏洞、数据库漏洞和Web漏洞来提升用户权限，分别涉及系统漏洞利用、数据库特定脚本执行和WebShell命令权限提升。Windows系统提权PART.02系统内核溢出漏洞提权1.系统内核溢出漏洞提权以下是Windows系统提权的示例缓冲区溢出漏洞是程序执行时出现的常见错误，它允许攻击者修改内存变量或劫持进程，执行恶意代码，从而控制主机。在Windows系统中，内核溢出漏洞提权是一种常用的攻击方式，成功利用该漏洞可以绕过系统安全限制，前提是目标系统未安装修复补丁。步骤一：手动查找系统潜在的漏洞步骤二：自动查找系统潜在的漏洞步骤三：选择并利用漏洞以下是Windows系统提权的详细过程1、手动查找系统潜在的漏洞在获取目标主机的普通用户shell后，执行以下命令，查看目标系统安装了哪些补丁。

systeminfo或

wmicqfegetcaption,description,hotfixid,installedon执行后，可以看到目标系统已经安装的补丁。攻击者将通过未列出的补丁号，寻找相应的提权EXP，如KiTrap0D和KB979682对应、MS10-021和KB979683对应等。使用目标系统未安装的补丁号对应的EXP进行提权。2、自动查找系统潜在的漏洞WindowsExploitSuggester可以将系统中已经安装的补丁与微软的漏洞数据库进行比较，识别可能导致权限提升的漏洞，并且只需要给出目标系统的信息。具体操作如下。（1）执行以下命令，更新漏洞数据库，更新后会生成一个扩展名为.xls的文件。

python2windows-exploit-suggester.py–update（更新漏洞数据库）

以下是Windows系统提权的详细过程2、自动查找系统潜在的漏洞（2）执行以下命令，查看目标系统信息，并保存为sysinfo.txt文件。

systeminfo>sysinfo.txt

（3）执行以下命令，查看目标系统是否存在可利用的提权漏洞。

python2windows-exploit-suggester.py-d2020-08-20-mssb.xls-isysinfo.txt

执行命令后，结果将列出目标系统存在的一系列漏洞以下是Windows系统提权的详细过程2、自动查找系统潜在的漏洞方法二：local_exploit_suggester模块

Metasploit内置了一个功能强大的模块local_exploit_suggester。这个模块聚集了一系列可以用于提权的本地漏洞利用脚本，并根据系统架构、运行的操作系统、会话类型及默认的选项需求进行推荐。这极大地节省了寻找本地漏洞利用脚本的时间，方便攻击者进行操作。使用以下命令，假设已经获取了目标主机的一个会话。

（1）usepost/multi/recon/local_exploit_suggester（2）setsession1（3）exploit

这个模块能够快速识别并列出系统中可能被利用的漏洞，大大提升了效率。然而，需要注意的是，并非所有被列出的本地漏洞都可以利用。攻击者需要对这些漏洞进行具体检验，确认其是否真正适用于当前的系统环境。以下是Windows系统提权的详细过程3、选择并利用漏洞查找目标主机的补丁并确定存在漏洞后，就可以向目标主机上传并执行本地溢出程序。如图5-5所示，这里选择的是CVE-2018-8120。

（选择CVE-2018-8120）执行本地溢出程序之前，用户权限为“whoami”，执行后变为“system”。

（本地权限提升漏洞）

Windows系统配置错误漏洞提权在Windows系统中，如果无法利用系统内核溢出漏洞进行提权，就可以尝试利用系统中的配置错误漏洞进行提权。以下是一些常见的Windows系统配置错误漏洞提权方式的示例。1．TrustedServicePaths漏洞2．系统服务权限配置错误漏洞3．Metasploit中的service_permissions模块4．计划任务与AccessChk的使用5．AccessChk的使用6．自动安装配置文件案例——Metasploit中的service_permissions模块该漏洞提权在Metasploit中对应的模块为exploit/windows/local/service_permissions。

（service_permissions模块的选项）该模块有两个可以设置的选项。其中，如果把AGGRESSIVE选项设为true，就可以利用目标主机上每一个有该漏洞的服务；如果设置为false，在第一次提权成功后就会停止工作。

（提权结果）Linux系统提权PART.03SUID提权01设置SUID权限在了解SUID提权之前，简单看一下如何设置SUID权限。

chmodu+sfilename#设置SUID位

chmodu-sfilename#去掉SUID设置

（1）执行“ls-al”命令，查看文件权限。

（查看文件权限）

（2）执行“chmodu+sbinexec”命令，赋予binexec权限

（赋予binexec权限）

可以看到binexec文件的权限描述符由-rwxr-xr-x变为-rwsr-xr-x，这表明该文件已经获取了SUID权限。SUID提权02SUID提权的方式攻击者可以通过以下方式利用SUID权限进行提权攻击：（1）利用已知的SUID文件：如`passwd`、`su`等，通过运行这些程序获取root或高权限用户权限。（2）利用自制的SUID可执行文件：攻击者创建并设置SUID权限的文件，执行时以文件所有者身份运行。（3）利用软件漏洞提权：通过普通用户身份运行存在漏洞的软件，利用漏洞实现提权。03防范及时更新系统和软件，修补已知漏洞限制SUID权限，仅对必要程序赋予并严格审查限制关键文件和目录的访问，仅允许root用户访问使用安全软件，监控并拦截恶意行为启用强密码策略，防止远程登录的口令猜测攻击确保管理员密码复杂，严格控制其使用范围系统内核漏洞提权

系统内核漏洞是操作系统内核中的安全缺陷，攻击者可以利用这些漏洞提升权限、绕过安全措施、操控系统或获取敏感信息。内核漏洞的出现通常由于代码错误或缺乏必要的安全检查。常见的内核漏洞类型包括：1.缓冲区溢出漏洞：攻击者向系统缓冲区写入超出空间的数据，覆盖关键数据或代码，执行恶意操作。2.整数溢出漏洞：在内存分配或数据传输计算中不当使用整数，导致溢出，攻击者利用此漏洞执行非法操作或修改变量。3.权限提升漏洞：攻击者利用系统漏洞将权限提升到更高级别，获得更高权限以操控系统。4.逻辑错误漏洞：由于设计错误或代码不严谨，攻击者利用逻辑错误漏洞控制程序行为，绕过安全控制。

利用这些漏洞进行提权的方法包括：1.覆盖或修改关键数据结构：通过缓冲区溢出等方式修改系统进程信息或用户权限，伪装成管理员账户。2.修改或劫持系统调用表：覆盖系统调用表，将系统调用指向恶意代码，获得更高权限。3.利用驱动程序漏洞：通过驱动程序漏洞获取更高权限，可能开发特殊驱动程序造成逻辑错误。4.利用内核模块漏洞：利用内核模块漏洞，编写并加载恶意内核模块，获取更高权限和系统控制。计划任务提权

计划任务提权是攻击者在攻击目标系统时，利用计划任务的漏洞来获取本地系统权限或进一步提升已经获取的权限的行为。计划任务是Windows系统中非常重要的功能之一，它支持在特定的时