滲透測試技術(shù)-教學(xué)課件 第五章權(quán)限提升

第五章權(quán)限提升權(quán)限控制是現(xiàn)代操作系統(tǒng)用來限制用戶訪問和操作范圍的機制，而權(quán)限提升則是攻擊者利用系統(tǒng)漏洞獲取更高權(quán)限的過程。在滲透測試中，測試人員可能會遇到權(quán)限不足的問題，因此獲取服務(wù)器主機權(quán)限并進行內(nèi)部網(wǎng)絡(luò)滲透非常重要。本章將詳細(xì)介紹權(quán)限提升的概念和方法，包括基礎(chǔ)知識、Windows系統(tǒng)提權(quán)、Linux系統(tǒng)提權(quán)等內(nèi)容。目錄CONTENTS01權(quán)限提升基礎(chǔ)02Windows系統(tǒng)提權(quán)03Linux系統(tǒng)提權(quán)權(quán)限提升基礎(chǔ)PART.01Windows權(quán)限在Windows環(huán)境中，權(quán)限主要可以劃分為4個級別：訪客賬戶（GuestAccount）、標(biāo)準(zhǔn)用戶（StandardUser）、管理員（Administrator）和系統(tǒng)權(quán)限（System）。Windows權(quán)限權(quán)限類型描述適用場景1、訪客賬戶權(quán)限僅提供基本訪問權(quán)限，無法修改系統(tǒng)設(shè)置或安裝軟件，適合短期或臨時使用短期訪問、臨時使用2、標(biāo)準(zhǔn)用戶權(quán)限可以訪問系統(tǒng)和軟件，完成大部分日常任務(wù)，但不能更改系統(tǒng)設(shè)置一般用戶日常使用3、管理員權(quán)限對整個系統(tǒng)有最高控制權(quán)限，包括創(chuàng)建、編輯、刪除用戶賬戶及分配權(quán)限系統(tǒng)維護、管理任務(wù)4、系統(tǒng)權(quán)限訪問敏感文件（如sam），通常需要從管理員權(quán)限提升到系統(tǒng)權(quán)限進行操作高級系統(tǒng)操作、敏感文件管理*注意：企業(yè)環(huán)境中可能還存在其他用戶類型，如領(lǐng)導(dǎo)、技術(shù)管理員等，這些用戶類型的權(quán)限與上述四種大致相同，但可能存在細(xì)微差異。系統(tǒng)管理員權(quán)限極高，應(yīng)謹(jǐn)慎使用，盡量避免以管理員身份登錄系統(tǒng)。Linux權(quán)限用戶類型UID范圍權(quán)限描述特殊說明超級管理員（root）0擁有極其廣泛的權(quán)限，能直接突破很多限制，包括對文件和程序的讀寫執(zhí)行權(quán)限系統(tǒng)用戶1～499主要用于運行系統(tǒng)服務(wù)，通常不用于登錄普通用戶500～65534權(quán)限受到基本限制和管理員約束特殊用戶nobody的UID為65534，權(quán)限進一步限制以確保系統(tǒng)安全性在Linux系統(tǒng)中，用戶大致可以被分為以下3類權(quán)限提升1.水平權(quán)限提升

2.垂直權(quán)限提升攻擊者試圖從較低權(quán)限提升至較高權(quán)限。例如，從普通用戶權(quán)限提升到管理員權(quán)限或系統(tǒng)權(quán)限，從而獲得對系統(tǒng)的全面控制。權(quán)限提升是指攻擊者利用操作系統(tǒng)中的安全漏洞或其他方法，突破原有限制，非法獲取更高的權(quán)限，從而對系統(tǒng)進行更深層次的控制。權(quán)限提升主要分為兩種類型：水平權(quán)限提升和垂直權(quán)限提升。

攻擊者試圖訪問具有與其同等權(quán)限的其他用戶資源。例如，攻擊者通過漏洞獲取某個在線銀行賬戶的訪問權(quán)限后，進一步利用系統(tǒng)漏洞獲取其他賬戶的訪問權(quán)限。權(quán)限提升方式權(quán)限提升方式描述示例關(guān)鍵點系統(tǒng)漏洞提權(quán)利用系統(tǒng)缺陷來提權(quán)。例如，利用漏洞或內(nèi)核版本漏洞提升權(quán)限Windows：MS08-067漏洞；Linux：2.6.18-194漏洞；需要技術(shù)知識，系統(tǒng)管理員需修復(fù)漏洞確保安全數(shù)據(jù)庫提權(quán)通過執(zhí)行特定的數(shù)據(jù)庫語句或函數(shù)提升服務(wù)器用戶權(quán)限SQLServer中的xp_cmdshell腳本（SQL2000默認(rèn)開啟，SQL2005及后續(xù)版本默認(rèn)禁用）攻擊者需先登錄數(shù)據(jù)庫，并利用數(shù)據(jù)庫漏洞進行提權(quán)Web提權(quán)在獲取WebShell后提高當(dāng)前用戶權(quán)限的行為滲透測試過程包括明確目標(biāo)、信息收集、滲透、獲取低權(quán)限、提升權(quán)限、植入后門。WebShell允許執(zhí)行與Web服務(wù)同等權(quán)限的命令

權(quán)限提升方式包括利用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞和Web漏洞來提升用戶權(quán)限，分別涉及系統(tǒng)漏洞利用、數(shù)據(jù)庫特定腳本執(zhí)行和WebShell命令權(quán)限提升。Windows系統(tǒng)提權(quán)PART.02系統(tǒng)內(nèi)核溢出漏洞提權(quán)1.系統(tǒng)內(nèi)核溢出漏洞提權(quán)以下是Windows系統(tǒng)提權(quán)的示例緩沖區(qū)溢出漏洞是程序執(zhí)行時出現(xiàn)的常見錯誤，它允許攻擊者修改內(nèi)存變量或劫持進程，執(zhí)行惡意代碼，從而控制主機。在Windows系統(tǒng)中，內(nèi)核溢出漏洞提權(quán)是一種常用的攻擊方式，成功利用該漏洞可以繞過系統(tǒng)安全限制，前提是目標(biāo)系統(tǒng)未安裝修復(fù)補丁。步驟一：手動查找系統(tǒng)潛在的漏洞步驟二：自動查找系統(tǒng)潛在的漏洞步驟三：選擇并利用漏洞以下是Windows系統(tǒng)提權(quán)的詳細(xì)過程1、手動查找系統(tǒng)潛在的漏洞在獲取目標(biāo)主機的普通用戶shell后，執(zhí)行以下命令，查看目標(biāo)系統(tǒng)安裝了哪些補丁。

systeminfo或

wmicqfegetcaption,description,hotfixid,installedon執(zhí)行后，可以看到目標(biāo)系統(tǒng)已經(jīng)安裝的補丁。攻擊者將通過未列出的補丁號，尋找相應(yīng)的提權(quán)EXP，如KiTrap0D和KB979682對應(yīng)、MS10-021和KB979683對應(yīng)等。使用目標(biāo)系統(tǒng)未安裝的補丁號對應(yīng)的EXP進行提權(quán)。2、自動查找系統(tǒng)潛在的漏洞WindowsExploitSuggester可以將系統(tǒng)中已經(jīng)安裝的補丁與微軟的漏洞數(shù)據(jù)庫進行比較，識別可能導(dǎo)致權(quán)限提升的漏洞，并且只需要給出目標(biāo)系統(tǒng)的信息。具體操作如下。（1）執(zhí)行以下命令，更新漏洞數(shù)據(jù)庫，更新后會生成一個擴展名為.xls的文件。

python2windows-exploit-suggester.py–update（更新漏洞數(shù)據(jù)庫）

以下是Windows系統(tǒng)提權(quán)的詳細(xì)過程2、自動查找系統(tǒng)潛在的漏洞（2）執(zhí)行以下命令，查看目標(biāo)系統(tǒng)信息，并保存為sysinfo.txt文件。

systeminfo>sysinfo.txt

（3）執(zhí)行以下命令，查看目標(biāo)系統(tǒng)是否存在可利用的提權(quán)漏洞。

python2windows-exploit-suggester.py-d2020-08-20-mssb.xls-isysinfo.txt

執(zhí)行命令后，結(jié)果將列出目標(biāo)系統(tǒng)存在的一系列漏洞以下是Windows系統(tǒng)提權(quán)的詳細(xì)過程2、自動查找系統(tǒng)潛在的漏洞方法二：local_exploit_suggester模塊

Metasploit內(nèi)置了一個功能強大的模塊local_exploit_suggester。這個模塊聚集了一系列可以用于提權(quán)的本地漏洞利用腳本，并根據(jù)系統(tǒng)架構(gòu)、運行的操作系統(tǒng)、會話類型及默認(rèn)的選項需求進行推薦。這極大地節(jié)省了尋找本地漏洞利用腳本的時間，方便攻擊者進行操作。使用以下命令，假設(shè)已經(jīng)獲取了目標(biāo)主機的一個會話。

（1）usepost/multi/recon/local_exploit_suggester（2）setsession1（3）exploit

這個模塊能夠快速識別并列出系統(tǒng)中可能被利用的漏洞，大大提升了效率。然而，需要注意的是，并非所有被列出的本地漏洞都可以利用。攻擊者需要對這些漏洞進行具體檢驗，確認(rèn)其是否真正適用于當(dāng)前的系統(tǒng)環(huán)境。以下是Windows系統(tǒng)提權(quán)的詳細(xì)過程3、選擇并利用漏洞查找目標(biāo)主機的補丁并確定存在漏洞后，就可以向目標(biāo)主機上傳并執(zhí)行本地溢出程序。如圖5-5所示，這里選擇的是CVE-2018-8120。

（選擇CVE-2018-8120）執(zhí)行本地溢出程序之前，用戶權(quán)限為“whoami”，執(zhí)行后變?yōu)椤皊ystem”。

（本地權(quán)限提升漏洞）

Windows系統(tǒng)配置錯誤漏洞提權(quán)在Windows系統(tǒng)中，如果無法利用系統(tǒng)內(nèi)核溢出漏洞進行提權(quán)，就可以嘗試?yán)孟到y(tǒng)中的配置錯誤漏洞進行提權(quán)。以下是一些常見的Windows系統(tǒng)配置錯誤漏洞提權(quán)方式的示例。1．TrustedServicePaths漏洞2．系統(tǒng)服務(wù)權(quán)限配置錯誤漏洞3．Metasploit中的service_permissions模塊4．計劃任務(wù)與AccessChk的使用5．AccessChk的使用6．自動安裝配置文件案例——Metasploit中的service_permissions模塊該漏洞提權(quán)在Metasploit中對應(yīng)的模塊為exploit/windows/local/service_permissions。

（service_permissions模塊的選項）該模塊有兩個可以設(shè)置的選項。其中，如果把AGGRESSIVE選項設(shè)為true，就可以利用目標(biāo)主機上每一個有該漏洞的服務(wù)；如果設(shè)置為false，在第一次提權(quán)成功后就會停止工作。

（提權(quán)結(jié)果）Linux系統(tǒng)提權(quán)PART.03SUID提權(quán)01設(shè)置SUID權(quán)限在了解SUID提權(quán)之前，簡單看一下如何設(shè)置SUID權(quán)限。

chmodu+sfilename#設(shè)置SUID位

chmodu-sfilename#去掉SUID設(shè)置

（1）執(zhí)行“l(fā)s-al”命令，查看文件權(quán)限。

（查看文件權(quán)限）

（2）執(zhí)行“chmodu+sbinexec”命令，賦予binexec權(quán)限

（賦予binexec權(quán)限）

可以看到binexec文件的權(quán)限描述符由-rwxr-xr-x變?yōu)?rwsr-xr-x，這表明該文件已經(jīng)獲取了SUID權(quán)限。SUID提權(quán)02SUID提權(quán)的方式攻擊者可以通過以下方式利用SUID權(quán)限進行提權(quán)攻擊：（1）利用已知的SUID文件：如`passwd`、`su`等，通過運行這些程序獲取root或高權(quán)限用戶權(quán)限。（2）利用自制的SUID可執(zhí)行文件：攻擊者創(chuàng)建并設(shè)置SUID權(quán)限的文件，執(zhí)行時以文件所有者身份運行。（3）利用軟件漏洞提權(quán)：通過普通用戶身份運行存在漏洞的軟件，利用漏洞實現(xiàn)提權(quán)。03防范及時更新系統(tǒng)和軟件，修補已知漏洞限制SUID權(quán)限，僅對必要程序賦予并嚴(yán)格審查限制關(guān)鍵文件和目錄的訪問，僅允許root用戶訪問使用安全軟件，監(jiān)控并攔截惡意行為啟用強密碼策略，防止遠(yuǎn)程登錄的口令猜測攻擊確保管理員密碼復(fù)雜，嚴(yán)格控制其使用范圍系統(tǒng)內(nèi)核漏洞提權(quán)

系統(tǒng)內(nèi)核漏洞是操作系統(tǒng)內(nèi)核中的安全缺陷，攻擊者可以利用這些漏洞提升權(quán)限、繞過安全措施、操控系統(tǒng)或獲取敏感信息。內(nèi)核漏洞的出現(xiàn)通常由于代碼錯誤或缺乏必要的安全檢查。常見的內(nèi)核漏洞類型包括：1.緩沖區(qū)溢出漏洞：攻擊者向系統(tǒng)緩沖區(qū)寫入超出空間的數(shù)據(jù)，覆蓋關(guān)鍵數(shù)據(jù)或代碼，執(zhí)行惡意操作。2.整數(shù)溢出漏洞：在內(nèi)存分配或數(shù)據(jù)傳輸計算中不當(dāng)使用整數(shù)，導(dǎo)致溢出，攻擊者利用此漏洞執(zhí)行非法操作或修改變量。3.權(quán)限提升漏洞：攻擊者利用系統(tǒng)漏洞將權(quán)限提升到更高級別，獲得更高權(quán)限以操控系統(tǒng)。4.邏輯錯誤漏洞：由于設(shè)計錯誤或代碼不嚴(yán)謹(jǐn)，攻擊者利用邏輯錯誤漏洞控制程序行為，繞過安全控制。

利用這些漏洞進行提權(quán)的方法包括：1.覆蓋或修改關(guān)鍵數(shù)據(jù)結(jié)構(gòu)：通過緩沖區(qū)溢出等方式修改系統(tǒng)進程信息或用戶權(quán)限，偽裝成管理員賬戶。2.修改或劫持系統(tǒng)調(diào)用表：覆蓋系統(tǒng)調(diào)用表，將系統(tǒng)調(diào)用指向惡意代碼，獲得更高權(quán)限。3.利用驅(qū)動程序漏洞：通過驅(qū)動程序漏洞獲取更高權(quán)限，可能開發(fā)特殊驅(qū)動程序造成邏輯錯誤。4.利用內(nèi)核模塊漏洞：利用內(nèi)核模塊漏洞，編寫并加載惡意內(nèi)核模塊，獲取更高權(quán)限和系統(tǒng)控制。計劃任務(wù)提權(quán)

計劃任務(wù)提權(quán)是攻擊者在攻擊目標(biāo)系統(tǒng)時，利用計劃任務(wù)的漏洞來獲取本地系統(tǒng)權(quán)限或進一步提升已經(jīng)獲取的權(quán)限的行為。計劃任務(wù)是Windows系統(tǒng)中非常重要的功能之一，它支持在特定的時