滲透測(cè)試技術(shù)-教學(xué)課件 第五章權(quán)限提升

第五章權(quán)限提升權(quán)限控制是現(xiàn)代操作系統(tǒng)用來(lái)限制用戶(hù)訪問(wèn)和操作范圍的機(jī)制，而權(quán)限提升則是攻擊者利用系統(tǒng)漏洞獲取更高權(quán)限的過(guò)程。在滲透測(cè)試中，測(cè)試人員可能會(huì)遇到權(quán)限不足的問(wèn)題，因此獲取服務(wù)器主機(jī)權(quán)限并進(jìn)行內(nèi)部網(wǎng)絡(luò)滲透非常重要。本章將詳細(xì)介紹權(quán)限提升的概念和方法，包括基礎(chǔ)知識(shí)、Windows系統(tǒng)提權(quán)、Linux系統(tǒng)提權(quán)等內(nèi)容。目錄CONTENTS01權(quán)限提升基礎(chǔ)02Windows系統(tǒng)提權(quán)03Linux系統(tǒng)提權(quán)權(quán)限提升基礎(chǔ)PART.01Windows權(quán)限在Windows環(huán)境中，權(quán)限主要可以劃分為4個(gè)級(jí)別：訪客賬戶(hù)（GuestAccount）、標(biāo)準(zhǔn)用戶(hù)（StandardUser）、管理員（Administrator）和系統(tǒng)權(quán)限（System）。Windows權(quán)限權(quán)限類(lèi)型描述適用場(chǎng)景1、訪客賬戶(hù)權(quán)限僅提供基本訪問(wèn)權(quán)限，無(wú)法修改系統(tǒng)設(shè)置或安裝軟件，適合短期或臨時(shí)使用短期訪問(wèn)、臨時(shí)使用2、標(biāo)準(zhǔn)用戶(hù)權(quán)限可以訪問(wèn)系統(tǒng)和軟件，完成大部分日常任務(wù)，但不能更改系統(tǒng)設(shè)置一般用戶(hù)日常使用3、管理員權(quán)限對(duì)整個(gè)系統(tǒng)有最高控制權(quán)限，包括創(chuàng)建、編輯、刪除用戶(hù)賬戶(hù)及分配權(quán)限系統(tǒng)維護(hù)、管理任務(wù)4、系統(tǒng)權(quán)限訪問(wèn)敏感文件（如sam），通常需要從管理員權(quán)限提升到系統(tǒng)權(quán)限進(jìn)行操作高級(jí)系統(tǒng)操作、敏感文件管理*注意：企業(yè)環(huán)境中可能還存在其他用戶(hù)類(lèi)型，如領(lǐng)導(dǎo)、技術(shù)管理員等，這些用戶(hù)類(lèi)型的權(quán)限與上述四種大致相同，但可能存在細(xì)微差異。系統(tǒng)管理員權(quán)限極高，應(yīng)謹(jǐn)慎使用，盡量避免以管理員身份登錄系統(tǒng)。Linux權(quán)限用戶(hù)類(lèi)型UID范圍權(quán)限描述特殊說(shuō)明超級(jí)管理員（root）0擁有極其廣泛的權(quán)限，能直接突破很多限制，包括對(duì)文件和程序的讀寫(xiě)執(zhí)行權(quán)限系統(tǒng)用戶(hù)1～499主要用于運(yùn)行系統(tǒng)服務(wù)，通常不用于登錄普通用戶(hù)500～65534權(quán)限受到基本限制和管理員約束特殊用戶(hù)nobody的UID為65534，權(quán)限進(jìn)一步限制以確保系統(tǒng)安全性在Linux系統(tǒng)中，用戶(hù)大致可以被分為以下3類(lèi)權(quán)限提升1.水平權(quán)限提升

2.垂直權(quán)限提升攻擊者試圖從較低權(quán)限提升至較高權(quán)限。例如，從普通用戶(hù)權(quán)限提升到管理員權(quán)限或系統(tǒng)權(quán)限，從而獲得對(duì)系統(tǒng)的全面控制。權(quán)限提升是指攻擊者利用操作系統(tǒng)中的安全漏洞或其他方法，突破原有限制，非法獲取更高的權(quán)限，從而對(duì)系統(tǒng)進(jìn)行更深層次的控制。權(quán)限提升主要分為兩種類(lèi)型：水平權(quán)限提升和垂直權(quán)限提升。

攻擊者試圖訪問(wèn)具有與其同等權(quán)限的其他用戶(hù)資源。例如，攻擊者通過(guò)漏洞獲取某個(gè)在線銀行賬戶(hù)的訪問(wèn)權(quán)限后，進(jìn)一步利用系統(tǒng)漏洞獲取其他賬戶(hù)的訪問(wèn)權(quán)限。權(quán)限提升方式權(quán)限提升方式描述示例關(guān)鍵點(diǎn)系統(tǒng)漏洞提權(quán)利用系統(tǒng)缺陷來(lái)提權(quán)。例如，利用漏洞或內(nèi)核版本漏洞提升權(quán)限Windows：MS08-067漏洞；Linux：2.6.18-194漏洞；需要技術(shù)知識(shí)，系統(tǒng)管理員需修復(fù)漏洞確保安全數(shù)據(jù)庫(kù)提權(quán)通過(guò)執(zhí)行特定的數(shù)據(jù)庫(kù)語(yǔ)句或函數(shù)提升服務(wù)器用戶(hù)權(quán)限SQLServer中的xp_cmdshell腳本（SQL2000默認(rèn)開(kāi)啟，SQL2005及后續(xù)版本默認(rèn)禁用）攻擊者需先登錄數(shù)據(jù)庫(kù)，并利用數(shù)據(jù)庫(kù)漏洞進(jìn)行提權(quán)Web提權(quán)在獲取WebShell后提高當(dāng)前用戶(hù)權(quán)限的行為滲透測(cè)試過(guò)程包括明確目標(biāo)、信息收集、滲透、獲取低權(quán)限、提升權(quán)限、植入后門(mén)。WebShell允許執(zhí)行與Web服務(wù)同等權(quán)限的命令

權(quán)限提升方式包括利用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞和Web漏洞來(lái)提升用戶(hù)權(quán)限，分別涉及系統(tǒng)漏洞利用、數(shù)據(jù)庫(kù)特定腳本執(zhí)行和WebShell命令權(quán)限提升。Windows系統(tǒng)提權(quán)PART.02系統(tǒng)內(nèi)核溢出漏洞提權(quán)1.系統(tǒng)內(nèi)核溢出漏洞提權(quán)以下是Windows系統(tǒng)提權(quán)的示例緩沖區(qū)溢出漏洞是程序執(zhí)行時(shí)出現(xiàn)的常見(jiàn)錯(cuò)誤，它允許攻擊者修改內(nèi)存變量或劫持進(jìn)程，執(zhí)行惡意代碼，從而控制主機(jī)。在Windows系統(tǒng)中，內(nèi)核溢出漏洞提權(quán)是一種常用的攻擊方式，成功利用該漏洞可以繞過(guò)系統(tǒng)安全限制，前提是目標(biāo)系統(tǒng)未安裝修復(fù)補(bǔ)丁。步驟一：手動(dòng)查找系統(tǒng)潛在的漏洞步驟二：自動(dòng)查找系統(tǒng)潛在的漏洞步驟三：選擇并利用漏洞以下是Windows系統(tǒng)提權(quán)的詳細(xì)過(guò)程1、手動(dòng)查找系統(tǒng)潛在的漏洞在獲取目標(biāo)主機(jī)的普通用戶(hù)shell后，執(zhí)行以下命令，查看目標(biāo)系統(tǒng)安裝了哪些補(bǔ)丁。

systeminfo或

wmicqfegetcaption,description,hotfixid,installedon執(zhí)行后，可以看到目標(biāo)系統(tǒng)已經(jīng)安裝的補(bǔ)丁。攻擊者將通過(guò)未列出的補(bǔ)丁號(hào)，尋找相應(yīng)的提權(quán)EXP，如KiTrap0D和KB979682對(duì)應(yīng)、MS10-021和KB979683對(duì)應(yīng)等。使用目標(biāo)系統(tǒng)未安裝的補(bǔ)丁號(hào)對(duì)應(yīng)的EXP進(jìn)行提權(quán)。2、自動(dòng)查找系統(tǒng)潛在的漏洞WindowsExploitSuggester可以將系統(tǒng)中已經(jīng)安裝的補(bǔ)丁與微軟的漏洞數(shù)據(jù)庫(kù)進(jìn)行比較，識(shí)別可能導(dǎo)致權(quán)限提升的漏洞，并且只需要給出目標(biāo)系統(tǒng)的信息。具體操作如下。（1）執(zhí)行以下命令，更新漏洞數(shù)據(jù)庫(kù)，更新后會(huì)生成一個(gè)擴(kuò)展名為.xls的文件。

python2windows-exploit-suggester.py–update（更新漏洞數(shù)據(jù)庫(kù)）

以下是Windows系統(tǒng)提權(quán)的詳細(xì)過(guò)程2、自動(dòng)查找系統(tǒng)潛在的漏洞（2）執(zhí)行以下命令，查看目標(biāo)系統(tǒng)信息，并保存為sysinfo.txt文件。

systeminfo>sysinfo.txt

（3）執(zhí)行以下命令，查看目標(biāo)系統(tǒng)是否存在可利用的提權(quán)漏洞。

python2windows-exploit-suggester.py-d2020-08-20-mssb.xls-isysinfo.txt

執(zhí)行命令后，結(jié)果將列出目標(biāo)系統(tǒng)存在的一系列漏洞以下是Windows系統(tǒng)提權(quán)的詳細(xì)過(guò)程2、自動(dòng)查找系統(tǒng)潛在的漏洞方法二：local_exploit_suggester模塊

Metasploit內(nèi)置了一個(gè)功能強(qiáng)大的模塊local_exploit_suggester。這個(gè)模塊聚集了一系列可以用于提權(quán)的本地漏洞利用腳本，并根據(jù)系統(tǒng)架構(gòu)、運(yùn)行的操作系統(tǒng)、會(huì)話類(lèi)型及默認(rèn)的選項(xiàng)需求進(jìn)行推薦。這極大地節(jié)省了尋找本地漏洞利用腳本的時(shí)間，方便攻擊者進(jìn)行操作。使用以下命令，假設(shè)已經(jīng)獲取了目標(biāo)主機(jī)的一個(gè)會(huì)話。

（1）usepost/multi/recon/local_exploit_suggester（2）setsession1（3）exploit

這個(gè)模塊能夠快速識(shí)別并列出系統(tǒng)中可能被利用的漏洞，大大提升了效率。然而，需要注意的是，并非所有被列出的本地漏洞都可以利用。攻擊者需要對(duì)這些漏洞進(jìn)行具體檢驗(yàn)，確認(rèn)其是否真正適用于當(dāng)前的系統(tǒng)環(huán)境。以下是Windows系統(tǒng)提權(quán)的詳細(xì)過(guò)程3、選擇并利用漏洞查找目標(biāo)主機(jī)的補(bǔ)丁并確定存在漏洞后，就可以向目標(biāo)主機(jī)上傳并執(zhí)行本地溢出程序。如圖5-5所示，這里選擇的是CVE-2018-8120。

（選擇CVE-2018-8120）執(zhí)行本地溢出程序之前，用戶(hù)權(quán)限為“whoami”，執(zhí)行后變?yōu)椤皊ystem”。

（本地權(quán)限提升漏洞）

Windows系統(tǒng)配置錯(cuò)誤漏洞提權(quán)在Windows系統(tǒng)中，如果無(wú)法利用系統(tǒng)內(nèi)核溢出漏洞進(jìn)行提權(quán)，就可以嘗試?yán)孟到y(tǒng)中的配置錯(cuò)誤漏洞進(jìn)行提權(quán)。以下是一些常見(jiàn)的Windows系統(tǒng)配置錯(cuò)誤漏洞提權(quán)方式的示例。1．TrustedServicePaths漏洞2．系統(tǒng)服務(wù)權(quán)限配置錯(cuò)誤漏洞3．Metasploit中的service_permissions模塊4．計(jì)劃任務(wù)與AccessChk的使用5．AccessChk的使用6．自動(dòng)安裝配置文件案例——Metasploit中的service_permissions模塊該漏洞提權(quán)在Metasploit中對(duì)應(yīng)的模塊為exploit/windows/local/service_permissions。

（service_permissions模塊的選項(xiàng)）該模塊有兩個(gè)可以設(shè)置的選項(xiàng)。其中，如果把AGGRESSIVE選項(xiàng)設(shè)為true，就可以利用目標(biāo)主機(jī)上每一個(gè)有該漏洞的服務(wù)；如果設(shè)置為false，在第一次提權(quán)成功后就會(huì)停止工作。

（提權(quán)結(jié)果）Linux系統(tǒng)提權(quán)PART.03SUID提權(quán)01設(shè)置SUID權(quán)限在了解SUID提權(quán)之前，簡(jiǎn)單看一下如何設(shè)置SUID權(quán)限。

chmodu+sfilename#設(shè)置SUID位

chmodu-sfilename#去掉SUID設(shè)置

（1）執(zhí)行“l(fā)s-al”命令，查看文件權(quán)限。

（查看文件權(quán)限）

（2）執(zhí)行“chmodu+sbinexec”命令，賦予binexec權(quán)限

（賦予binexec權(quán)限）

可以看到binexec文件的權(quán)限描述符由-rwxr-xr-x變?yōu)?rwsr-xr-x，這表明該文件已經(jīng)獲取了SUID權(quán)限。SUID提權(quán)02SUID提權(quán)的方式攻擊者可以通過(guò)以下方式利用SUID權(quán)限進(jìn)行提權(quán)攻擊：（1）利用已知的SUID文件：如`passwd`、`su`等，通過(guò)運(yùn)行這些程序獲取root或高權(quán)限用戶(hù)權(quán)限。（2）利用自制的SUID可執(zhí)行文件：攻擊者創(chuàng)建并設(shè)置SUID權(quán)限的文件，執(zhí)行時(shí)以文件所有者身份運(yùn)行。（3）利用軟件漏洞提權(quán)：通過(guò)普通用戶(hù)身份運(yùn)行存在漏洞的軟件，利用漏洞實(shí)現(xiàn)提權(quán)。03防范及時(shí)更新系統(tǒng)和軟件，修補(bǔ)已知漏洞限制SUID權(quán)限，僅對(duì)必要程序賦予并嚴(yán)格審查限制關(guān)鍵文件和目錄的訪問(wèn)，僅允許root用戶(hù)訪問(wèn)使用安全軟件，監(jiān)控并攔截惡意行為啟用強(qiáng)密碼策略，防止遠(yuǎn)程登錄的口令猜測(cè)攻擊確保管理員密碼復(fù)雜，嚴(yán)格控制其使用范圍系統(tǒng)內(nèi)核漏洞提權(quán)

系統(tǒng)內(nèi)核漏洞是操作系統(tǒng)內(nèi)核中的安全缺陷，攻擊者可以利用這些漏洞提升權(quán)限、繞過(guò)安全措施、操控系統(tǒng)或獲取敏感信息。內(nèi)核漏洞的出現(xiàn)通常由于代碼錯(cuò)誤或缺乏必要的安全檢查。常見(jiàn)的內(nèi)核漏洞類(lèi)型包括：1.緩沖區(qū)溢出漏洞：攻擊者向系統(tǒng)緩沖區(qū)寫(xiě)入超出空間的數(shù)據(jù)，覆蓋關(guān)鍵數(shù)據(jù)或代碼，執(zhí)行惡意操作。2.整數(shù)溢出漏洞：在內(nèi)存分配或數(shù)據(jù)傳輸計(jì)算中不當(dāng)使用整數(shù)，導(dǎo)致溢出，攻擊者利用此漏洞執(zhí)行非法操作或修改變量。3.權(quán)限提升漏洞：攻擊者利用系統(tǒng)漏洞將權(quán)限提升到更高級(jí)別，獲得更高權(quán)限以操控系統(tǒng)。4.邏輯錯(cuò)誤漏洞：由于設(shè)計(jì)錯(cuò)誤或代碼不嚴(yán)謹(jǐn)，攻擊者利用邏輯錯(cuò)誤漏洞控制程序行為，繞過(guò)安全控制。

利用這些漏洞進(jìn)行提權(quán)的方法包括：1.覆蓋或修改關(guān)鍵數(shù)據(jù)結(jié)構(gòu)：通過(guò)緩沖區(qū)溢出等方式修改系統(tǒng)進(jìn)程信息或用戶(hù)權(quán)限，偽裝成管理員賬戶(hù)。2.修改或劫持系統(tǒng)調(diào)用表：覆蓋系統(tǒng)調(diào)用表，將系統(tǒng)調(diào)用指向惡意代碼，獲得更高權(quán)限。3.利用驅(qū)動(dòng)程序漏洞：通過(guò)驅(qū)動(dòng)程序漏洞獲取更高權(quán)限，可能開(kāi)發(fā)特殊驅(qū)動(dòng)程序造成邏輯錯(cuò)誤。4.利用內(nèi)核模塊漏洞：利用內(nèi)核模塊漏洞，編寫(xiě)并加載惡意內(nèi)核模塊，獲取更高權(quán)限和系統(tǒng)控制。計(jì)劃任務(wù)提權(quán)

計(jì)劃任務(wù)提權(quán)是攻擊者在攻擊目標(biāo)系統(tǒng)時(shí)，利用計(jì)劃任務(wù)的漏洞來(lái)獲取本地系統(tǒng)權(quán)限或進(jìn)一步提升已經(jīng)獲取的權(quán)限的行為。計(jì)劃任務(wù)是Windows系統(tǒng)中非常重要的功能之一，它支持在特定的時(shí)