四MySQL 提权方式
Posted 凌木LSJ
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了四MySQL 提权方式相关的知识,希望对你有一定的参考价值。
1 UDF 提权
secure_file_priv 是用来限制 load dumpfile、into outfile、load_file() 函数在哪个目录下拥有上传或者读取文件的权限
show global variables like \'secure%\';
修改 my.cnf 文件,在 [mysqld] 块下,如果没有 secure_file_priv 则新增
指定目录:secure_file_priv=/path/to/data
不限目录:secure_file_priv=
禁止操作:secure_file_priv=NULL
1.1 Linux平台
UDF(User Defined Funtion)用户自定义函数,通过添加新的函数,对mysql服务器进行功能扩充。
基础信息收集:
select version(); # 获取数据库版本
select user(); # 获取数据库用户
select @@basedir; # 获取数据库安装目录show variables like \'%compile%\';#查看主机信息
show variables like "%plugin%";# 查看plugin路径
MS14-068 Kerberos域用户提权漏洞
参考技术AKerberos协议是一种基于第三方可信主机的计算机网络协议,它允许两个实体之间在非安全网络环境(可能被窃听、被重放攻击)下以一种安全的方式证明自己的身份。
远程权限提升漏洞存在于 Microsoft Windows 的 Kerberos KDC 实现中。存在该漏洞的症状是,Microsoft Kerberos KDC 实现无法正确验证签名,这可能造成 Kerberos 服务票证的某些方面被人伪造。简单来说就是一个域内的普通账户可以利用此漏洞进行权限提升,升级为域管理员权限。
漏洞需要以下四样道具
MS14-068是横向移动Pass the Ticket技术的一种,利用Kerberos认证机制进行攻击。除此之外,常见的还有金票攻击和银票攻击。本次不再详细介绍。
T1550.003 Use Alternate Authentication Material: Pass the Ticket 票据传递
T1558.001 Steal or Forge Kerberos Tickets: Golden Ticket 黄金票据
T1558.002 Steal or Forge Kerberos Tickets: Silver Ticket 白银票据
查看系统补丁情况,没有打KB3011780补丁的机器是可以利用的
查看用户的SID
获得SID
还可以使用这条命令获取域内所有用户的 SID:
PyKEK 是一个利用 Kerberos 协议进行渗透的工具包,使用 PyKEK 可以生成一个高权限的服务票据,之后通过 mimikatz 将服务票据导入到内存中。
github https://github.com/mubix/pykek
上面的python脚本需要python2.7的环境,也可以把py文件打包为exe,github上有人已经完成,使用方法和py脚本一样,如果担心安全问题,也可以自己打包。
exe: https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
输入
在同级目录下生成票据
注入之前,查看域控的共享C盘,显示权限不足:(注意: 这边需要使用域控的完整名称 )
清除票据
注入高权限票据
访问域控C盘共享,查看权限
阅读资料: IPC共享知识 https://www.cnblogs.com/csnd/p/11807910.html
接下来进一步尝试获取域控的shell,使用 PsExec64.exe ,下图可以看到我们已经获取了域控的shell。下一步可以根据自己的习惯进行一些持久化操作,例如添加域控账号等。
攻击脚本为goldenPac.py,该脚本是 impacket 工具包里面的
https://github.com/SecureAuthCorp/impacket/blob/master/examples/goldenPac.py
打包好的exe版本 https://github.com/maaaaz/impacket-examples-windows
以下的缓解措施基于ATT&CK给出
M1026 Privileged Account Management 特权账户管理
M1051 Update Software 更新软件
M1052 User Account Control 用户账户控制
M1018 User Account Management 用户账户管理
Audit all logon and credential use events and review for discrepancies. Unusual remote logins that correlate with other suspicious activity (such as writing and executing binaries) may indicate malicious activity. NTLM LogonType 3 authentications that are not associated to a domain login and are not anonymous logins are suspicious.
Event ID 4768 and 4769 will also be generated on the Domain Controller when a user requests a new ticket granting ticket or service ticket. These events combined with the above activity may be indicative of an overpass the hash attempt.[ 1]
监控LogonType为3且认证数据包为NTLM的登录日志
监控域控服务器上4768和4769的事件,并关联LogonType为3且认证数据包为Kerberos的登录日志。
参考连接: https://zhuanlan.zhihu.com/p/409793688
以上是关于四MySQL 提权方式的主要内容,如果未能解决你的问题,请参考以下文章