1、16.旁注攻击&提权思路 目录 旁注攻击 提权思路 旁注攻击 旁注攻击简述 旁注攻击即攻击者在攻击目标时,对目标网站“无从下手”,找不 到漏洞时候,攻击者就可能会通过具有同一服务器的网站渗透到目标网 站,从而获取目标站点的权限。这一个过程就是旁注攻击的过程。 旁注攻击简述 一般的虚拟空间,VPS(虚拟专用服务器)或与他人合租的服务器 ,也有一些企业的多个业务系统在同一服务器中。当多个网站放置在同 一服务器时,目标网站设计得非常安全,但并不能保证同一服务器上的 所有网站都是安全的。 服务器端WEB架构 D:test1 D:test2 Mysql D:test3 D:test4 SQLserver
2、 同服务器下的多个站点 IP逆向查询 通过IP逆向查询可以查到部署在同一WEB服务器上的其他网站。 例如: CDN查询 说到旁注攻击,就不得不提起CDN,服务器使用CDN之后,真实的 IP将会隐藏起来,攻击者无法找到目标主机的,也就无法进行旁注攻 击。 CDN即内容分发网络,其基本思路是:尽可能地避开互联网上有可能影 响数据传输速度和稳定性的瓶颈、环节,使内容的传输速度更快、更稳 定。 CDN查询 说到旁注攻击,就不得不提起CDN,服务器使用CDN之后,真实的 IP将会隐藏起来,攻击者无法找到目标主机的,也就无法进行旁注攻 击。 CDN即内容分发网络,其基本思路是:尽可能地避开互联网上有可能影
3、 响数据传输速度和稳定性的瓶颈、环节,使内容的传输速度更快、更稳 定。 CDN查询 2.分析二级域名的解析地址 3.分析服务器IP的历史变化 4.查找隐藏在网站目录类似phpinfo()的函数页面,能直接显示出服务器的相关 配置,看目录扫描的自带强大程度 案例分析 案例分析: 提权思路 提权简述 提权是将服务器的普通用户提升为管理员用户的一种操作,提权常常用于旁 注。 例如:攻击者己经获取到目标网站的同一服务器的任意网站,通过对服务器提 权拿到了服务器管理员权限,当拥有服务器的管理员权限后,几乎可以对服务 器进行任何操作,更何况是服务器上存放的一个网站呢?换句话说,有时旁注 攻击成功的关键就是
4、看服务器提权成功与否。 攻击者对服务器提权一般分为两种: 一种是溢出提权,另一种是第三方组件提权。(其他的:社工提权) 溢出提权 溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取root权限, 其中溢出提取又分为远程溢出和本地溢出。 远程溢出是指攻击者只需与服务器建立连接,然后根据系统漏洞,使用相 应的溢出程序,即可获取到远程服务器的root权限,例如知名的MS-08067。 本地溢出是主流的提权方式,攻击者通常会向服务器上传本地溢出程序, 在服务器执行,如果系统存在漏洞,那么将会溢出root权限。 Linux提权思路 1.查看服务器内核版本(不同服务器内核版本溢出的程序也不一样) 2.
5、本地接收服务器端数据(如使用,nc l n v p 123456 ) 3.服务器端shell反弹(如,webshll的反弹脚本) 4.反弹之后就可以在本地执行命令,将本地溢出exp上传到服务器中执 行,如果存在漏洞将会得到root权限 Windows提权思路 1.探测脚本信息(在windows下,重点还是看是否可以执行溢出程序, 如:asp依靠wscript.shell组件, 依靠.net framework组件等, 执行命令的权限为主) 2.补丁情况(systeminfo) 3.根据补丁情况进行本地溢出 4.system shell可以直接抓hash(mimikatz,WCE等) 第三方组件提权 1.探测脚本信息(在windows下,重点还是看是否可以执行溢出程序, 如:asp依靠wscript.shell组件, 依靠.net framework组件等, 执行命令的权限为主) 2.补丁情况(systeminfo) 3.根据补丁情况进行本地溢出 4.system shell可以直接抓hash(mimikatz,WCE等) 第三方组件提权 服务器运行时可能需要很多组件支持,如:sqlserver,mysql等,攻击 者就有可能通过这类组件进行提权操作。 1.版本信息 2.配置信息 3.相应的EXP 提权参考资料 Tool: Metasploit Cobaltstrike
