网络攻防实战研究：漏洞利用与提权

《网络攻防实战研究：漏洞利用与提权》主要讨论目前常见的漏洞利用与提权技术，分别从攻击和防御的角度介绍渗透过程中相对难，同时又是渗透高境界的部分——如何获取服务器乃至整个网络的权限。《网络攻防实战研究：漏洞利用与提权》共分9 章，由浅入深，按照读者容易理解的方式对内容进行分类，每一节介绍一个典型应用，同时结合案例进行讲解，并给出一些经典的总结。《网络攻防实战研究：漏洞利用与提权》的目的是介绍漏洞利用与提权技术，结合一些案例来探讨网络安全，从而远离黑客的威胁。通过《网络攻防实战研究：漏洞利用与提权》的学习，读者可以快速了解和掌握主流的漏洞利用与提权技术，加固自己的服务器。

《网络攻防实战研究：漏洞利用与提权》既可以作为政府、企业网络安全从业者的参考资料，也可以作为大专院校信息安全学科的教材。

营造在案例中学习漏洞利用与提权技术的实战环境，涵盖Windows及Linux的漏洞利用与安全防范，以及MSSQL、MySQL、Oracle、Metasploit和Serv-U、Winmail、Radmin、pcAnywhere、JBoss、Struts、JspRun、Gene6 FTP Server、Tomcat、Citrix、VNC、ElasticSearch、Zabbix等的漏洞利用与提权，每一节介绍一个典型应用，为网络攻防打下坚实基础。

2017年5月15日爆发的WannaCry勒索病毒，中毒者欲哭无泪，全球损失惨重！通过此次事件，人们发现，网络安全不再遥远。以前提到“网络安全”“黑客”等字眼，人们大都会认为那是传说和传奇，一般都是一笑而过。而今，随着互联网攻防技术的发展，谁还能说自己在信息世界里可以独善其身？2016年雅虎泄露10亿条个人账号信息，国内被公开泄露的个人隐私数据甚至高达几十亿条。截至2017年年底，由于网络电信诈骗等导致的个人及公司损失超过100亿元。在科技飞速发展的今天，如果我们能掌握一些安全知识、提高自己的安全意识，就极有可能避免个人财产损失。

在2016年出版《黑客攻防：实战加密与解密》后，我们的团队经过一年多的努力，将全部研究成果分享给广大读者朋友。在本书中，我们从更加专业、更加体系化的角度来讨论和研究网络安全，对关键技术进行详细的研究、再现和总结，同时介绍了一些典型案例，让读者身临其境，充分了解和掌握漏洞利用与提权的精髓！

2017年6月1日，《中华人民共和国网络安全法》正式实施，国家对网络安全的重视程度前所未有，很多高校都新增或者加强了网络安全专业建设，将信息安全提升到一级学科，提升到国家战略层面！没有网络空间的安全，就没有国家的安全！

本书内容

本书主要讨论目前常见的漏洞利用和提权技术，从攻击与防御的角度介绍渗透过程中相对最难，同时又是渗透最高境界的部分——如何获取服务器乃至整个网络的权限。本书共分9章，由浅入深，按照读者容易理解的方式对内容进行分类，每一节介绍一个典型应用，同时结合案例进行讲解，并给出一些经典的总结。

第1章 提权基础

提权是整个黑客攻防过程中最难的环节，提权过程则汇聚了思路、技巧、工具和技术。本章着重介绍提权的基础知识，包括如何进行提权，如何破解Windows及Linux密码，一些后门工具的使用，如何实现对提权工具的免杀，以及端口转发和代理工具的使用。

第2章 Windows漏洞利用与提权

Windows是目前使用最为广泛的操作系统之一。从2000年开始，计算机操作系统飞速发展，从Windows 95到Windows Server 2017，人们感受到了互联网技术的跌宕起伏。在操作系统层面，曾经多次爆发高危漏洞，攻击者可以远程直接获取目标服务器的权限。在渗透过程中，很多人认为提权是最难攻克的，其实不然，只要掌握了相关的知识点，在各种技术的配合下，99%都可以提权成功。本章着重介绍Windows提权的基础知识、Windows提权技巧、常用的口令扫描方法及一些新颖的提权方法和思路。

第3章 Linux漏洞利用与提权

在网络渗透过程中，经常碰到通过CMS等漏洞获取了服务器的WebShell，但因为Linux服务器设置了严格的权限而较难获取root账号权限的情况。在本章中讨论了Linux密码的获取与破解，以及利用一些Linux漏洞来提权的方法和技巧。本章原来的设想是对Linux中存在的各种本地提权漏洞进行介绍和利用，但在实际测试过程中，未能达到大众化利用的程度，因此将在后续的图书中陆续介绍这些方法。本章将着重介绍如何对Linux密码进行破解，以及如何通过各种漏洞来渗透并提权Linux服务器。

第4章 MSSQL漏洞利用与提权

MSSQL数据库是微软开发的目前世界上最为流行的数据库软件之一，它只能运行在Windows平台上，最常见的架构为ASP+MSSQL和ASP.NET+MSSQL。在Windows Server 2008以下版本中，只要获取了sa账号及其密码，就可以快速、方便地通过一些技巧获取系统权限。在Windows Server 2008以上版本中，虽然不能直接获取系统权限，但可以通过恢复存储过程等方式执行命令，通过系统中存在的提权漏洞进行提权。本章着重介绍SQL Server提权的基础知识，以及Windows下SQL Server的提权方法，同时通过一些案例介绍了如何利用sa账号来提权。

第5章 MySQL漏洞利用与提权

MySQL数据库是目前世界上最为流行的数据库软件之一，很多流行的架构都会用到MySQL，例如LAMPP（Linux+Apache+MySQL+PHP+Perl）架构。目前很多流行的CMS系统使用MySQL+PHP架构，MySQL主要在Windows和Linux操作系统中安装使用。因此，在获取了root账号的情况下，攻击者通过一些工具软件和技巧极有可能获取系统的最高权限。本章着重介绍MySQL提权的基础知识，以及Windows下MySQL的提权方法，同时通过一些案例介绍了如何利用MySQL来提权。

第6章 Oracle漏洞利用与提权

Oracle是一款大型的数据库系统，市场占有率很高，在数据库领域有极其重要的地位。作为世界上第一个支持SQL语言的关系型数据库，Oracle提供了丰富的包和存储过程，支持Java和创建library等特性，拥有丰富的系统表，几乎所有的信息都存储在系统表里，包括当前数据库运行的状态、用户的信息、数据库的信息、用户所能访问的数据库和表的信息等，在提供强大功能的同时，也带来了众多隐患。从第一代Oracle产品发布起，互联网上就不断有Oracle数据库的安全漏洞被公开。虽然Oracle一直在努力弥补这些缺陷，例如定期发布更新补丁去修复已发现的安全漏洞，但是随着Oracle数据库版本的更新，新的漏洞层出不穷。此外，由于数据库管理员安全意识较弱或未进行全面、有效的安全策略配置，导致数据库存在被攻击的安全风险。对Oracle的攻击主要包括弱口令或默认口令的猜解、SQL注入、权限配置不当、拒绝服务攻击等。本章针对Oracle数据库漏洞介绍了常见的提权方法及相应的防御手段。

第7章 Metasploit漏洞利用与提权

在Metasploit下所说的提权，通常是指在已经获得MSF的Meterpreter Shell后采取的各种提升权限的方法。通常，在渗透过程中很有可能只获得了一个系统的Guest或User权限的Meterpreter Shell，如果在网络环境中仅获得受限用户权限，那么在实施横向渗透或者提权攻击时将很困难。在主机上，如果没有管理员权限，就无法进行获取Hash值、安装软件、修改防火墙规则和修改注册表等操作，所以，必须将访问权限从Guset提升到User，再到Administrator，最后到System级别。可以说，渗透的目的是获取服务器的最高权限，即Windows操作系统中管理员账号的权限或Linux操作系统中root账户的权限。

第8章 其他应用程序漏洞利用与提权

在本章主要介绍一些应用程序的提权，包括Serv-U、Winmail、Radmin、pcAnywhere、JBoss、Struts、JspRun、Gene6 FTP Server、Tomcat、Citrix、VNC、ElasticSearch、Zabbix等。

第9章 Windows及Linux安全防范

本章就一些常见的系统漏洞和弱点进行分析。真正的安全防范是一个持续的改进和完善过程，我们需要随时关注0day及安全漏洞。在网络攻防过程中，安全防范非常重要：攻击方需要隐藏自己的IP地址、消除痕迹、防止被发现；而防守方则关注如何加固，如何使自己的系统更安全，“牢不可破”是终极目标。在武侠小说中经常提及一个理念：最好的防御就是攻击。通过攻击自身系统发现漏洞，对漏洞进行分析、修补和加固，也就有了日常听到的安全公司进行某项目的安全评估。

虽然本书内容已经比较丰富和完整了，但仍然无法涵盖所有的漏洞利用与提权技术。通过本书的学习，读者可以快速了解和掌握主流的漏洞利用与提权渗透技术，加固自己的服务器。本书的目的是介绍漏洞利用与提权技术，结合一些案例来探讨网络安全，帮助读者更好地加固服务器，远离黑客的威胁。

资源下载

书中提到的所有资源的下载地址为http://pan.baidu.com/s/1slGynDj，密码为41ne。

特别声明

本书是安全帮（www.secbang.com）定制的培训教材，同时被部分高校列为指定教材。本书的目的绝不是为那些怀有不良动机的人提供支持，也不承担因为技术被滥用所产生的连带责任。本书的目的是最大限度地唤醒读者对网络安全的重视，并采取相应的安全措施，从而减少由网络安全漏洞带来的经济损失。

由于笔者水平有限，加之时间仓促，书中疏漏之处在所难免，恳请广大读者批评指正。

反馈与提问

在阅读本书的过程中，如果读者遇到问题或有任何意见，都可以发邮件至[email protected]与笔者直接联系。

致谢

本书主编是祝烈煌、张子剑。参加本书编写工作的有陈小兵、张胜生、王坤、徐焱、刘晨、黄小波、韦亚奇、邓火英、刘漩、庞香平、武师、陈尚茂、邱永永、潘喆、孙立伟、陈海华、邓北京、兰云碧、易金云、吴海春。

感谢电子工业出版社对本书的大力支持，尤其是潘昕编辑为本书出版所做的大量工作，感谢美编对本书进行的精美的设计。借此机会，还要感谢多年来在信息安全领域给我教诲的所有良师益友，感谢众多热心网友对本书的支持。最后要感谢家人，是他们的支持和鼓励使本书得以顺利完成。

另外，本书集中了北京理工大学多位老师和安天365团队众多“小伙伴”的智慧。我们的团队是一个低调潜心研究技术的团队。衷心地感谢团队成员夏洛克、雨人、imiyoo、cnbird、Xnet、fido、指尖的秘密、Leoda、pt007、Mickey、YIXIN、终隐、fivestars、暖色调の微笑、304、Myles等，是你们给了我力量，给了我信念。最后，还要特别感谢安全圈的好友范渊、孙彬、罗诗尧、杨卿、杨哲、杨文飞、林伟、余弦、王亚智、傅烨文、汤志强、菲哥哥、张健、-273.15℃、风宁、杨永清、毕宁、韩晨、叶猛、刘璇，是你们的鼓励、支持和建议让本书更加完美。

编 者

2018年1月于北京

第1章 提权基础 1

1.1 提权概述 1

1.2 Windows账号和密码的获取与破解 6

1.3 使用John the Ripper破解Linux密码 25

1.4 Linux提权辅助工具Linux Exploit Suggester 28

1.5 PHP WeBaCoo后门 30

1.6 对提权工具PR的免杀 34

1.7 通过LCX端口转发实现内网突破 39

1.8 使用SocksCap进行内网突破 42

1.9 Windows系统提权基础命令 44

第2章 Windows漏洞利用与提权 49

2.1 Windows提权基础 49

2.2 提权辅助工具Windows-Exploit-Suggester 58

2.4 Windows口令扫描及3389口令暴力破解 70

2.5 使用WinlogonHack获取系统密码 81

2.6 Windows Server 2003域控服务器密码获取 86

2.7 MS05-039漏洞利用实战 92

2.8 MS08-067远程溢出漏洞利用实战 95

2.9 通过Pr提权渗透某高速服务器 102

2.10 以Public权限渗透某ASP.NET网站 110

2.11 Windows 7/2008服务器64位版本MS12-042漏洞提权 118

2.12 对某虚拟主机的一次SiteManager提权 121

2.13 社工渗透并提权某服务器 127

2.14 通过SQL注入漏洞渗透某服务器并直接提权 132

2.15 phpinfo函数信息泄露漏洞的利用与提权 135

2.16 通过简单的漏洞渗透某公司内外部网络 140

2.17 通过文件上传漏洞渗透某Windows 2012服务器并提权 143

2.18 通过戴尔服务器远程访问管理卡获取服务器权限 148

第3章 Linux漏洞利用与提权 151

3.1 使用fakesu记录root用户的密码 151

3.2 使用Hydra暴力破解Linux密码 155

3.3 Linux操作系统root账号密码获取防范技术研究 162

3.4 通过Linux OpenSSH后门获取root密码 167

3.5 利用FCKeditor漏洞渗透某Linux服务器 174

3.6 chkrootkit 0.49本地提权漏洞利用与防范研究 181

3.7 从服务器信息泄露到Linux服务器权限获取 185

3.8 通过WinSCP配置文件获取Linux服务器权限 188

3.9 通过网上信息获取某Linux服务器权限 193

3.10 渗透某Linux服务器并提权 196

3.11 通过SQL注入获取某Linux服务器权限 198

3.12 Struts 2远程代码执行漏洞s2-032及其提权利用 202

3.13 快速利用s02-45漏洞获取服务器权限 206

3.14 安全设置Linux操作系统的密码 214

第4章 MSSQL漏洞利用与提权 217

4.1 SQL Server提权基础 217

4.2 SQL Server口令扫描 223

4.3 SQL Server 2000 MS08-040漏洞 227

4.4 SQL Server 2000提权 233

4.5 SQL Server 2005提权 237

4.5.10 总结 241

4.6 Windows Server 2008中SQL Server 2008的提权 242

4.7 通过Windows Server 2008和SQL Server 2008 sa权限获取WebShell 246

4.8 通过sa权限注入获取服务器权限 250

4.9 通过FTP账号渗透并提权某服务器 255

4.10 Windows Server 2003下SQL Server 2005绕过安全狗提权 259

第5章 MySQL漏洞利用与提权 264

5.1 MySQL提权基础 264

5.2 用MOF方法提取MySQL root权限 271

5.3 MySQL数据库UDF提权 276

5.4 通过MySQL数据库反弹端口连接提权 284

5.5 通过MySQL账号社工渗透某Linux服务器 287

5.6 MySQL root口令的利用及提权 291

5.7 从MySQL口令扫描到提权 296

5.8 MySQL无法通过WebShell执行命令提权某服务器 301

5.9 phpMyAdmin漏洞利用与安全防范 306

5.10 巧用Cain破解MySQL数据库密码 311

5.11 MySQL数据库安全加固 319

第6章 Oracle漏洞利用与提权 324

6.1 Oracle提权基础 324

6.2 Oracle口令破解 330

6.3 通过注入存储过程提升数据库用户权限 338

6.4 Web下的SQL注入及提权 342

6.5 在Oracle上利用Java执行命令 349

6.6 利用SQL*Plus获取WebShell 353

6.7 Oracle数据库备份 355

6.8 Oracle数据库攻击的防范方法 358

第7章 Metasploit漏洞利用与提权 362

7.1 Metasploit提权基础知识 363

7.2 PowerShell渗透利用剖析 365

7.3 getsystem提权全解析 372

7.4 MS16-016本地溢出漏洞利用实战 374

7.5 通过WMIC实战MS16-032溢出漏洞 377

7.6 绕过用户控制实战 383

7.7 通过假冒令牌获取Windows Server 2008 R2域管权限 386

7.8 错误的Windows系统配置漏洞提权实战 389

7.9 Windows服务漏洞研究与利用 396

7.10 AlwaysInstallElevated提权实战演练 399

7.11 Metasploit下Mimikatz的使用 404

7.12 通过Metasploit渗透手机 407

7.13 移植s2-045漏洞利用代码模块实战 411

第8章 其他应用程序漏洞利用与提权 415

8.1 通过Serv-U提权ASP.NET服务器 415

8.2 扫描FTP口令并利用Serv-U提权某服务器 419

8.3 Windows Server 2008中的Magic Winmail Server提权 429

8.4 Radmin网络渗透提权研究 432

8.5 pcAnywhere账号和口令的破解与提权 445

8.5.1 pcAnywhere账号和口令破解 446

8.5.2 一个渗透实例 447

8.6 JBoss远程代码执行漏洞提权 454

8.7 Struts s2-016和s2-017漏洞利用实例 461

8.8 从JspRun后台获取WebShell 465

8.9 Gene6 FTP Server本地提权 469

8.10 通过Tomcat弱口令提取某Linux服务器权限 472

8.11 Citrix密码绕过漏洞引发的渗透 478

8.12 从CuteEditor漏洞利用到全面控制服务器 482

8.13 利用VNC认证口令绕过漏洞进行渗透 494

8.14 0day分析之ColdFusion本地包含漏洞的利用方法 499

8.15 ElasticSearch命令执行漏洞利用及渗透提权 504

8.16 通过JBoss Application Server获取WebShell 513

8.17 Zabbix SQL注入漏洞及利用探讨 520

8.18 OpenSSL“心脏出血”漏洞分析及利用 529

8.19 ImageMagick远程执行漏洞分析及利用 537

8.20 Linux glibc幽灵漏洞的测试与修复 540

第9章 Windows及Linux安全防范 545

9.1 网站挂马的检测与清除 546

9.2 巧用MBSA检查和加固个人计算机 551

9.3 使用冰刀、Antorun、CurrPorts等工具进行安全检查 557

9.4 巧用事件查看器维护服务器安全 568

9.5 使用防火墙和杀毒软件进行安全检查 571

9.6 手工清除病毒 575

9.7 计算机网络入侵安全检查研究 585

9.8 实战个人计算机网络安全检查 590

9.9 移动存储设备安全隐患及其防范对策 593

9.10 电子邮件社会工程学攻击防范研究 595

9.11 SQL注入攻击技术及其防范研究 599

9.12 Windows系统克隆用户攻击与防范 604

9.13 操作系统密码安全设置 614

9.14 使用chkrootkit和rkhunter检查Linux后门 618

9.15 Windows下PHP+MySQL+IIS安全配置 622

9.16 Windows下PHP+MySQL+IIS高级安全配置 629