哈哈鱼 2年前提问

渗透测试怎么提权

上官雨宝 ₂ CISM-WSE 中级信息安全等级测评师

上官雨宝₂ 2年前 CISM-WSE 中级信息安全等级测评师

提权方式如下：

系统漏洞提权：一般就是利用系统自身缺陷，用来提升权限;
数据库提权：通过执行数据库语句、数据库函数等方式提升服务器用户的权限；
系统配置错误提权：系统某些配置不当导致产生漏洞被利用而提权；
权限继承类提权：攻击者继承系统启动时所使用的system权限；
第三方软件/服务提权；
WebServer漏洞提权。

2年前

推荐文章

渗透测试 | 利用蚁剑钓鱼上线CS
FreeBuf 2024-01-06 15:11:50

中国蚁剑使用Electron构建客户端软件，Electron实现上用的是Node.js，并且Node.js能执行系统命令，故可以利用蚁剑的webshell页面嵌入js来直接执行命令，进而钓鱼来上线CS。（类似Goby，Goby也是使用Electron构建客户端软件）
AES+SM4 两层加密算法加密传输场景下的通用渗透测试思路
上官雨宝 2023-11-27 10:59:50

AES+SM4 两层加密算法加密传输场景下的通用渗透测试思路
V2.2！Windows11渗透测试工具包
一颗小胡椒 2023-11-01 09:31:49

基于Windows11打造的一个渗透测试工具包；本项目制作的初衷是帮助渗透新手快速搭建工作环境，工欲善其事，必先利其器；目前已集成了各类常用开发环境、浏览器插件、渗透测试工具和脚本等等；下载地址见文末！
RouterSploit：一款功能强大的嵌入式设备渗透测试框架
FreeBuf 2023-10-23 09:52:19

RouterSploit是一款功能强大的嵌入式设备渗透测试与漏洞利用框架，该工具是一款完全开源的工具，基于Python语言开发，可以帮助广大研究人员检测嵌入式设备中潜在的安全漏洞，并通过漏洞利用执行来测试和提升目标设备的安全性。
如何使用Redeye在渗透测试活动中更好地管理你的数据
一颗小胡椒 2023-10-09 10:04:29

Redeye是一款功能强大的渗透测试数据管理辅助工具，该工具专为渗透测试人员设计和开发，旨在帮助广大渗透测试专家以一种高效的形式管理渗透测试活动中的各种数据信息。
web渗透信息收集总结版
一颗小胡椒 2023-10-16 13:42:13

渗透测试流程:渗透测试与入侵的最大区别目标对象分析：web方向信息收集：整个网站站分析：谷歌黑客:采集相关url的同类网站：渗透测试一般流程:如何绕过CDN查真实IP:
黑客组织GambleForce利用开源的命令和控制服务器渗透测试工具进行攻击
007bug 2023-12-15 11:10:58

新加坡Group-IB的网络安全研究人员揭露了GambleForce黑客组织的一个子组织EagleStrike。他们是利用简单漏洞的机会主义黑客。新威胁行为者对全球公司的网络安全构成了威胁。
Fuxi：一款功能强大的跨平台渗透测试工具
FreeBuf 2023-10-17 10:22:17

Fuxi是一款功能强大的跨平台渗透测试工具，该工具基于Python 3开发，支持在Linux、macOS和Windows操作系统上使用，具备良好的跨平台特性。在该工具的帮助下，广大研究人员可以轻松快速地执行渗透测试和安全研究任务。
HW红队攻防、渗透痕迹隐藏的神器
007bug 2023-11-21 16:55:04

通过在系统日志和文件系统时间戳上留下零痕迹，在 Linux 漏洞利用/渗透测试期间覆盖您的踪迹。
真实较量 | 红队视角下的Cobalt_Strike猎杀
FreeBuf 2024-01-13 13:15:31

https://www.freebuf.com/sectool/389399.html
商业电子邮件泄露（BEC）趋势报告中的5个重要发现
Anna艳娜 2024-03-07 17:36:19

目前，BEC等恶意电子邮件冒充行为占所有报告威胁的近99%。根据最新的FBI互联网犯罪（IC3）报告，BEC每年调整后损失达27亿美元。相比之下，勒索软件花费只有“微不足道”3400万美元。这意味着BEC的成本比勒索软件（行业“恶魔”）高出近79倍。难怪BEC诈骗在2022年（IC3报告发布的年份）飙升了81%。
多家知名品牌子域名被劫持发送海量诈骗邮件
Andrew 2024-03-01 15:35:32

近日，一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件，每天发送量高达500万封电子邮件，用于诈骗和恶意广告盈利。
隐蔽的 GTPDOOR Linux 恶意软件正将目标锁定移动运营商
Anna艳娜 2024-03-04 17:36:08

近日，安全研究人员 HaxRob 发现了一个名为 GTPDOOR 的 Linux 后门，利用该后门能够非法进入移动运营商网络内部。
中国智能汽车威胁美国的国家安全？
Anna艳娜 2024-03-05 14:36:57

近几年，中国汽车产业蓬勃发展，特别是新能源汽车更是逐步风靡一些国外市场，彼此之间在技术、价格、服务等方面疯狂”内卷“，以比亚迪为首的汽车企业开启降价潮，打响了占领国外汽车市场的又一枪。但美国政府近期却以“威胁国家安全”为由，宣布采取行动针对中国智能汽车。
网络攻击后现金流中断引发医疗保健行业动荡
X0_0X 2024-03-06 17:40:02

近日，Change Healthcare网络攻击引发的经济影响愈发明显。专家指出，包括医院和药店网络在内的一些大型企业，正承受着每天高达1亿美元的运营中断损失。