【内网安全】——Windows提权姿势

这篇具有很好参考价值的文章主要介绍了【内网安全】——Windows提权姿势。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

作者名:白昼安全
主页面链接: 主页传送门
创作初心: 一切为了她
座右铭: 不要让时代的悲哀成为你的悲哀
专研方向: web安全,后渗透技术
每日emo: 不悲伤,不彷徨,有风听风,有雨看雨
【内网安全】——Windows提权姿势

一、Webshell权限转交msf

在内网阶段,假如我们通过了外部打点拿到了 webshell怎么来进行 权限提升呢。在我们普通的菜刀等webshell管理工具,是不具备提权功能的。那么我们就可以通过转交会话的方式来操作webshell权限进一步提升。

那怎样将webshell管理工具的webshell转交到msf呢?这里的webshell管理工具以哥斯拉为例,步骤如下

进入webshell管理条目右键点击进入

【内网安全】——Windows提权姿势

可以看到哥斯拉内置了msf模块,如下

【内网安全】——Windows提权姿势

将如下位置改为kali的ip和监听端口

【内网安全】——Windows提权姿势

点击load即可载入配置

而哥斯拉这款工具在这方面的优点就是载入配置后会给出msf接收会话的命令教程,就是下面这部分

【内网安全】——Windows提权姿势

在msf跟着敲就可以开启监听了

注意:这里的load载入配置有时候会卡,导致下面的设置lport的命令不变,例如上面我配置的是1111为监听端口,下面给出的命令仍然是4444,此时在msf敲命令时就要以你配置的为准,即1111

如下

【内网安全】——Windows提权姿势

成功开启监听,此时再在哥斯拉的msf插件模块位置点击go即可发送会话

【内网安全】——Windows提权姿势

效果如下

【内网安全】——Windows提权姿势

可以看到webshell管理工具上的webshell已经成功转交给msf了

二、windows权限分类

在Windows系统中,权限大概分为四中,分别是:

User:普通用户权限

Administrator:管理员权限,可以 利用Windows机制提升为System权限,所以msf的getsystem命令执行者是administrator时更容易成功

System:系统权限

TrustedInstaller:Windows中 最高权限。有些文件,连System权限也无法修改,只能TrustedInstaller权限修改。TrustedInstaller为Windows系统中众多系统内置安全主体中的一个,本身是系统重要服务,用户无法直接在此服务的上下文中运行程序或另一个服务。它是操作系统上用来对系统进行维护、更新等操作的组。在Windows XP及以前,System账户与管理员组对系统文件都有着完全访问的权限。 这意味着以管理员身份运行的程序可以任意更改系统,降低了系统安全性。TrustedInstaller则改变了这一情况,使得只有拥有TrustedInstaller令牌的系统进程才能更改 系统重要内容,而其他大部分系统服务就没有权限

我们获得了一个Windows系统的普通用户权限,由于低权限用户的很多操作将受到限制。所以,我们会想法设法地将低权限用户提权到高权限用户。

提权也就是通过漏洞来提权

三、windows权限提升

当我们不用metasploit不能进行getsystem的时候,那么我们该有哪一些思路来进行提权呢。

既然要提权,那么我们先详细了解一下权限的分类

1、windows内核溢出提权

本地溢出提权首先要有服务器的一个普通用户权限,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出Administrator权限。

那怎么判断系统是否存在漏洞呢?

[1]、systeminfo

首先就是通过系统打的补丁信息来观察,输入如下命令

systeminfo

system命令是Windows中用于显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡和补丁信息等。

【内网安全】——Windows提权姿势

很多同学说就算拿到了补丁信息我怎么知道哪些补丁没打,存在哪些漏洞呢?这边给大家推荐一个辅助网站,链接如下

https://i.hacking8.com/tiquan

【内网安全】——Windows提权姿势

只需要将systeminfo获取的信息(或者单纯的补丁信息)复制进去,程序即可检测漏洞并返回对应的提权exp

【内网安全】——Windows提权姿势

可以看到返回的信息也很完善

[2]、local_exploit_suggester

post/multi/recon/local_exploit_suggester 是Msf自带的一个攻击模块,用来探测主机有哪一些漏洞,只需要配置session会话即可,如下

【内网安全】——Windows提权姿势

可以看到列出了很多对于session会话权限提升的办法,绿色的就是能够成功的,红色的就是不能利用的,可以看出来该模块还是很强的

注意:这些exp模块有的在使用后 并不是运行之后就能直接拿到system权限。而是运行之后会返回一个新的当前权限,此时在使用getsystem就能变成system权限

2、UAC绕过提权

UAC(User Account Control,用户账号控制) 是微软为了提高系统安全性在Windows Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。在权限不够的情况下,访问系统磁盘的根目录、Windows目录,以及读写系统登录数据库等操作,都需要经常UAC(User Account Control,用户账号控制)的认证。

【内网安全】——Windows提权姿势

[1]、Msf模块

msf中有大量的通过uac绕过提权(bypassuac)的攻击模块,如下

【内网安全】——Windows提权姿势

在平时的是渗透中都可以进行尝试,一个一个试即可

[2]、Akagi64

这里再给同学们推荐github上的一个项目,内含七十多中uacbypass姿势,每种都有详细的介绍信息,github链接如下

https://github.com/hfiref0x/UACME

只要目标机器符合使用环境,都可以不断尝试,直到成功,成功后就会反弹一个管理员权限

命令格式如下

Akagi64.exe [bypassuac的姿势序号名]  [要打开的程序]

此时如果能成功执行,就会以管理员权限运行我们指定的程序,例如我们以普通用户执行

Akagi64.exe 61  C:\Windows\system32\cmd.exe

就会弹出一个cmd窗口,并且是管理员权限,如下

【内网安全】——Windows提权姿势

3、windows系统错误配置提权

我们在获得目标机一个普通的权限时,除了常规提权方法外,还可以通过查找目标主机错误的系统配置和漏洞来获取系统权限。本节所讲的“Trusted Service Paths(可信任服务路径)漏洞”和“系统服务的错误权限配置漏洞”绝对是你值得尝试的一个环节。

[1]、系统服务的错误权限配置漏洞

来看看下面这个页面,相信大家都很熟悉吧

【内网安全】——Windows提权姿势

这是windows的服务业,里面显示了系统的服务项、每个服务都对应了一个exe程序,如下

【内网安全】——Windows提权姿势

大部分都是系统自带的,比较安全,但有时候用户会出于各种原因来自己添加对应的服务和程序,此时的程序就不一定安全。

可以看到上面的服务对应的一个文件目录,c:\windows\system32目录,该目录是windows的系统目录,普通用户没有权限操纵里面的内容,所以这里的配置是没问题的

但如果用户新建的服务对应的程序在不安全的目录中,例如服务对应的程序路径如下

E:\ctf\misc\bpgview\BPGviewe.exe

此时我们如果能够对E:\ctf\misc\bpgview\目录下的文件进行删除,修改,添加等,我们就可以把BPGviewe.exe程序删除,上传我们自己恶意文件并重命名为BPGviewe.exe,当使用者再次打开该服务时,就会启动我们的恶意文件

[2]、Trusted Service Paths

“Trusted Service Paths”(可信任服务路径)漏洞是由系统中的“CreateProcess”函数引起的,利用了windows文件路径解析的特性,并涉及了服务路径的文件/文件夹权限,存在缺陷的服务程序利用了属于可执行文件的文件/文件夹权限。如果权限合适,我们可以上传恶意可执行文件。简单讲就是查找系统服务文件中存在非引用路径。如果一个服务调用可执行文件,没有正确处理引用的全路径名,就可以利用这个漏洞。

但是这个漏洞不太好演示,这里就介绍一下对应的Msf模块,同学们知道怎么用就可以了,模块名如下

exploit/windows/loacal/service_permissions

配置Msf端的session,运行后就可以查找目标机器是否存在这个错误配置,自动攻击,如下

【内网安全】——Windows提权姿势

4、访问令牌AccessTOken的窃取提权

假冒令牌可以假冒一个网络中的另一个用户进行各种操作。令牌包括登录会话的安全信息,如用户身份识别、用户组合用户权限。当一个用户登录Windows系统时,它被给定一个访问令牌作为它认证会话的一部分。例如,一个入侵用户可能需要域管理员的操作权限的时候,当它使用令牌便可假冒域管理员进行工作(攻击)。

[1]、令牌介绍

令牌(Token):令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。

令牌分类

访问令牌(Access Token): 表示访问控制操作主体的系统对象
会话令牌(Session Token): 交互会话中唯一的身份标识符
密保令牌(Security Token): 又叫做认证令牌或硬件令牌,是一种计算机身份校验的物理设备,例如U盾

Windows的Access Token有两种类型

Delegation Token: 授权令牌,它支持交互式会话登录(例如本地用户直接登录、远程桌面登录访问)
Impresonation Token: 模拟令牌,它是非交互的会话(例如使用net use访问共享文件夹)。

[2]、利用方式

条件:必须为 Administrator 权限

这里我们还是使用Msf中对应的攻击模块来展示,该漏洞在Msf对应的攻击步骤如下

1、获取token
use incognite
list_tokens -u
【内网安全】——Windows提权姿势

可以看到成功找到一个Administrator权限的token会话

注意:这里找到的会话 必须是administrator权限才能通过此方式提升为 system权限
2、伪造令牌
impersonate_token "NT AUTHORITY\SYSTEM"
【内网安全】——Windows提权姿势

可以看到已经成功提升为system权限

5、alwaysinstallelevated提权

alwaysinstallelevated提权也可以理解为注册表提权,alwaysinstallelevated是注册表的一个键值,当它的值为1时,普通用户就能以system权限安装msi程序

漏洞检测方法:

shell下输入如下命令:

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

如果提示error,就是不存在该漏洞,如下

【内网安全】——Windows提权姿势

这个漏洞的复现比较复杂,因为环境有点难弄,所以这里就没有攻击成功的案例,如果有兴趣的同学也可以去看看下面这篇博客的复现,介绍的挺详细的

AlwaysInstallElevated提权介绍_番茄酱料的博客-CSDN博客

当然这个漏洞Msf也提供了对应的模块,我们直接用模块操作攻击也可以,模块名如下

windows/local/always_install_elevated
【内网安全】——Windows提权姿势

进入该模块设置session会话后直接运行即可,如果目标存在该漏洞,就会返回一个system权限的会话,达到提权的效果

当然这里没有攻击成功,因为我没有搭建漏洞环境

6、自带安装配置提权

原理:网络管理员在内网中给多台机器配置一个同一个环境,通常都不会一个一个配置,本地脚本批量部署环境,有的时候会将配置文件信息也部署进环境,里面甚至可能有账密之类的敏感信息

Msf中也有对应的模块,非常强大,模块名如下

post/windows/gather/enum_unattend

进入该模块后设置session即可

【内网安全】——Windows提权姿势

运行之后如果有结果就会回显出来,但是我这是虚拟机,也没搭什么东西,所以没回显信息

7、计划任务

查找windows的计划任务中的文件和程序等,如果计划任务中的文件权限较低,也就是普通用户都能修改计划任务中的文件或程序,就可以上传我们的恶意文件来顶替掉计划任务中的文件

运用其实跟上面那个系统错误配置中查找服务对应的程序并顶替差不多,这里就不多讲了

8、主策略首选项

在一般网络环境中,所有的机器脚本都是批量化的部署,为方便所有主机的管理,管理员都会使用同一个策略,此时操作系统会在共享目录生成一个 xml文件,这个文件就可能保存包括密码在内的很多敏感信息有了密码那自然就可以提权

这个方法在Msf也有对应的模块,模块名如下

post/windwos/gather/credentials/gpp
【内网安全】——Windows提权姿势

开启运行,如果能成功扫描到足以提权的敏感信息,就会返回一个提权后的会话或者任意一台域用户的权限会话

9、自动安装

unattended install是一种自动安装程序,这些自动安装程序很有可能会带着一些敏感信息,配置文件,记录着一些密码之类的,对应的Msf查找攻击模块如下

post/windows/gather/enum_unattend

但是这个的使用与上面相同,如果有回显就是有漏洞,即成功

10、webshell烂土豆

烂土豆下载地址:

windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits · GitHub

下载好就是一个potato.exe文件

上面讲了令牌伪造时必须是administor权限才可以,但如果是webshell权限时,可以尝试搭配烂土豆进行提权,操作如下

将烂土豆上传

upload  /root/potato.exe

执行potato.exe程序

execute -cH -f ./potato.exe

查看token

use incognito
list_tokens -u

此时如果查找到了system权限的令牌,就说明没啥问题,直接跟上面一样伪造system权限令牌即可

例:impersonate_token "NT AUTHORITY\\SYSTEM"

注意:IIS网站的webshell成功概率较大

11、其他

还有各种各样其他的提权方式,比如SER-TU提权第三方软件提权FTP提权等各种各样的,但很多环境都比较难搭,也不太好演示,而且太多了,实在演示不过来,上面的几种都是比较常用的,同学们看了之后也可以自己再去积累一些姿势文章来源地址https://www.toymoban.com/news/detail-460579.html

到了这里,关于【内网安全】——Windows提权姿势的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年“楚怡杯“湖南省职业院校技能竞赛“网络安全”竞赛 B模块 Windows渗透与Linux提权

    服务器场景:Server2003 服务器场景操作系统:Windows7 nmap没扫出来,得多扫几次,这里使用masscan直接快速扫描端口。 发现一个232的tcp端口,看看是不是telnet 确实是。 FLAG: 232 FLAG: hydra -l teltest -P /usr/share/wordlists/dirb/small.txt telnet://172.16.102.248 -s 232 本题有两种做法: 1.通过使用ms_

    2024年02月04日
    浏览(46)
  • 我的内网渗透-提权大法

     出现这个提示就是切换成功,后面也是可以正常显示的 新版本的kali直接getsystem,可以提权成功(有时候可以,有时候不可以) 提权成功 利用uac(用户账户控制)进行提权。 用户账户控制 在涉及管理员权限的时候会提示你是否要这么做,确定的话就是以管理员的身份去运

    2024年02月08日
    浏览(42)
  • [渗透测试]—7.3 内网渗透和提权技术

    在本章节中,我们将学习内网渗透和提权技术。我们会尽量详细、通俗易懂地讲解,并提供尽可能多的实例。 内网渗透是指攻击者在成功进入目标网络后,对内部资源进行横向渗透以获取更多权限和信息的过程。内网渗透测试的目的是发现网络内部存在的安全漏洞和风险,以

    2024年02月11日
    浏览(87)
  • windows提权-绕过UAC提权

    目录 windows提权-绕过UAC提权 一、UAC概述 二、MSF和CS过UAC 三、基于白名单AutoElevate绕过UAC 四、基于白名单DLL劫持绕过UAC提权 五、CVE-2019-1388 UAC提权 六、Windows令牌概述和令牌窃取攻击 UAC(User Account Control),中文翻译为用户帐户控制,是微软在Windows Vista和Windows7中引用的新技术

    2024年02月04日
    浏览(33)
  • windows提权-系统错误配置提权

    目录 windows提权-系统错误配置提权 一、错误配置提权介绍 二、Tusted Service Paths提权 三、PATH环境变量提权 四、不安全的服务提权 五、不安全注册表提权 六、注册表键AlwaysInstall提权 七、泄露敏感信息提权 八、计划任务提权 九、启动项提权 随着网络安全的发展和普及,不打补

    2024年02月03日
    浏览(33)
  • Windows提权

    目录 一、Windows内核溢出漏洞ATSCPS提权 1.基于WEB环境下的权限提升    windows内核溢出漏洞提权 2.基于本地环境下的权限提升-ATSCPS命令 AT SC PS 二、数据库提权 1.Mysql udf提权 MOF提权 2.SQL Server xp_cmdshell提权 xp_oacreate+sp_oamethod提权 sandbox沙盒提权 3.Oracle提权 三、RedisPostgre令牌窃取进

    2024年02月02日
    浏览(36)
  • Windows提权流程及手法

    收集本机systeminfo中补丁信息 在提权辅助平台 https://i.hacking8.com/tiquan/ 中查询可利用exp 查询exp,选择对应的Exp下载运行 提权Exp的运行方式,一般有以下几种: 1、直接执行exe程序,成功后会打开一个cmd窗口,在新窗口中权限就是system 2、在WebShell中执行exe程序,执行方式为xxx

    2024年02月08日
    浏览(39)
  • Windows机器的udf提权

    前提条件 (1)需要拿到mysql的权限 (2)mysql有写入文件的权限 实验步骤 (1)拿到数据库操作页面 (2)查询mysql版本,不同版本dll文件位置不同 (3)查询是否有写入文件权限 (4)查询plugin文件路径 (5)将udf文件内容转换成16进制 (6)将本地udf64.dll文件以16进制数据上传

    2024年02月08日
    浏览(34)
  • Windows系统内核溢出漏洞提权

    目录  Windows内核溢出漏洞原理 溢出漏洞简介 什么是缓冲区 缓冲区溢出 缓冲区溢出目的 Windows内核溢出漏洞利用流程 提权实战思路 手工提权测试 辅助提权 EXP如何寻找 使用MSF提权 关于提权时可能遇到的问题 如果提权的时候发现无法执行命令的话,可以上传一个cmd.exe到可读

    2024年02月07日
    浏览(36)
  • Windows之任意文件删除到提权

    ZDI 发表过从任意文件夹删除到提权的利用过程,还提供了任意文件删除到提权的利用过程,所以一字之差但是漏洞利用方式也是有细微偏差的。 这里把任意文件删除和任意文件夹删除漏洞提权结合起来分析,是因为其最后的利用过程是一样的,通过不同的CVE漏洞利用过程来

    2024年01月18日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包