Windows提权
Window 基础
一、用户与用户组
视窗中不同的用户有不同的权利,主要能力包括:
- 完全控制
- 修改
- 读取和执行
- 列出文件夹内容
- 读取
- 写入
1、内置用户
- 署长:账户对系统拥有完全的权力。
- 客座:拥有因违约而丧失基本权益的客座账户。
2、查看本地用户
3. 见用户信息
- 用户也可以属于几个用户群体。管理员、用户、用户、客人和远程桌面用户是通用用户群体。
4、查看本地组
5、内置用户组
- 行政、行政、行政、
- 创建用户默认被指派的新组 。
- 宾客最低许可
- 因特网信息服务小组(iis-users)的内置小组。
6、查看用户信息
二、SID的观点要点
- 向用户、机器和群体发放RID,增加1 00份。
提权基础
一、提权解释
退出权是指提高经常用户的权利,也称为特权,以及更新Webshell特权,以便通过不同差距在渗透测试中获得服务器特权。
- Webshell的能力因中间人而异,如果不明确构建,网壳的能力将继承中间人。
二、提权常用方法
Windows的增强能力方法:
- 漏洞提权
- Windwos 地貌进展
- 第三方组件提权
- 数据库提权
- ftp提权
三、常用命令
四. 视窗无障碍辅助脚本
- https://github.com 本文是我们特别报导全球之声在线/Secwiki/Windows-cernel-developments/tree/master/win-exp-suggester的一部分。
- com/chroblert/WindowsVulnScan。
- 这是我们对2011年乌克兰选举的特别报道的一部分。
- https://lolbas-project.org/,https://lolbas-project.org/。
- 本文是全球之声网路与埃及抗争2011年特别报导的一部分。
五、提权流程
能够执行cmd命令->是否打补丁->补丁对应exp->获取服务器权限
六、补丁查询
systeminfo > sys.txt
1 网站:https://i.org/-Hacking 8.
2. Wesng 查询的补丁
https://github.com/bitsadmin/wesng
WindowsVuln 扫描的查询补丁
https://github.com/chroblert/WindowsVulnScan
在试图使用该数据库之后,发现CVEKB数据库仅更新到2017年,没有提供关于CVE是否有公开可用的EXP信息的信息。
工具的原理是
收集 CVE 与 KB 的通信。 我们首先收集 CVE 与 KB 在 Microsoft 上的通信, 然后保存在数据库中 。
确定在一定的CVE网站上是否有可公开查阅的EXP。
使用Powershell脚本,收集主机和 KB 信息的某些系统版本。
使用在 KB 信息主机上带有开放 EXP 的 CVE 系统版本 。
七. 查阅目录或文件。
Windows利用了访问权。
一. CVE 2016-3225(ms-16-075)现在可以使用。
1、漏洞描述
当攻击者通过与同一机器上运行的其他服务相关的认证请求时,微软服务器电文块(SMB)存在特殊增强差距。 成功利用这一差距的攻击者可以利用增加的特权执行任何代码。
若要利用此漏洞,攻击者必须首先进入该系统。然后,攻击者可以使用专门设计的程序来利用破解装置。它负责受影响的系统。此更新通过指示 Windows 服务器信件块( SMB) 服务器正确处理传输请求来解决这个问题 。
[注:马铃薯腐烂是一种当地先令,不能供域用户使用。 ]
2、漏洞复现
- 在Webshell https://github.org上上传可执行目录的文件,
- 开启3389
- 连接服务器
二. MS14-058 CVE-2014-4113
1、漏洞描述
如果 Windows 内核模式驱动程序错误处理存储项,在特权晋升方面,有一个裂痕。一个成功利用这一缺陷的进攻者 有能力运行任何内核模式的密码攻击者然后可以安装软件,读取、修改或删除数据,或建立一个拥有全部管理员权限的新账户。
2、漏洞复现
同样
三、CVE-2020-0787
1、漏洞描述
当 Windows 背景网络传输服务(BITS) 无法适当分析符号链接时, 无法使用对称链接 。存在权限提升漏洞。成功利用这一缺陷的攻击者可能隐藏目标文件,导致升级。要利用此漏洞,攻击者必须首先进入该系统。然后,攻击者可以执行一个精心设计的程序利用这个空白来占你便宜 操纵受影响的系统
2、漏洞复现
com/cbwang505/CVE-2020-0787-EXP-AL-WINDOWS-VERSION/释放。
为网络用户黑暗 123456/add 设定标准用户登录
c: 窗口调试 WIAbits
四、MSF提权
第一个是Kali倒回去了
2. 使用 Webshell 上传到可执行位置。
3、设置msf监听
4. 后门的网壳安装
5、常见提权模块
六,用它做实验
7、msf基本命令
8、查询补丁情况
检查模块设计的使用
10、进程迁移
- ps列出
- Migrate 2744调查程序
交互式和非交互式壳壳体
交互shell
- 交互式 shell 是执行您提供的指令前等待输入的 shell 。
- 由于贝壳与用户互动,这一模式被称为互动模式。
- 大多数用户也熟悉这个模型:登录、执行一些指令、签名。当签名退出时,贝壳也停止了。
- 您必须和数据互动,例如,输入消息时,必须返回,必须输入,必须执行命令。
- 这些是交互式的 shell 命令, 如 cmd 终端 msf 反弹后门 shell nc 反弹 shell shell 。
非交互shell
壳牌炸弹也可以以非互动方式执行。非互动的 shell 脚本执行在这种模式下,壳牌无法与你眼神接触相反,它读取并执行文件储存的订单。随着文件达成结论,壳牌暂停。
反弹shell
使用工具或脚本将攻击者的客户端与服务器连接,称为反向贝壳功率。它从内部到外部。所以能穿透防火墙,通常,防火墙只是拦截进入的交通。没有任何办法可以阻止人民离开这个国家的洪水。因此,弹壳可能有许多防火墙。保镖壳也是一个互动壳。通信是交互的,因此,可以执行更多的命令。而且没有超时限制,可从受害人的服务器下载。更多的资料。
NC I 弹弹贝壳
1 nc 贝壳弹弹
- 攻击者监听
- 上传 nc 到服务器端, 然后在服务器端执行 nc 。
二. 壳牌被PowerShell击退。
Powercat是相当于nc的电壳。
org。 校对:Portnoy
1、攻击者本机监听
2. 运行电源外壳命令
- 默认网站被墙了
- Python可用于在攻击计算机上发射一个小服务器。
强力猫应该上传
在 Webshell 中弹出 shell 的命令 。
三. 从Nishang发射的反射炮弹
Nishang(https://github.com/samratashok/nishang.com/samratashok/nishang)以PowerShell的攻击框架为基础。一些攻击中使用了电光板脚本和有效载荷。tCP/UDP/HTTP/HTTP/HTTPS/ICCMP 可逆种类
Reverse TCP shell
1、开启监听
2、搭建服务器
3. 实施Webshell
Reverse UDP shell
1、监听
2、执行
四. Python弹射了厘米壳。
如果目标支持 Python3, 反弹 shell 可以在脚本中直接执行, 如果你面对猎杀软, 您可以使用一个 Exele 生成的版本, 它可以是一个极好的逃生软版本 。 ( Pycat)
- 目标上没有可装入可上传执行文件的 Python 。
1、监听
2、执行
访问 Windows 配置错误
I. 错误配置系统服务权限
1、描述
当系统启用时, Windows 将启动若干高级服务( 窗口服务带有系统权利 ) 。 如果某些服务存在缺口, 该服务, 如 DLL, 可以用来劫持权限 。
2、漏洞介绍
如果用户对用于此系统功能的可执行文件拥有低权限的牙刷写权限,则随着系统启动,可替换为控制权限。
视窗经系统许可后运行,其档案、文件和登记表通过必要的出入控制得到保证,但在某些情况下,操作系统仍然提供无保护的服务。
3、复现
方法一:用Powershell扫描
PivescCheck( Powershell 命令)比 PowerUp 显示范围更广,因为该显示很久没有更新,因此建议使用该工具来制造详细的配置错误。
git clone https://github.com/itm4n/PrivescCheck.git
应装入电动壳扫描仪 。
(通过SC命令)发现了可用的服务。
方法二:无国界医生单元的扫描
- 使用模块
- 服务_许可模块以两种方式获得系统权利:如果使用管理员权限启动,它试图建立和运行新的服务,如果现有的许可不允许形成一个服务,即文件或文件夹存在问题并被劫持的文件或文件夹无法成立,它创建了一个可执行程序,其文件名和安装路径为随机操作服务_许可模块以两种方式获得系统权利:如果使用管理员权限启动,它试图建立和运行新的服务,如果现有的许可不允许形成一个服务,而文件或文件夹存在问题并被劫持,它创建了一个可执行程序,其文件名和安装路径为随机文件名和安装路径。
二. 进入不含引号的服务路线
1、描述
如果服务二进制路径不包含在引号中,操作系统将首先使用遇到的空间分隔服务路径。
2、条件
- 服务存在空格
- 目录可写
2、漏洞复现
当执行时没有报价, Windows 会分析第一个空间前文件 。
电壳和实绩用于扫描空间。
上传重命名的后门文件到 C: programData 。
重新启动系统后获得高清晰度外壳 。
msf自动进程迁移
set AutoRunScript migrate -f
三. 配置文件的存取自动安装。
1、漏洞描述
当网络管理员在同一环境中在内联网上安装许多设备时,他们通常使用脚本进行大宗操作,即安装配置文件提供所有安装设置信息,包括地方管理员账号和在某些情况下密码。
2、漏洞复现
- 运行以下命令: 搜索 unattend. xml
- 我不知道你在说什么 管理员的密码在xml文件的基数64编码
- 也使用msf的
post/windows/gather/enum_unattend对这个配置文件扫描
四. 当地DLL劫持地方当局
1、漏洞原理
当 Windows 软件启动时, 它需要一个 DLL 。如果这些 DLL 不存在,您可以通过将恶意 DLL 放置到您想要找到的地方来增加您的权限 。通常,Windows 程序中的 DLL 搜索路径已预设 。将按以下顺序审阅:
2、攻击过程
Dll - 创建圆木木马 - 替换 dll - 开始应用
3、漏洞复现
收集程序装载 DLLs 。
- 弹匣中装上了一个火火焰剑分析过程。
- [注] 系统文件通常无法更改,但未知和数字签名的文件除外。
制作木马
替换dll
当服务器管理员激活程序时, 他或她将获得带有管理员证书的反弹 shell 。
第三方提权
安装第三方软件程序,如 Mysql sqlserverftp, 如果配置不正确, 可能会给服务器造成安全问题, 并导致删除。
I. Sqlserver的准入权
1、描述
如果网站的数据库是 sqlserver 并发现Sa的密码利用提权脚本,执行命令,但不一定系统的权利。行政官也有责任开始执行Sqlserver许可。
2、敏感文件
3、复现
使用 msql 连接工具或 Webshell 网络访问脚本连接, 输入账号和密码 。
启动 xp_ cmdshell 。
二、udf提权
1、描述
Mysql 中的自定义函数可用于增加功率 。在 Mysql5 中, udf = 用户定义的自定义函数 。 版本 1 必须放在插件目录/ lib/ plugin 中, 之后文件将变成 dll 。c语言编写
2、插件目录
- 搜索插件插件目录 。
3.复现
- 在网站上,您可以获得连接号码和密码,用于 Mysql 服务。
- 在网站目录中添加权利脚本 。
四. 进入 Mysql 的权利
第32版采用了与64-bit Mysql相同的功能创建方法,而第64版使用了64 udf. dll。
The MySQL server is running with the –secure-file-priv option so it cannot execute thisstatement,这是 Mysql 的默认选项, 防止在 Mysql 中出现进出口 。 Ini 添加安全文件- priv = 保存 Streatymysql
- 无法创建/ 写入文件“ D ” : pStudyMySQLexplateinmoonudf.Dll 缺乏导出权限或插件目录不存在 。获取机会不足或需要手工制作
三、mof提权
1、描述
主机对象格式( MOF) 文件是创建和登记供应程序、 事件类型和事件的简单方法 。在财政部文件中创建了类例和类定义之后,文件可以合并起来。在汇编财政部文件时,各种定义和实例都登记在CIM仓库中。之后,提供关于WMI和Vision Studio Analyzer可能利用的程序、事件种类和活动的信息。在财政部的论文中,建立程序、事件类型和事件类型的例子。要指定要分析的自定义对象,之后,就文件可以合并起来。
2、原理
Mof 是一个 Waddows 系统文件( 位于 c:/ windows/ systems32/ wbem/mof/nullevt. Mof 被称为“ 主机对象格式 ” ), 其工作是每五秒钟监测进程创建和死亡情况 。
在获得 Mysql 根接入后,最后,有了根接入, 运行我们的上传工具 。此 mof 将在特定时间后执行 。a vbs 脚本是其中之一。大部分 vbs 由 CCD 的 Add 管理员用户命令指挥 。
3.影响版本
一. 2003年及以后的窗口
2. Mysql 以 c:/ windows/ systems32/wbem/mof 目录的读写权限开始身份 。
三. 安全档案 - 普里夫不是无效的
绕过UAC
1、描述
在Vista和后来版本中,UAC(用户账户控制、用户账户控制)允许用户确认是否批准目前为制止恶意应用程序而可执行的软件。
通过援引BypassUAC(没有弹片窗口,处决文件不得直接启动),用于远程执行目标的exe 或 Bat exe 可以绕过此安全检查 。
2、复现
msf 搜索 uac 模块
绕行模块通常可能被绕过,尽管这不排除失败的可能性。
程序将可信赖的发行证书输入 Windows UAC 。
用于绕行,使用绕行注射模块。
移徙到64号手续是安全的。
Hashdump 实验