Kali Linux 从入门到精通(十一)--提权

Kali Linux 从入门到精通(十一)–提权

本地提权

• 已实现本地低权限账号登录
  • 远程溢出
  • 直接获得账号密码
• 希望获取更高权限
  • 实现对目标进一步控制
• 系统之间权限隔离
  • 操作系统安全的基础
  • 用户空间
  • 内核空间
• 系统账号
  • 用户账号登陆时获取权限令牌
  • 服务账号无需用户登陆已在后台启动服务
• Windows
  • user
  • Administrator
  • System:实质最大权限账号
  • 注:非包含关系,交集
• Linux
  • User
  • Root:相当于Administrator和System

Windows 系统提权之----ADMIN–提取为SYSTEM

• Windos账号
  • 系统设置管理功能
  • Sysinternal Suit
    • https://technet.microsoft.com/en-us/sysinternals
    • psexec -i -s -d taskmgr
  • at 19:39 /interactive cmd
  • sc Create syscmd binPath=“cmd /K start” type=own type=“interact”
  • sc start syscmd(系统默认以SYSTEM方式启动服务)
• 注入进程提权
  • 隐藏痕迹
  • pinjector.exe
    • http://www.tarasco.org/security/Process_injector/

抓包嗅探

• Windows
  • Wireshark
  • Omnipeek:Windows抓包工具,界面友好
  • commview
  • Sniffpass (基于抓包密码抓取数据)
• Linux
  • Tcpdump
  • Wireshark
  • Dsniff (抓取密码)

键盘登录

• Keylogger
• 木马窃取

本地缓存密码

• 浏览器缓存的密码

  • IE浏览器
  • Firefox

• 网络密码

• 无线密码

• http://www.nirsoft.net

• Dump SAM(数据库)

  • Pwdump(从windows的SAM中读取密文)
  • /usr/share/windows-binaried/fgdump/
    • 生成PWDUMP 文件
    • 使用ophcrack(密码破解工具) 进行爆破

Windows 身份认证过程



WCE(WINDOWS CREDENTIAL EDITOR)<======工具(win7之前)

• /usr/share/wce/
• 需要管理员权限
• wce-universal.exe -l / -lv
• wce-universal.exe -d
• wce-universal.exe -e / -r
• wce-universal.exe -g
• wce-universal.exe -w
• LM/NT bash
• 从内存读取LM/NLTM hash
• Digest AAUTHENTICATION Package
• NLTM Security Package
• Kerberos Security Package
• 防止WCE攻击

其他工具

• pwdump localhost
• fgdump
• mimikatz
  • privilege::debug # 提升权限
  • sekulsa::logonPasswords

利用漏洞提权

• MS 11-80 漏洞 ( 单机漏洞提取)
  • Ms 11-080 (11 年第80个漏洞)—> 中文版本会产生dos(拒绝服务攻击)
  • Kb2592799
    • https://technet.microsoft.com/library/security/ms11-080
  • Pyinstaller
  • Pywin32
  • MS11-046
    • DoS
• MS14-068 漏洞 (获得域的管理员权限 操控多台计算机)
  • 库
    • http://github.com/bidord/pykel
  • ms14-068.py -u [email protected] -s userSID -d dc.lab.com
  • 拷贝 TGT_user1@ lab.com cache到windos系统
  • 本地管理员登录
    • mimkatz.exe
• CVE-2012-0056 (Linux OS 漏洞)
  • /proc/pid/mem (进程权限控制不严格)
  • kernels>2.6.39
  • http://blog.zx2c4.com/749

利用配置不当提权

• 与漏洞提取相比 更常用的方法
  • 企业环境
  • 补丁更新的全部已经安装
  • 输入变量过滤之外更值得研发关注的安全隐患
  • 以system的权限启动
  • NTFS权限允许users修改删除
• icals
  • icals c:\windows*.exe /save perm /T
• Find
  • find / -perm 777 -execls -l {} ;
• 应用系统的配置文件
  • 应用连接数据库的配置文件
  • 后台服务运行账号

基本信息收集

• Linux
  • /etc/resolv.conf
  • /etc/passwd
  • /etc/shadow (保存有密码)
  • whoami,who -a
  • ifconfig -a iptables -L -n,netstat -rn
  • uname -a,ps aux
  • dpkg -l | head
• Windows
  • ipconfig / all, ipconfig/displaydns netstat -bnao,netstat -r
  • net view,netview /domain
  • net user/domain
  • net accounts,net share
  • net localgroup administarators username /add
  • net group “Domain Controlleds” /domain

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)<—强大功能

• wmic nicconfig get ipaddress,nacadess
• wmic computersystem get username

收集敏感信息

• 商业信息
• 系统信息
• Linux
  • /etc ; /usr/local/etc
  • /etc/pass ; /etc/shadow
  • .ssh ; .gnupg 公私钥
  • The e-mail and data file
  • 业务数据库 ; 身份认证服务器数据库
  • /tmp
• Windows
  • SAM 数据库 ; 注册表文件
  • %SYSTEMROOT%\repair\SAM (存放SAM副本)
  • %SYSTEMROOTS%\System32\config\RegBack\SAM (存放SAM副本)
  • 业务数据库 ; 身份认证数据库
  • 临时文件目录

隐藏痕迹

• 禁止在登录界面显示新建账号
• REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windoes NT\CurrentVersion\WinLogon\SpecialAccounts\UserList” /v uname /T
  REG_SWORD/D 0 (隐藏账号)
• del %WINDIR%*.log /a/s/q/f
• History
• 日志
  • auth.log / secure
  • btmp / wtmp
  • lastlog / faillog
• 其他日志和HIDS等