本文为学习笔记,很多不足之处望各位指导一下~
注入进程提权:
该方式在实现提权的同时给系统安放了后门,以便于进行隐蔽的监听。
下载pinjector.exe程序:
https://www.tarasco.org/security/Process_Injector/
然后将该程序放入system32目录中,在命令行中输入pinjector,提示有-l和-p两个参数,先输入pinjector -l 列出当前执行的进程及其相应的用户名。找到其中一个包含System用户的进程进行注入即可:
输入的端口号实现监听,可在Kali中用nc进行监听,并且可得到System用户的权限:
利用漏洞提权:
前面的提权都是在管理员权限下进行的,如果是普通用户则可以通过可能存在的漏洞进行提权。下面以两个漏洞举例。
MS11-080:
Kb2592799——关于漏洞的描述等的信息
https://technet.microsoft.com/library/security/ms11-080
在Kali中查找相应的模块,需要添加-v参数才查找得到:
searchsploit -v ms11-080
在实验系统中,在运行中输入
appwiz.cpl
来查看是否打上了相应的补丁
在a用户的命令行上执行Python脚本转换而来的exe执行文件(看补充知识点),其中需要输入相应的参数:
输入whoami查看权限,可见注入成功,已提权到SYSTEM:
进一步利用,将a用户添加进管理员组,此后的登陆之后都是管理员权限:
MS14-068:
设置域服务器:
以win server 2k3作为域控制器:
接着运行域控制器的安装,其中在安装DNS服务器时需要插入光盘,在虚拟机中插入安装时该系统的iso文件即可:
dcpromo
以一台Win7作为连接域的主机,关于Windows系统的相关下载可以到:https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
先将win7主机的DNS服务器的IP改为域控制器的IP:
右键我的电脑>属性>Advanced system>电脑名>Change>Domain:
填写相应的域名、域控制器管理员账号和密码后设置完成
在运行中输入
dsa.msc
打开域管理工具,为成员赋予账号:
创建成功后即可在win7上用该账号登陆
在win7登陆时要更换选项:
(域下的账号密码都可以通过下面补充知识讲的工具来获取的。)
在Computers目录中右击目标主机点管理可以对该主机进行远程管理,当然前提是要将目标主机的防火墙关掉:
搜索MS14-068的脚本,加入参数-v后才看到有:
在域的普通用户中通过whoami /all来查看域用户对应的SID:
到下面的网址下载库文件到Kali的Python目录中,否则命令执行会报错:
https://github.com/bidord/pykek
到下载了库文件的目录下(也可以将下载的库文件添加到Python目录中)执行命令生成票据:
python ms14-068.py -u [email protected] -s S-1-5-21-3820864329-1176416056-238591408-1109 -d 10.10.10.144
将票据
[email protected]复制到Win7中
本地管理员登陆,把票据放到该目录下,进入mimikatz框架执行(关于mimikatz看下面的补充知识):
kerberos::ptc [email protected]
虽然注入成功了但是却没有得到相应的权限,查找关于ms14-068的补丁,看到编号为3011780:
Kb3011780:https://technet.microsoft.com/library/security/ms14-068
然后再win7上用
appwiz.cpl
打开查看补丁更新,查看到Kb3011780的补丁,将它卸载掉即可:
补充知识点:
将Python脚本转换为exe文件方便测试:
下载以下两个程序,并在安装有Pyhton环境的主机上进行转换:
Pyinstaller:https://pypi.python.org/pypi/PyInstaller/2.1
Pywin32:https://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/
Pywin32是个exe执行文件直接执行即可,然后将Pyinstaller文件夹放置在Python环境所在的文件夹里面,为的是方便在命令行中使用..\来返回上一级目录直接查找到Python环境所在的路径;直接调用pyinstaller.py可查看如何使用:
下面用cookies.py作为例子进行转换,输入:
..\python pyinstaller.py --onefile ms11-080.py
--onefile参数,即生成一个文件的执行程序,将调用的外部文件等包含在里面,防止在其它主机使用时出错。
几个查看用户信息的Windows程序:
WCE(Windows Credential Editor):
在Kali中有:
/usr/share/wce/
其中有几个文件,将wce目录整个复制到Windows XP系统的C盘中,然后先增加两个用户:
通过-h参数查看相应的参数信息。
-l参数显示已经登录的账号,加个v参数更写详细:
-w参数查看已经登录的用户及其登陆密码:
切换到其他用户也登录之后再执行可看到所有已登录的用户的密码
-d参数实现删除相应lid的用户
防止别的用户查看:
在系统的注册表中删除默认启动的包wdigest(本地)、tspkg(终端),但同时系统不可以再进行多用户登陆。
在cmd中输入regedit来启动注册表,该安全包相应的路径为:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages(注意删除的时候要将空白的行也删掉,否则会报错)
fgdump:
即使还没登录的用户的信息也能查看得到,在Kali中的
/usr/share/windows-binaries/
拷贝进去之后,直接点击fgdump.exe会生成三个文件:
其中pwdump文件是调用pwdump程序进行查询所有用户的:
mimikatz:
压轴的牛逼工具,在Kali中的
/usr/share/mimikatz/
然后将其放入XP的C盘中。
在命令行中进入相应的目录,输入mimikatz.exe直接进入其框架内。
查看使用方法,输入两个冒号(::)而不是help或问号。
提升权限到debug方便后面的命令进行查看:
privilege::debug
(可以先输入privilege::来查看有哪些可输入的参数)
查看当前已经登录的账号、密码:
sekurlsa::logonPasswords
登录其他用户后再尝试,可看到已经登录的用户的信息都能查看到:
如果将参数改为wdigest,可以看到在每个用户的显示中只会显示wdigest那一块。
Token模块里面有whoami参数,可以直接使用而不用再下载:
Ts模块允许多用户进行并发登录操作。
Event模块对事件日志进行相应的操作:
通过输入eventvwr打开系统日志。
Clear参数可以清除系统的安全性日志。
Drop参数可使以后登录的行为都不会记录在eventvwr日志里。
Misc模块里可以通过参数启动cmd、taskmgr、regedit等。
本地提权暂时到此,若有新的学习体悟再做笔记~