《Kali渗透基础》10. 提权、后渗透

---

本系列侧重方法论，各工具只是实现目标的载体。
命令与工具只做简单介绍，其使用另见《安全工具录》。

本文以 kali-linux-2023.2-vmware-amd64 为例。

本文以原理为主。
这一部分技术更新换代很快。实操积累经验很重要。

1：提权

提权（Privilege Escalation），通过漏洞或直接获得账号密码，已实现低权限账号登录，希望获取更高权限，对目标进一步控制。

在系统中，不同账号之间权限隔离，这是操作系统安全的基础。

除此之外，操作系统还划分有用户空间与内核空间。

• 用户账号登陆时获取权限令牌。
• 系统账号无需用户登陆就已在后台启动服务。

提权通常分为两种类型：

• 本地提权（Local Privilege Escalation）：利用操作系统或应用程序的漏洞，来执行特权操作或获取更高权限的访问权限。
  这种情况下，攻击者已经获得了系统的一定权限，通常是一个低权限用户或进程，然后利用系统中的漏洞或配置错误，提升为具有更高权限的用户。
• 远程提权（Remote Privilege Escalation）：利用网络服务或应用程序中的漏洞，从而获取对系统的更高级别访问权限。
  这种情况下，攻击者通过网络远程连接到目标系统，并且通过利用系统或应用程序中的漏洞，提升为具有更高权限的用户。

Windows 权限：

• User
• Administrator
• System

Linux 权限：

• User
• Root

不同操作系统提权方法有所不同，但思路和原理相通。

2：Admin 提权为 System

下面先介绍 Windows 中从 Admin 权限提升到 System 权限的思路。

2.1：at

at 命令。定时任务。

原理：定时服务属于系统程序，由其启动的服务具有 System 权限。

示例：

at 19:39 /interactive cmd

可以看到启动了一个具有 System 权限的 cmd 窗口。

适用于 XP，Win2003。之后的 Windows 系统删除了 at 命令。

2.2：sc

sc 命令。编辑服务。

原理：服务属于系统程序，启动的服务具有 System 权限。

示例：

# 创建一个 system 名称的服务
sc Create syscmd binPath="cmd /K start" type= own type=interact

# 启动该服务
sc start syscmd

2.3：SysInternal Suite

Sysinternals Suite 是一组实用工具集，旨在帮助 Windows 操作系统用户进行系统分析、故障排除和安全性评估。

网页链接：https://learn.microsoft.com/zh-cn/sysinternals/downloads/

其中 PsExec 是 Sysinternals Suite 中的一个命令行工具，允许用户以一个具有管理员权限的身份执行命令行操作。

其使用需下载后拷贝到目标系统。

示例：psexec -i -s -d taskmgr

2.4：进程注入提权

进程注入，将代码注入某个进程，并在此基础上生成 shell。

特点：隐蔽性强，不会产生新的进程。

一个针对 Windows 32 位系统的进程注入工具：Process Injector v1.0

Pinjector is a security tool that allows users to execute applications in the context of other users. This tool is used most times in penetration tests to inject code into the logged admin or domain admin process and spawn a shell with their credentials.

3：抓包嗅探

截获网络传送中的数据，分析其中传输的用户名与密码。涉及抓包分析。

Windows 下的抓包工具：

• Wireshark
• Omnipeek
• Commview
• Sniffpass：能够专门捕获通过网络传输的用户名和密码。可以识别 HTTP、SMTP、POP3、FTP 等协议传输的凭据信息。

Linux 下的抓包工具：

• Tcpdump
• Wireshark
• Dsniff：Kali 中用于网络嗅探和密码截取等。

如果使用了加密传输协议，抓包嗅探会很困难。

4：键盘记录

记录目标系统的键盘键入。

• Keylogger
  存放在 Kali 中 /usr/share/windows-binaries/ 目录下。使用时传输到目标机器即可。

• 木马窃取
  例如 DarkComet，一个开源的恶意远程访问工具。其中就有键盘记录功能。

5：本地缓存密码

本节所述的方法需要取得 admin 权限。

若取得系统控制权，缓存在本地的密码将会很危险。

• 浏览器缓存的密码
• 网络密码
• 无线密码
• 一个古老的工具集：http://www.nirsoft.net
• Dump SAM：提取 Windows 操作系统中的密码哈希。

下面是几个针对 Windows 系统的工具。

5.1：PwDump

PwDump 工具可以访问 Windows 系统的安全账户数据库（Security Account Manager，SAM），提取密码哈希。

存放在 Kali 中 /usr/share/windows-binaries/fgdump/ 目录下，需要拷贝到目标 Windows 系统使用。

5.2：WCE

WCE（Windows Credential Editor）用于从 Windows 系统中提取和修改凭据。可以在目标系统上获取当前用户的明文密码、哈希值、凭据缓存等信息，并支持修改用户密码和强制注销用户会话。

存放在 Kali 中 /usr/share/windows-resources/wce/ 目录下，需要拷贝到目标 Windows 系统使用。

5.3：fgdump

fgdump 也用于提取密码哈希。

存放在 Kali 中 /usr/share/windows-binaries/fgdump/ 目录下，需要拷贝到目标 Windows 系统使用。

5.4：Mimikatz

Mimikatz 是法国安全研究人员 Benjamin 开发的一款功能强大的轻量级调试工具，能够直接读取很多 Windows 操作系统的明文密码，除此以外还有很多其他强大的功能。

存放在 Kali 中 /usr/share/windows-resources/mimikatz/ 目录下，需要拷贝到目标 Windows 系统使用。

6：利用漏洞提权

通过系统或软件漏洞进行提权。需要寻找能够利用的漏洞

6.1：Windows

以下是几个例子：

MS11-080 漏洞，在 kali 上可以通过 searchsploit ms11-080 寻找到 EXP：18176.py。再通过 searchsploit -p 18176.py 确定 EXP 保存位置

如果目标系统没有 python 环境，需要提前使用 pyinstaller 库打包为 exe 程序。
https://pypi.org/project/pyinstaller/

对于 win32 系统，还需要 pywin32 库。
https://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/

MS11-046 漏洞 ，可用于 Dos 攻击。

MS14-068 漏洞，提权，在域成员电脑上获得域管理员权限。

6.2：Linux

例如：

CVE-2012-0056 漏洞，可用于 Ubuntu11.10 的提权漏洞。Kali 中对应的 EXP：18411.c。

7：利用配置不当提权

利用配置不当提权与利用漏洞提权相比，是更常用的方法。

• 企业环境下，漏洞补丁全部安装。
• 配置不当，是变量注入之外更值得关注的安全隐患。

配置不当可分为：

• 文件、目录权限配置不当。
• 应用系统的配置文件配置不当。

可将 shell 命名为具有权限的同名可执行文件，替换掉以后即可执行。

7.1：icacls

在 Windows 中，可以使用 icacls 命令来查询、管理和控制文件和目录的权限等。

示例01：保存 C:\Windows 目录下所有的 .exe 文件的权限到 perm 文件中。

icacls c:\windows\*.exe /save perm /T

7.2：find

在 Linux 中，可以使用 find 命令来查询具有某权限的文件和目录。

示例01：查找所有权限位设置为 777 的文件，并显示详细信息。

find / -perm 777 -exec ls -l {} \;

8：信息与数据收集

在取得足够权限后，就可以开始进一步的信息与数据收集工作。

8.1：Linux

一些信息收集示例：

cat /etc/resolv.conf
cat /etc/passwd
cat /etc/shadow
whoami
who -a
ifconfig -a
iptables -L -n
netstat -r
uname -a
ps aux
dpkg -l

除此之外，还有其他敏感信息，例如 .ssh 与 .gnupg 公私钥文件、业务数据库、/tmp/ 临时文件等。

8.2：Windows

一些信息收集示例：

ipconfig /all
ipconfig /displaydns
netstat -bnao
netstat -r
net view
net view /domain
net user /domain
net user %username% /domain
net accounts
net share

除此之外，还有其他敏感信息，例如 SAM 数据库、注册表文件、临时文件、UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\ 等。

8.2.1：WMIC

WMIC（Windows Management Instrumentation Command-line）用于与 WMI（Windows Management Instrumentation）进行交互。

WMI 是管理和监视 Windows 操作系统的框架，允许管理员获取系统信息、监视系统活动等。

示例：

wmic nicconfig get ipaddress, macaddress
wmic computersystemget username
wmic netlogin get name, lastlogon
wmic process get caption, executablepath, commandline
wmic process where name="calc.exe" call terminate
wmic os get name, servicepackmajorversion
wmic product get name, version
wmic product where name=“name” call uninstall /nointeractive
wmic share get /ALL
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1“
wmic nteventlogget path, filename, writeable

9：痕迹隐藏

渗透完成后，要清除相关的痕迹。

包括但不限于以下几点：

• 禁止在登陆界面显示新建账号。
• 命令执行记录。
• 日志。（Linux 日志详见《【Linux基础】08. 日志管理 · 备份与恢复》）
• HIDS，Host Intrusion Detection System，主机入侵检测系统

---

西园公子名无忌，南国佳人号莫愁。

——《忆昔》（唐）韦庄