第九天作业
1.安装CS,写安装步骤
2.总结用户组和用户、windows信息搜集命令
3.总结手工提权思路,拿土豆提权
4.用CS插件提权,提虚拟机或本地都行
加分项:MSF提权
一、Cobalt Strike安装
服务端
在安装Cobalt Strike的时候需要安装服务端以及客户端,并且服务端必须要安装在Linux系统下,而客户端就没那么多要求。同时服务端和客户端都需要安装java运行环境。
1.下载CS文件后,将其中sever文件发送到服务端
2.赋予teamserver文件可执行权限
使用命令chmod +x teamserver
3.运行服务端
运行服务器,需要执行./teamserver IP地址 密码,IP地址即团队服务器的IP地址,密码为团队服务器的密码。CS允许团队多人协同使用。
客户端
客户端只需将client文件解压缩即可
二、总结用户组和用户、windows信息搜集命令
1.用户组和用户
net user #查看所有账户
net user 用户名 #查看用户详细信息
net user 用户名 新密码 #给用户改密码(只有管理员可使用)
net user 用户名 密码 /add(/del) # 创建(删除)用户名和密码
net localgroup #列出所有组
net localgroup 组名 /add #新建组
net localgroup 组名 #查看该组成员
net localgroup administrator 用户名 /add(/del) # 把用户添加(把用户从组中删除)到管理员组
net user 用户名 /active:yes #激活账户
net user 用户名 /active:no #禁用账户
2.Windows信息搜集命令
2.1 系统程序
net config workstation # 查询简易系统信息
systeminfo # 查询全部内容
wmic qfe get Caption,Description,HotFixID,InstalledOn # 查询已安装的补丁列表
2.2 进程服务
tasklist /v
# 查询正在运行的进程
wmic product get name,version
# 查询所有安装过的软件及版本
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
# 使用 powershell 查询所有安装过的软件及版本,效果和 wmic 相同
wmic service list brief
# 查询当前机器的服务信息
wmic startup get command,caption
# 查看启动项
schtasks /query /fo LIST /v
# 查看任务计划
2.3 防火墙
netsh firewall show config
# 查看防火墙信息,但 firewall 命令已弃用,可使用 advfirewall 命令代替
netsh advfirewall firewall show rule name=all
# 查看配置规则
netsh advfirewall set allprofiles state off\on
# 关闭防火墙\开启防火墙
netsh advfirewall export\import xx.pol
# 导出\导入配置文件
netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block
# 新建规则阻止TCP协议139端口
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
# 新建规则允许3389通过防火墙
netsh advfirewall firewall delete rule name=Remote Desktop
# 删除名为Remote Desktop的规则
netsh interface
# 连接安全规则配置,很少配置。
2.4 用户信息
whoami # 当前用户
quser # 查询登录用户,同 query user
qwinsta # 查询登录用户,同 query user
query user # 查询登录用户
query session # 查询会话
query termserver # 查询远程桌面主机列表。
net accounts # 查询域密码策略
net user # 查询本地用户列表
net user "$username" # 查询指定用户
net localgroup # 查询本地用户组列表
net localgroup "$groupname" # 查询指定用户组成员
net group # 仅域控可执行,查询用户组列表
net group "$groupname" # 仅域控可执行,查询用户组成员
2.5 历史操作记录
Get-History | Format-List -Property * # 查询 powershell 当前窗口历史操作记录
Clear-History # 删除 powershell 当前窗口历史操作记录
Clear-History -Id 3 # 删除 powershell 当前窗口指定 ID 的历史操作记录
doskey /h # 查看 cmd 的历史操作记录
doskey /reinstall # 删除 cmd 的历史操作记录
2.6 基本搜集命令
ipconfig /all # 列出当前主机详细网络信息
ipconfig /displaydns # 列出dns缓存信息
route print # 查询路由表
arp -a # 地址解析协议缓存表
netstat -ano # 端口使用情况
net share # 查看共享信息
net view # 查看共享资源列表
wmic share get name,path,status # 查看共享信息
type c:\Windows\system32\drivers\etc\hosts # 查看 host 文件
三、总结手工提权思路,拿土豆提权
1.手工提权思路
常用步骤
1.信息收集:收集系统信息,补丁信息,杀软等。
2.筛选可能存在的exp
3.利用exp进行攻击获取权限
补丁筛选
https://github.com/bitsadmin/wesng
使用方法
1.在⽬标主机上执⾏systeminfo
,复制输出信息到本机
2.在本机执⾏以下命令
python wes.py systeminfo.txt --color
python wes.py systeminfo.txt --color -i "Elevation of Privilege"
3.根据漏洞编号寻找可利用脚本EXP,注意选择与目标系统架构和版本相匹配的EXP。
4.将EXP上传到目标系统,并寻找合适的方式执行它。
5.成功执行EXP后,将获得更高的权限,但为避免漏洞被修复或被管理员发现,应寻找权限维持的办法。
EXP获取
https://github.com/Ascotbe/Kernelhub
http://kernelhub.ascotbe.com/Windows/Docs/#/
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/nomi-sec/PoC-in-GitHub
https://gitlab.com/exploit-database/exploitdb
土豆家族
GodPotato
https://github.com/BeichenDream/GodPotato
SweetPotato
https://github.com/CCob/SweetPotato
BadPotato
https://github.com/BeichenDream/BadPotato
RoguePotato
https://github.com/antonioCoco/RoguePotato
CandyPotato
https://github.com/klezVirus/CandyPotato
EfsPotato
https://github.com/zcgonvh/EfsPotato
MultiPotato
https://github.com/S3cur3Th1sSh1t/MultiPotato
RasmanPotato
https://github.com/crisprss/RasmanPotato
PetitPotato
https://github.com/wh0amitz/PetitPotato
JuicyPotatoNG
https://github.com/antonioCoco/JuicyPotatoNG
PrintNotifyPotato
https://github.com/BeichenDream/PrintNotifyPotato
CoercedPotato
https://github.com/Prepouce/CoercedPotato
2.使用土豆进行提权
此处由于对Windows 11提权失败,使用土豆对Windows server 2012进行提权。
此处使用printnotifyPotato
命令:.\PrintNotifyPotato-NET2.exe whoami
可以看到提权成功。
四、用CS插件提权
1.客户端打开CS,输入配置信息,连接到团服务器
2.创建监听器
3.点击有效载荷,选择生成Windows可执行文件,生成木马文件,选择监听者为刚刚创建的监听者。
4.将该木马文件上传至Windows Server 2012中,运行该木马文件,可以在客户端出现会话
5.选择监听会话,右键选择插件梼杌,选择juicypotato进行提权,可见提权成功。