windows c++ 服务 当前用户提权_渗透技巧——Windows中net session的利用

最新推荐文章于 2023-05-03 15:05:59 发布
最新推荐文章于 2023-05-03 15:05:59 发布
阅读量357 收藏 1
点赞数 1
文章标签: windows c++ 服务 当前用户提权 windows 查看进程 windows查看进程

0x00 前言
在Windows系统中,使用net use命令能够实现远程连接网络中其他计算机的共享资源,连接建立后会创建一个net session。 在渗透测试中,如果我们获得了一台Windows主机的权限,在上面发现了net session,就可以利用这个net session,使用net session的token创建进程。0x01 简介
本文将要介绍以下内容:· 查看net session的方法· net session的利用· net session的清除· 利用思路· 防御建议0x02 测试环境
COMPUTER01:· Win7 x64· 域内一台主机· 192.168.10.2· 使用帐号test1登录DC:· Server2008 R2x64· 域控服务器· 192.168.10.1
在DC上使用域管理员帐号Administrator通过net use远程连接COMPUTER01,如下图:

36cb57bf4c21ba49deee69222f5c64a5.png

0x03 查看net session的方法1、cmd命令
net session
如下图:

2ed0cefc289f36a13a2e392d57fe57e7.png

2、LogonSessions
下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/logonsessions
如下图:

4e9e41b03a7bb468b120d4ca2182a08f.png


可以发现,net session的Logon type为Network。3、c++实现
首先通过Windows API LsaEnumerateLogonSessions()枚举当前的Logon Session。
接着使用LsaGetLogonSessionData()获得每个Logon Session的具体信息。
在程序编写上需要注意无法直接显示sid和时间,需要对格式进行转换。
开源代码地址:https://github.com/3gstudent/Homework-of-C-Language/blob/master/ListLogonSessions.cpp
代码按照LogonSessions的格式输出结果。4、mimikatz
privilege::debug token::list
如下图:

9d1325af3e94729bd2addac001e0962b.png


TESTAdministrator对应的ID为6919466。补充mimikatz的命令
查看当前token:
token::whoami
恢复进程token:
token::revert
假冒成system:
token::elevate
假冒成domain admin:
token::elevate /domainadmin
假冒成enterprise admin:
token::elevate /enterpriseadmin
假冒成admin:
token::elevate /admin
假冒成id为123456的token:
token::elevate /id:1234560x04 net session的利用
net session的token保存在lsass进程中,如下图:

c77af1e7e7a99c43b90c806ee203de2e.png


在利用上,net session等同于对其token的利用。1、mimikatz
假冒成id为6919466的token:
token::elevate /id:6919466
如下图:

3f89ef0a669c410349644d5939f16c1f.png


注:· 上述操作只改变了Thread Token。· Windows下有两种token:Primary Token和Impersonation Token。· Primary Token对应Process Token,每个进程都有唯一的Primary Token。· Impersonation Token对应Thread Token,可以被修改。
接下来,使用该token创建进程cmd.exe:
process::start cmd.exe
但是该命令不会使用新的Thread Token,也就是说进程cmd.exe并没有以TESTAdministrator启动。原因如下:https://github.com/gentilkiwi/mimikatz/blob/110a831ebe7b529c5dd3010f9e7fced0d3e3a46c/mimikatz/modules/kuhl_m_process.c#L38
如下图:

8d73d7f026eac5417978d9722042d61e.png

https://github.com/gentilkiwi/mimikatz/blob/110a831ebe7b529c5dd3010f9e7fced0d3e3a46c/modules/kull_m_process.c#L490
如下图:

bfa34e4e67beb54d87b1501f5f4328d6.png


mimikatz在执行process::start命令时,使用CreateProcess创建进程,并没有传入token。解决方法:· 修改mimikatz的源码,使用CreateProcessAsUser()创建进程,能够传入Token。· 当然,我们还可以使用其他工具来实现这个过程。2、使用incognito
源代码开源地址:https://github.com/fdiskyou/incognito2
注:· 在之前的文章《渗透技巧——Token窃取与利用》曾介绍过incognito的用法· 列出当前token:
incognito.exe list_tokens -u
以"TESTAdministrator"启动cmd.exe:
incognito.exe execute -c "TESTAdministrator" cmd.exe
如下图:

f347a3def10784d21f9e73e3f06857c8.png


net session利用成功,以用户"TESTAdministrator"启动进程cmd.exe,如下图:

c3673695c01612aa40ac06b5a8646a37.png

0x05 net session的清除1、cmd命令
net session /delete /y2、删除net use连接
net use的发起方删除连接:
net use * /del /y0x06 利用思路1、本地提权
如果尚未获得本地管理员权限,但获得了SeImpersonate或者SeAssignPrimaryToken权限,就能利用net session中的token创建新进程,实现提权。
注:
之前的文章《Windows本地提权工具Juicy Potato测试分析》和《渗透技巧——Windows Token九种权限的利用》提到过这个方法。2、域内渗透
取决于net session的权限,新创建的进程能够继承net session的token0x07 防御建议
1、域环境内限制用户权限,尽量避免使用域管理员帐户远程连接。
2、使用net use远程连接后记得及时清除。0x08 小结
本文介绍了利用net session的token创建进程的方法,分析利用思路,给出防御建议。

本文为 3gstudent 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: http://www. 4hou.com/technology/155 18.html 更多内容请关注“嘶吼专业版”——Pro4hou
weixin_39837727
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于C++当前程序提权
05-10
用于给程序提升权限,满足当前进程在不同环境下的需求。
windows下使应用程序获得管理员权限办法
08-31
dll功能:让应用程序以管理员权限运行,不受当前计算机用户影响(不管你是普通用户还是管理员),接口简单易懂,亲测c++和c#,unity平台都完美运行。去掉尾部后缀即可食用,另附上说明文档。
Windows编程-提升进程权限,以管理权限启动另一个程序
NINE_world的博客
10-04 1301
#include <iostream> #include <windows.h> #include <tchar.h> using namespace std; //提高自己的权限 /* * 这个函数,将进程权限提升成具有调试权限的进程,这个权限应该是进程所能具有的最大权限 * 前提启动这个进程的账户必须是一个管理员,否则没法提升 */ //当fEnable = TRUE 的时候,授予当前进程调试权限 //当fEnable = FALSE 的时候,收回调试权限 //
windows系统应用提权 C++
qq_45806710的博客
12-29 2216
内置用户: Administrator,系统管理员账户,拥有完全控制权限。 Guest,来宾账户,供访问共享资源的网络用户使用,仅具有最基本权限,默认被禁用。 内置用户组: Administrators,管理员组。 Users组,新建用户默认所属的组。 Guests组,权限最低; 开发环境是VS2019; 我先做了权限判断,如果不需要请跳过;看代码: 1.信息展示 void ShowError() { LPWSTR lpMessageBuf = NULL; FormatMessage(FOR
清除系统会话
liumiao15868的博客
05-23 712
1. (XP SP3)清除系统会话Session; net session /delete /y 。 2. 写入TXT保存成XXX.BAT。(可直接双击运行) 3.利用任务计划运行些文件。
iniAdiPatten.rar_Windows_CE_Visual_C++_
08-11
标题的“iniAdiPatten.rar_Windows_CE_Visual_C++_”表明这是一个与Windows CE操作系统相关的项目,其包含了使用Visual C++编写的代码,可能是一个库或应用程序。这个项目特别关注的是“iniAdiPatten”函数,它...
jotter.rar_Windows编程_C++_Builder_
08-11
在本项目,我们关注的是一个使用C++Builder进行开发的Windows编程实例——"jotter.rar"。这个简易记事本程序展示了如何利用C++Builder来构建一个基础的文本编辑器,具备基本的文本输入、复制和粘贴功能。Windows...
digital-electronics.rar_Windows编程_Visual_C++_
08-11
总的来说,"digital-electronics.rar_Windows编程_Visual_C++_"这个压缩包资料涵盖了Windows环境下使用C++进行软件开发的关键知识,包括但不限于Windows API的使用、MFC库的掌握、驱动程序开发的技巧以及Visual C++ ...
new.rar_Windows编程_Visual_C++_
08-11
在这个“new.rar”压缩包,我们聚焦于利用Visual C++实现停车取车系统的全部功能。下面将详细介绍这个系统可能涉及的关键知识点。 首先,Windows编程基础是必不可少的。这包括了解Windows消息机制、窗口类、窗口...
warcraft_resolutin.rar_Windows编程_Visual_C++_
08-11
《魔兽争霸分辨率修改器——Windows编程与Visual C++实践》 在现代计算机技术Windows编程扮演着至关重要的角色,而Visual C++作为其强大的开发工具,为开发者提供了丰富的功能和便捷的环境。本压缩包文件...
如何获取Windows系统登陆用户
06-11
如何获取Windows系统登陆用户名 获取登陆用户名 GetUserName WTSQuerySessionInformation
C++ UAC 提权 以一个管理员身份运行程序
weixin_30485379的博客
02-20 1293
这里是我编译的和一个测试Demo:http://pan.baidu.com/s/1qWNgC6C 大家如果看我下边的不是很清楚,可以下载这个具体工程; 群:103197177C++进阶讨论;欢迎喜欢编程朋友加入进来一起讨论学习; bool GetPrivilege(void) { // 提权成功 记得关闭该进程; CreateEvent(NULL,...
讨论枚举当前Logon Session的问题
xbgprogrammer的专栏
11-11 4258
Windows提供了API函数LsaEnumerateLogonSessions 去枚举当前的Logon Session, Logon Session在msdn的定义是:       A logon session begins whenever a user logs on to a computer. All processes in a logon session have the sam
c++应用程序获得管理员权限运行(图标带盾牌)
热门推荐
fuck487的博客
08-15 1万+
方法一: 用vs设置一下就好,vs自动完成方法二的事情 1找到VS2010的快捷方式:右击——“打开文件位置” 找到VS2010的启动项目devenv.exe:右击——属性——兼容性——特权等级,以管理员权限运行;如果需要每个用户都以管理员权限运行,还可以“更改所有用户的设置”——特权等级,以管理员权限运行。 然后在项目的打开方式确保以VS2010为默认打开程序就好了。 2
C++管理员权限提权
乾坤我做主的博客
11-05 6992
                                                                                                         管理员权限提权功能 //*************************************************** // 函数名称: EnableDebugPrivilege...
内网渗透信息收集总结
最新发布
2301_77732591的博客
05-03 1544
内网通常会有大量网络安全系统和设备,IDS, IPS, 日志审计,安全网关,反病毒软件等。在一个域,当计算机加入域之后,会默认给域管理员组赋予本地系统管理员权限。因此,域管理员组的成员均可访问本地计算机,且具有完全控制权限。定位域管理员渠道:日志:本地机器管理员日志,使用脚本或者Wevtuil工具导出查看。会话,域内每台机器的登录会话,netsess.exe, powerview 等工具查询。
asp.net session
a785842114的博客
08-04 312
Session又称为会话状态,是Web系统最常用的状态,用于维护和当前浏览器实例相关的一些信息。举个例子来说,我们可以把已登录用户用户名放在Session,这样就能通过判断Session的某个Key来判断用户是否登录,如果登录的话用户名又是多少。 我们知 道,Session对于每一个客户端(或者说浏览器实例)是“人手一份”,用户首次与Web服务器建立连接的时候,服务器会给用...
Windows下切换进程用户名为当前用户名,而不是SYSTEM
刘小通通的博客
11-23 1439
windows操作系统,某些情况下,我们需要将程序以管理员身份启动,通过任务管理器我们可以看到程序的持有者,如下图所示: 使用SYSYTEM权限启动的程序,理论是不可以访问到当前用户下的部分目录,这个时候我们可以在必要时候切换成武到当前用户权限,使用后切换为SYSTEM。 首先判断用户名是不是SYSTEM bool CurrentUserIsLocalSystem() //判断用户名是不是SYSTEM { BOOL bIsLocalSystem = FALSE; PSID p
使用C++创建Windows服务程序指南
Windows操作系统服务是一种在后台运行的应用程序,通常无需用户界面,用于提供系统级功能或者对其他应用程序提供服务C++作为一种强大的编程语言,可以用来创建这类服务。在C++编写Windows服务涉及的主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值