1.BypassUAC
UAC是微软在Windows Vista以后版本引入的一种安全机制,通过UAC,应用程序和任务可始终在非管理员账户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。
whoami/groups
用bypassuac命令来从中间相关联系的本地管理员到高度相关联系的本地管理员
如何生成一个windows Executable?演示如下
1.BypassUAC
拿到win8虚拟机中并打开
在工具中就有了一个主机信息 user-Administrator*为最高权限
可以进入beacon,看看bypassuac,输入bypassuac
这边会有会话返现
2. 使用ms14-058提权
Microsoft 安全公告 MS14-058 - 严重 | Microsoft Learn
来一个网站测试,此系统为win server 2008 安装了iis
运行一个程序,可以看到可以运行的
上传工具生成的木马文件artifact.exe,并执行它
执行完之后,工具会返回一个ip后缀为128的主机上线,没有*,权限低
点击进入beacon,输入shell net user查看用户权限
为了节约时间,会话反应时间可以设置为0
输入shell whoami/groups查看当前用户权限
看看当前用户情况,输入shell whoami
我们可以把它提权一下
可以看到会得到一个系统权限
可以add新建一个监听器,smb-pipe beacon可以做内网渗透
此时又多了一个会话
3.powerup提权
powershell-import PowerTools/PowerUp/PowerUp.ps1
powershell Invoke-AllChecks 调用它进行脚本检测
icacls 查看权限F为完全控制
增加系统用户
Install-ServiceBinary-ServiceName Protect 2345Explorer-UserName rockyou-Password 123
可以help命令看看powershell
准备Power Tools脚本,在这里用到了PowerUp.ps1脚本,该脚本可以查看操作系统的错误配置,
提权用户权限的效果
用win10虚拟机来演示
可以看看权限,发现是一个很低的权限
生成一个钓鱼脚本给它
在日志x中,直接把它拿过来用就行,放win10中运行
这样的话就得到一个会话信息,可以知道是普通权限,然后进入到beacon接口
试一下直接工具提权操作,结果是不行,没有提出系统权限,还是返回是一个普通用户。可能该版本不是2008,已修复之前ms14漏洞。
查看一下当前用户情况
中级权限,无法利用
导入外部powershell来执行,输入powershell-import然后回车导入文件
导入成功
用该命令Powershell Invoke-AllChecks启动扫描
因为win10系统有空格bug,所以可以扫出有空格的服务名称
看看能不能更改掉上面的信息,比如路径,此时就要求权限要高
查找路径更改的权限 利用icacls 查看权限
可以知道只有前二个可以有权限更改
可以看一下第二个
这边可以知道普通User也可以更改路径
看看 SC命令能不能控制该服务,
那这边的话没有权限关闭该服务
增加系统用户模块
这边路径被拒绝了
注销moon登入win10的机子,用Administrator超级管理员进行登入
这里可以看到多了一个用户,而且权限为系统权限
然后注销Administrator超级管理员机子,用普通用户moon登入,这边可以看到会话已经丢失了
为了把会话重新连接上,进行copy,然后在win10中运行该脚本
然后把间隔时间调整到0秒,并移除前二个断掉的会话
执行-Spawn As
这里域的话是一个点,因为是本机
这边可以看到已经连接过来了,这个是带有系统权限的
可以用shell whoami/groups看看
这边可以看到已经是超级管理员了
然后bypassuac
这边的话就成功了,可以发现带*了 ,就可以做很多操作了
比如获取hash或者也可以执行-转储Hash也行
接着可以用内网渗透工具RUN Mimikatz进行获取密码明文
在超级管理员Administrator机子上执行就可以获得
4.运行mimikatz 获取密码明文