Cobalt Strike权限提升

1.BypassUAC

     UAC是微软在Windows Vista以后版本引入的一种安全机制，通过UAC，应用程序和任务可始终在非管理员账户的安全上下文中运行，除非管理员特别授予管理员级别的系统访问权限。UAC可以阻止未经授权的应用程序自动进行安装，并防止无意中更改系统设置。

  whoami/groups

 用bypassuac命令来从中间相关联系的本地管理员到高度相关联系的本地管理员

如何生成一个windows Executable？演示如下

1.BypassUAC

 拿到win8虚拟机中并打开

 在工具中就有了一个主机信息 user-Administrator*为最高权限

 可以进入beacon，看看bypassuac，输入bypassuac

 这边会有会话返现

2. 使用ms14-058提权

Microsoft 安全公告 MS14-058 - 严重 | Microsoft Learn

来一个网站测试，此系统为win server 2008 安装了iis

运行一个程序，可以看到可以运行的

上传工具生成的木马文件artifact.exe,并执行它

 

执行完之后，工具会返回一个ip后缀为128的主机上线，没有*，权限低

 点击进入beacon，输入shell net user查看用户权限     

 为了节约时间，会话反应时间可以设置为0

 输入shell whoami/groups查看当前用户权限  

 看看当前用户情况，输入shell whoami

 我们可以把它提权一下

可以看到会得到一个系统权限

 可以add新建一个监听器，smb-pipe beacon可以做内网渗透

 此时又多了一个会话

 3.powerup提权

powershell-import PowerTools/PowerUp/PowerUp.ps1

powershell Invoke-AllChecks 调用它进行脚本检测

icacls 查看权限F为完全控制

增加系统用户

Install-ServiceBinary-ServiceName Protect 2345Explorer-UserName rockyou-Password 123

可以help命令看看powershell

 准备Power Tools脚本，在这里用到了PowerUp.ps1脚本，该脚本可以查看操作系统的错误配置，

提权用户权限的效果

 用win10虚拟机来演示

可以看看权限，发现是一个很低的权限

 生成一个钓鱼脚本给它

 在日志x中，直接把它拿过来用就行，放win10中运行

 

 这样的话就得到一个会话信息，可以知道是普通权限，然后进入到beacon接口

试一下直接工具提权操作，结果是不行，没有提出系统权限，还是返回是一个普通用户。可能该版本不是2008，已修复之前ms14漏洞。

 查看一下当前用户情况

中级权限，无法利用

 导入外部powershell来执行，输入powershell-import然后回车导入文件

 导入成功

 用该命令Powershell Invoke-AllChecks启动扫描

因为win10系统有空格bug，所以可以扫出有空格的服务名称   

 看看能不能更改掉上面的信息，比如路径，此时就要求权限要高

查找路径更改的权限 利用icacls 查看权限

 可以知道只有前二个可以有权限更改     

可以看一下第二个

 这边可以知道普通User也可以更改路径

 看看 SC命令能不能控制该服务，

 那这边的话没有权限关闭该服务

 增加系统用户模块

 这边路径被拒绝了

 注销moon登入win10的机子，用Administrator超级管理员进行登入   

这里可以看到多了一个用户，而且权限为系统权限

 

 然后注销Administrator超级管理员机子，用普通用户moon登入，这边可以看到会话已经丢失了

 为了把会话重新连接上，进行copy，然后在win10中运行该脚本

 然后把间隔时间调整到0秒，并移除前二个断掉的会话

 执行-Spawn As

 这里域的话是一个点，因为是本机

 这边可以看到已经连接过来了，这个是带有系统权限的

 可以用shell whoami/groups看看

 这边可以看到已经是超级管理员了

 然后bypassuac

这边的话就成功了，可以发现带*了 ，就可以做很多操作了

 比如获取hash或者也可以执行-转储Hash也行

 

 接着可以用内网渗透工具RUN Mimikatz进行获取密码明文

 在超级管理员Administrator机子上执行就可以获得

4.运行mimikatz  获取密码明文