51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Windows下的渗透测试之提权的基本套路(上)

作者:慕容禽兽
安全 网站安全
在时间t0,我们不知道被攻击的机器是做什么的,它和谁进行连接,我们拥有怎样的权限,甚至它的操作系统是哪个。

[[175974]]

从t0到t3 - 信息搜集

一开始,我们拥有的帐号是一个没有特权的普通账号。假设我们已经在远程或者在本地利用EXP进行了一次攻击并且获得了一个反弹回来的shell。根本上说,在时间t0,我们不知道被攻击的机器是做什么的,它和谁进行连接,我们拥有怎样的权限,甚至它的操作系统是哪个。

因此,开始的时候,我们就需要快速的搜集一些至关重要的信息,这样我们就可以了解一下我们所处环境的情况。

首先,先看看我们连接的什么类型的操作系统

  1. C:\Windows\system32> systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 
  2. OS Name:                   Microsoft Windows 7 Professional 
  3. OS Version:                6.1.7601 Service Pack 1 Build 7601 

注:中文环境下,"OS Name"为"OS 名称","OS Version"为"OS 版本"

接着,看下计算机名和我们使用的用户

  1. C:\Windows\system32> hostname 
  2. b33f 
  3. C:\Windows\system32> echo %username% 
  4. user1 

现在我们有了基本的信息,接下来我们可以列出计算机上的其它用户,并且可以看一下我们当前用户的详细信息。从下面的结果可以看出,user1不是本地用户组Administrators的成员。

  1. C:\Windows\system32> net users 
  2. User accounts for \\B33F 
  3. ------------------------------------------------------------------------------- 
  4. Administrator            b33f                     Guest 
  5. user1 
  6. The command completed successfully. 
  7. C:\Windows\system32> net user user1 
  8. User name                    user1 
  9. Full Name 
  10. Comment 
  11. User's comment 
  12. Country code                 000 (System Default
  13. Account active               Yes 
  14. Account expires              Never 
  15. Password last set            1/11/2014 7:47:14 PM 
  16. Password expires             Never 
  17. Password changeable          1/11/2014 7:47:14 PM 
  18. Password required            Yes 
  19. User may change password     Yes 
  20. Workstations allowed         All 
  21. Logon script 
  22. User profile 
  23. Home directory 
  24. Last logon                   1/11/2014 8:05:09 PM 
  25. Logon hours allowed          All 
  26. Local Group Memberships      *Users 
  27. Global Group memberships     *None 
  28. The command completed successfully. 

这是我们暂时需要了解的关于用户的所有信息。接下来我们需要从网络方面搜集信息了。

首先,看一下网络连接和路由表。

  1. C:\Windows\system32> ipconfig /all 
  2. Windows IP Configuration 
  3.    Host Name . . . . . . . . . . . . : b33f 
  4.    Primary Dns Suffix  . . . . . . . : 
  5.    Node Type . . . . . . . . . . . . : Hybrid 
  6.    IP Routing Enabled. . . . . . . . : No 
  7.    WINS Proxy Enabled. . . . . . . . : No 
  8. Ethernet adapter Bluetooth Network Connection
  9.    Media State . . . . . . . . . . . : Media disconnected 
  10.    Connection-specific DNS Suffix  . : 
  11.    Description . . . . . . . . . . . : Bluetooth Device (Personal Area Network) 
  12.    Physical Address. . . . . . . . . : 0C-84-DC-62-60-29 
  13.    DHCP Enabled. . . . . . . . . . . : Yes 
  14.    Autoconfiguration Enabled . . . . : Yes 
  15. Ethernet adapter Local Area Connection
  16.    Connection-specific DNS Suffix  . : 
  17.    Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection 
  18.    Physical Address. . . . . . . . . : 00-0C-29-56-79-35 
  19.    DHCP Enabled. . . . . . . . . . . : Yes 
  20.    Autoconfiguration Enabled . . . . : Yes 
  21.    Link-local IPv6 Address . . . . . : fe80::5cd4:9caf:61c0:ba6e%11(Preferred) 
  22.    IPv4 Address. . . . . . . . . . . : 192.168.0.104(Preferred) 
  23.    Subnet Mask . . . . . . . . . . . : 255.255.255.0 
  24.    Lease Obtained. . . . . . . . . . : Saturday, January 11, 2014 3:53:55 PM 
  25.    Lease Expires . . . . . . . . . . : Sunday, January 12, 2014 3:53:55 PM 
  26.    Default Gateway . . . . . . . . . : 192.168.0.1 
  27.    DHCP Server . . . . . . . . . . . : 192.168.0.1 
  28.    DHCPv6 IAID . . . . . . . . . . . : 234884137 
  29.    DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-18-14-24-1D-00-0C-29-56-79-35 
  30.    DNS Servers . . . . . . . . . . . : 192.168.0.1 
  31.    NetBIOS over Tcpip. . . . . . . . : Enabled 
  32. C:\Windows\system32> route print 
  33. =========================================================================== 
  34. Interface List 
  35.  18...0c 84 dc 62 60 29 ......Bluetooth Device (Personal Area Network) 
  36.  13...00 ff 0c 0d 4f ed ......TAP-Windows Adapter V9 
  37.  11...00 0c 29 56 79 35 ......Intel(R) PRO/1000 MT Network Connection 
  38.   1...........................Software Loopback Interface 1 
  39.  16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 
  40.  15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter \#2 
  41.  19...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter \#3 
  42.  14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 
  43. =========================================================================== 
  44. IPv4 Route Table 
  45. =========================================================================== 
  46. Active Routes: 
  47. Network Destination        Netmask          Gateway       Interface  Metric 
  48.           0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.104     10 
  49.         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306 
  50.         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306 
  51.   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306 
  52.       192.168.0.0    255.255.255.0         On-link     192.168.0.104    266 
  53.     192.168.0.104  255.255.255.255         On-link     192.168.0.104    266 
  54.     192.168.0.255  255.255.255.255         On-link     192.168.0.104    266 
  55.         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306 
  56.         224.0.0.0        240.0.0.0         On-link     192.168.0.104    266 
  57.   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306 
  58.   255.255.255.255  255.255.255.255         On-link     192.168.0.104    266 
  59. =========================================================================== 
  60. Persistent Routes: 
  61.   None 
  62. IPv6 Route Table 
  63. =========================================================================== 
  64. Active Routes: 
  65.  If Metric Network Destination      Gateway 
  66.  14     58 ::/0                     On-link 
  67.   1    306 ::1/128                  On-link 
  68.  14     58 2001::/32                On-link 
  69.  14    306 2001:0:5ef5:79fb:8d2:b4e:3f57:ff97/128 
  70.                                     On-link 
  71.  11    266 fe80::/64                On-link 
  72.  14    306 fe80::/64                On-link 
  73.  14    306 fe80::8d2:b4e:3f57:ff97/128 
  74.                                     On-link 
  75.  11    266 fe80::5cd4:9caf:61c0:ba6e/128 
  76.                                     On-link 
  77.   1    306 ff00::/8                 On-link 
  78.  14    306 ff00::/8                 On-link 
  79.  11    266 ff00::/8                 On-link 
  80. =========================================================================== 
  81. Persistent Routes: 
  82.   None 

arp -A 展示了ARP缓存表.

  1. C:\Windows\system32> arp -A 
  2. Interface: 192.168.0.104 --- 0xb 
  3.   Internet Address      Physical Address      Type 
  4.   192.168.0.1           90-94-e4-c5-b0-46     dynamic 
  5.   192.168.0.101         ac-22-0b-af-bb-43     dynamic 
  6.   192.168.0.255         ff-ff-ff-ff-ff-ff     static 
  7.   224.0.0.22            01-00-5e-00-00-16     static 
  8.   224.0.0.251           01-00-5e-00-00-fb     static 
  9.   224.0.0.252           01-00-5e-00-00-fc     static 
  10.   239.255.255.250       01-00-5e-7f-ff-fa     static 
  11.   255.255.255.255       ff-ff-ff-ff-ff-ff     static 

下面可以看到活动的网络连接和防火墙规则

  1. C:\Windows\system32> netstat -ano 
  2. Active Connections 
  3.   Proto  Local Address          Foreign Address        State           PID 
  4.   TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       684 
  5.   TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4 
  6.   TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       4 
  7.   TCP    127.0.0.1:5354         0.0.0.0:0              LISTENING       1400 
  8.   TCP    192.168.0.104:139      0.0.0.0:0              LISTENING       4 
  9.   TCP    [::]:135               [::]:0                 LISTENING       684 
  10.   TCP    [::]:445               [::]:0                 LISTENING       4 
  11.   TCP    [::]:5357              [::]:0                 LISTENING       4 
  12.   UDP    0.0.0.0:5355           *:*                                    1100 
  13.   UDP    0.0.0.0:52282          *:*                                    976 
  14.   UDP    0.0.0.0:55202          *:*                                    2956 
  15.   UDP    0.0.0.0:59797          *:*                                    1400 
  16.   UDP    127.0.0.1:1900         *:*                                    2956 
  17.   UDP    127.0.0.1:65435        *:*                                    2956 
  18.   UDP    192.168.0.104:137      *:*                                    4 
  19.   UDP    192.168.0.104:138      *:*                                    4 
  20.   UDP    192.168.0.104:1900     *:*                                    2956 
  21.   UDP    192.168.0.104:5353     *:*                                    1400 
  22.   UDP    192.168.0.104:65434    *:*                                    2956 
  23.   UDP    [::]:5355              *:*                                    1100 
  24.   UDP    [::]:52281             *:*                                    976 
  25.   UDP    [::]:52283             *:*                                    976 
  26.   UDP    [::]:55203             *:*                                    2956 
  27.   UDP    [::]:59798             *:*                                    1400 
  28.   UDP    [::1]:1900             *:*                                    2956 
  29.   UDP    [::1]:5353             *:*                                    1400 
  30.   UDP    [::1]:65433            *:*                                    2956 
  31.   UDP    [fe80::5cd4:9caf:61c0:ba6e%11]:1900  *:*                      2956 
  32.   UDP    [fe80::5cd4:9caf:61c0:ba6e%11]:65432  *:*                     2956 

接下来的两个netsh命令是不能在所有操作系统都通用的命令的例子,netsh firewall命令只能在XP SP2及其以上版本的操作系统使用。

  1. C:\Windows\system32> netsh firewall show state 
  2. Firewall status: 
  3. ------------------------------------------------------------------- 
  4. Profile                           = Standard 
  5. Operational mode                  = Enable 
  6. Exception mode                    = Enable 
  7. Multicast/broadcast response mode = Enable 
  8. Notification mode                 = Enable 
  9. Group policy version              = Windows Firewall 
  10. Remote admin mode                 = Disable 
  11. Ports currently open on all network interfaces: 
  12. Port   Protocol  Version  Program 
  13. ------------------------------------------------------------------- 
  14. No ports are currently open on all network interfaces. 
  15. C:\Windows\system32> netsh firewall show config 
  16. Domain profile configuration: 
  17. ------------------------------------------------------------------- 
  18. Operational mode                  = Enable 
  19. Exception mode                    = Enable 
  20. Multicast/broadcast response mode = Enable 
  21. Notification mode                 = Enable 
  22. Allowed programs configuration for Domain profile: 
  23. Mode     Traffic direction    Name / Program 
  24. ------------------------------------------------------------------- 
  25. Port configuration for Domain profile: 
  26. Port   Protocol  Mode    Traffic direction     Name 
  27. ------------------------------------------------------------------- 
  28. ICMP configuration for Domain profile: 
  29. Mode     Type  Description 
  30. ------------------------------------------------------------------- 
  31. Enable   2     Allow outbound packet too big 
  32. Standard profile configuration (current): 
  33. ------------------------------------------------------------------- 
  34. Operational mode                  = Enable 
  35. Exception mode                    = Enable 
  36. Multicast/broadcast response mode = Enable 
  37. Notification mode                 = Enable 
  38. Service configuration for Standard profile: 
  39. Mode     Customized  Name 
  40. ------------------------------------------------------------------- 
  41. Enable   No          Network Discovery 
  42. Allowed programs configuration for Standard profile: 
  43. Mode     Traffic direction    Name / Program 
  44. ------------------------------------------------------------------- 
  45. Enable   Inbound              COMRaider / E:\comraider\comraider.exe 
  46. Enable   Inbound              nc.exe / C:\users\b33f\desktop\nc.exe 
  47. Port configuration for Standard profile: 
  48. Port   Protocol  Mode    Traffic direction     Name 
  49. ------------------------------------------------------------------- 
  50. ICMP configuration for Standard profile: 
  51. Mode     Type  Description 
  52. ------------------------------------------------------------------- 
  53. Enable   2     Allow outbound packet too big 
  54. Log configuration: 
  55. ------------------------------------------------------------------- 
  56. File location   = C:\Windows\system32\LogFiles\Firewall\pfirewall.log 
  57. Max file size   = 4096 KB 
  58. Dropped packets = Disable 
  59. Connections     = Disable 

最后,我们大概的看一下计算机上的:计划任务,正在运行的进程,启动的服务,安装的驱动程序。

这条命令将详细的展示出所有的计划任务:

  1. C:\Windows\system32> schtasks /query /fo LIST /v 
  2. Folder: \Microsoft\Windows Defender 
  3. HostName:                             B33F 
  4. TaskName:                             \Microsoft\Windows Defender\MP Scheduled Scan 
  5. Next Run Time:                        1/22/2014 5:11:13 AM 
  6. Status:                               Ready 
  7. Logon Mode:                           Interactive/Background 
  8. Last Run Time:                        N/A 
  9. Last Result:                          1 
  10. Author:                               N/A 
  11. Task To Run:                          c:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob 
  12.                                       -WinTask -RestrictPrivilegesScan 
  13. Start In:                             N/A 
  14. Comment:                              Scheduled Scan 
  15. Scheduled Task State:                 Enabled 
  16. Idle Time:                            Only Start If Idle for 1 minutes, If Not Idle Retry For 240 minutes 
  17. Power Management:                     No Start On Batteries 
  18. Run As User:                          SYSTEM 
  19. Delete Task If Not Rescheduled:       Enabled 
  20. Stop Task If Runs X Hours and X Mins: 72:00:00 
  21. Schedule:                             Scheduling data is not available in this format. 
  22. Schedule Type:                        Daily 
  23. Start Time:                           5:11:13 AM 
  24. Start Date:                           1/1/2000 
  25. End Date:                             1/1/2100 
  26. Days:                                 Every 1 day(s) 
  27. Months:                               N/A 
  28. Repeat: Every:                        Disabled 
  29. Repeat: Until: Time:                  Disabled 
  30. Repeat: Until: Duration:              Disabled 
  31. Repeat: Stop If Still Running:        Disabled 
  32. [..Snip..] 

下面的这条命令将正在运行的进程和该进程启动的服务列了出来:

  1. C:\Windows\system32> tasklist /SVC 
  2. Image Name                     PID Services 
  3. ========================= ======== ============================================ 
  4. System Idle Process              0 N/A 
  5. System                           4 N/A 
  6. smss.exe                       244 N/A 
  7. csrss.exe                      332 N/A 
  8. csrss.exe                      372 N/A 
  9. wininit.exe                    380 N/A 
  10. winlogon.exe                   428 N/A 
  11. services.exe                   476 N/A 
  12. lsass.exe                      484 SamSs 
  13. lsm.exe                        496 N/A 
  14. svchost.exe                    588 DcomLaunch, PlugPlay, Power 
  15. svchost.exe                    668 RpcEptMapper, RpcSs 
  16. svchost.exe                    760 Audiosrv, Dhcp, eventlog, 
  17.                                    HomeGroupProvider, lmhosts, wscsvc 
  18. svchost.exe                    800 AudioEndpointBuilder, CscService, Netman, 
  19.                                    SysMain, TrkWks, UxSms, WdiSystemHost, 
  20.                                    wudfsvc 
  21. svchost.exe                    836 AeLookupSvc, BITS, gpsvc, iphlpsvc, 
  22.                                    LanmanServer, MMCSS, ProfSvc, Schedule, 
  23.                                    seclogon, SENS, ShellHWDetection, Themes, 
  24.                                    Winmgmt, wuauserv 
  25. audiodg.exe                    916 N/A 
  26. svchost.exe                    992 EventSystem, fdPHost, netprofm, nsi, 
  27.                                    WdiServiceHost, WinHttpAutoProxySvc 
  28. svchost.exe                   1104 CryptSvc, Dnscache, LanmanWorkstation, 
  29.                                    NlaSvc 
  30. spoolsv.exe                   1244 Spooler 
  31. svchost.exe                   1272 BFE, DPS, MpsSvc 
  32. mDNSResponder.exe             1400 Bonjour Service 
  33. taskhost.exe                  1504 N/A 
  34. taskeng.exe                   1556 N/A 
  35. vmtoolsd.exe                  1580 VMTools 
  36. dwm.exe                       1660 N/A 
  37. explorer.exe                  1668 N/A 
  38. vmware-usbarbitrator.exe      1768 VMUSBArbService 
  39. TPAutoConnSvc.exe             1712 TPAutoConnSvc 
  40. [..Snip..] 
  1. C:\Windows\system32> net start 
  2. These Windows services are started: 
  3.    Application Experience 
  4.    Application Information 
  5.    Background Intelligent Transfer Service 
  6.    Base Filtering Engine 
  7.    Bluetooth Support Service 
  8.    Bonjour Service 
  9.    COM+ Event System 
  10.    COM+ System Application 
  11.    Cryptographic Services 
  12.    DCOM Server Process Launcher 
  13.    Desktop Window Manager Session Manager 
  14.    DHCP Client 
  15.    Diagnostic Policy Service 
  16.    Diagnostic Service Host 
  17.    Diagnostic System Host 
  18.    Distributed Link Tracking Client 
  19.    Distributed Transaction Coordinator 
  20.    DNS Client 
  21.    Function Discovery Provider Host 
  22.    Function Discovery Resource Publication 
  23.    Group Policy Client 
  24. [..Snip..] 

这有时是有用的,一些第三方驱动程序,即使是有信誉的公司,也可能有比瑞士奶酪上的孔还多的的漏洞。这仅仅是有可能的,因为对ring0攻击在大多数人专业技能之外。

  1. C:\Windows\system32> DRIVERQUERY 
  2. Module Name  Display Name           Driver Type   Link Date 
  3. ============ ====================== ============= ====================== 
  4. 1394ohci     1394 OHCI Compliant Ho Kernel        11/20/2010 6:01:11 PM 
  5. ACPI         Microsoft ACPI Driver  Kernel        11/20/2010 4:37:52 PM 
  6. AcpiPmi      ACPI Power Meter Drive Kernel        11/20/2010 4:47:55 PM 
  7. adp94xx      adp94xx                Kernel        12/6/2008 7:59:55 AM 
  8. adpahci      adpahci                Kernel        5/2/2007 1:29:26 AM 
  9. adpu320      adpu320                Kernel        2/28/2007 8:03:08 AM 
  10. AFD          Ancillary Function Dri Kernel        11/20/2010 4:40:00 PM 
  11. agp440       Intel AGP Bus Filter   Kernel        7/14/2009 7:25:36 AM 
  12. aic78xx      aic78xx                Kernel        4/12/2006 8:20:11 AM 
  13. aliide       aliide                 Kernel        7/14/2009 7:11:17 AM 
  14. amdagp       AMD AGP Bus Filter Dri Kernel        7/14/2009 7:25:36 AM 
  15. amdide       amdide                 Kernel        7/14/2009 7:11:19 AM 
  16. AmdK8        AMD K8 Processor Drive Kernel        7/14/2009 7:11:03 AM 
  17. AmdPPM       AMD Processor Driver   Kernel        7/14/2009 7:11:03 AM 
  18. amdsata      amdsata                Kernel        3/19/2010 9:08:27 AM 
  19. amdsbs       amdsbs                 Kernel        3/21/2009 2:35:26 AM 
  20. amdxata      amdxata                Kernel        3/20/2010 12:19:01 AM 
  21. AppID        AppID Driver           Kernel        11/20/2010 5:29:48 PM 
  22. arc          arc                    Kernel        5/25/2007 5:31:06 AM 
  23. [..Snip..] 

t4 - WMIC的神秘艺术

我在这里单独的拿出WMIC(Windows Management Instrumentation Command-Line)来讲解,是因为它是Windows平台下最有用的命令行工具。

WMIC在信息搜集和后渗透测试阶段非常实用。话虽这么说,其实它是有一点笨重的,因为它有时候会输出比我们需要的信息更多的信息。

要完全讲完WMIC的使用,要耗费很长的时间。还有不得不提的是,一些输出可能会因为它的格式,很难在命令行下完美的展示出来。

在这里安利两个WMIC的教程:

[Command-Line Ninjitsu (SynJunkie)]

[Windows WMIC Command Line (ComputerHope)]

不幸的是,一些windows默认的配置是不允许使用WMIC命令的,除非你是管理员组成员。经过我的测试,在XP下低权限用户是不能使用WMIC命令,但是在Windows 7 和Windows 8下,低权限用户可以使用WMIC,且不用更改任何设置。这正是我们使用WMIC搜集目标机器信息的前提。

下面是WMIC的命令行帮助:

  1. C:\Windows\system32> wmic /? 
  2. [global switches]  
  3. The following global switches are available: 
  4. /NAMESPACE           Path for the namespace the alias operate against. 
  5. /ROLE                Path for the role containing the alias definitions. 
  6. /NODE                Servers the alias will operate against. 
  7. /IMPLEVEL            Client impersonation level
  8. /AUTHLEVEL           Client authentication level
  9. /LOCALE              Language id the client should use. 
  10. /PRIVILEGES          Enable or disable all privileges
  11. /TRACE               Outputs debugging information to stderr. 
  12. /RECORD              Logs all input commands and output
  13. /INTERACTIVE         Sets or resets the interactive mode. 
  14. /FAILFAST            Sets or resets the FailFast mode. 
  15. /USER                User to be used during the session. 
  16. /PASSWORD            Password to be used for session login. 
  17. /OUTPUT              Specifies the mode for output redirection. 
  18. /APPEND              Specifies the mode for output redirection. 
  19. /AGGREGATE           Sets or resets aggregate mode. 
  20. /AUTHORITY           Specifies the  for the connection
  21. /?[:<BRIEF|FULL>]    Usage information. 
  22. For more information on a specific global switch, type: switch-name /? 
  23. The following alias/es are available in the current role: 
  24. ALIAS                    - Access to the aliases available on the local system 
  25. BASEBOARD                - Base board (also known as a motherboard or system board) management. 
  26. BIOS                     - Basic input/output services (BIOS) management. 
  27. BOOTCONFIG               - Boot configuration management. 
  28. CDROM                    - CD-ROM management. 
  29. COMPUTERSYSTEM           - Computer system management. 
  30. CPU                      - CPU management. 
  31. CSPRODUCT                - Computer system product information from SMBIOS. 
  32. DATAFILE                 - DataFile Management. 
  33. DCOMAPP                  - DCOM Application management. 
  34. DESKTOP                  - User's Desktop management. 
  35. DESKTOPMONITOR           - Desktop Monitor management. 
  36. DEVICEMEMORYADDRESS      - Device memory addresses management. 
  37. DISKDRIVE                - Physical disk drive management. 
  38. DISKQUOTA                - Disk space usage for NTFS volumes. 
  39. DMACHANNEL               - Direct memory access (DMA) channel management. 
  40. ENVIRONMENT              - System environment settings management. 
  41. FSDIR                    - Filesystem directory entry management. 
  42. GROUP                    - Group account management. 
  43. IDECONTROLLER            - IDE Controller management. 
  44. IRQ                      - Interrupt request line (IRQ) management. 
  45. JOB                      - Provides  access to the jobs scheduled using the schedule service. 
  46. LOADORDER                - Management of system services that define execution dependencies. 
  47. LOGICALDISK              - Local storage device management. 
  48. LOGON                    - LOGON Sessions. 
  49. MEMCACHE                 - Cache memory management. 
  50. MEMORYCHIP               - Memory chip information. 
  51. MEMPHYSICAL              - Computer system's physical memory management. 
  52. NETCLIENT                - Network Client management. 
  53. NETLOGIN                 - Network login information (of a particular user) management. 
  54. NETPROTOCOL              - Protocols (and their network characteristics) management. 
  55. NETUSE                   - Active network connection management. 
  56. NIC                      - Network Interface Controller (NIC) management. 
  57. NICCONFIG                - Network adapter management. 
  58. NTDOMAIN                 - NT Domain management. 
  59. NTEVENT                  - Entries in the NT Event Log. 
  60. NTEVENTLOG               - NT eventlog file management. 
  61. ONBOARDDEVICE            - Management of common adapter devices built into the motherboard (system board). 
  62. OS                       - Installed Operating System/s management. 
  63. PAGEFILE                 - Virtual memory file swapping management. 
  64. PAGEFILESET              - Page file settings management. 
  65. PARTITION                - Management of partitioned areas of a physical disk. 
  66. PORT                     - I/O port management. 
  67. PORTCONNECTOR            - Physical connection ports management. 
  68. PRINTER                  - Printer device management. 
  69. PRINTERCONFIG            - Printer device configuration management. 
  70. PRINTJOB                 - Print job management. 
  71. PROCESS                  - Process management. 
  72. PRODUCT                  - Installation package task management. 
  73. QFE                      - Quick Fix Engineering. 
  74. QUOTASETTING             - Setting information for disk quotas on a volume. 
  75. RDACCOUNT                - Remote Desktop connection permission management. 
  76. RDNIC                    - Remote Desktop connection management on a specific network adapter. 
  77. RDPERMISSIONS            - Permissions to a specific Remote Desktop connection
  78. RDTOGGLE                 - Turning Remote Desktop listener on or off remotely. 
  79. RECOVEROS                - Information that will be gathered from memory when the operating system fails. 
  80. REGISTRY                 - Computer system registry management. 
  81. SCSICONTROLLER           - SCSI Controller management. 
  82. SERVER                   - Server information management. 
  83. SERVICE                  - Service application management. 
  84. SHADOWCOPY               - Shadow copy management. 
  85. SHADOWSTORAGE            - Shadow copy storage area management. 
  86. SHARE                    - Shared resource management. 
  87. SOFTWAREELEMENT          - Management of the  elements of a software product installed on a system. 
  88. SOFTWAREFEATURE          - Management of software product subsets of SoftwareElement. 
  89. SOUNDDEV                 - Sound Device management. 
  90. STARTUP                  - Management of commands that run automatically when users log onto the computer  
  91.                            system. 
  92. SYSACCOUNT               - System account management. 
  93. SYSDRIVER                - Management of the system driver for a base service. 
  94. SYSTEMENCLOSURE          - Physical system enclosure management. 
  95. SYSTEMSLOT               - Management of physical connection points including ports,  slots and  
  96.                            peripherals, and proprietary connections points. 
  97. TAPEDRIVE                - Tape drive management. 
  98. TEMPERATURE              - Data management of a temperature sensor (electronic thermometer). 
  99. TIMEZONE                 - Time zone data management. 
  100. UPS                      - Uninterruptible power supply (UPS) management. 
  101. USERACCOUNT              - User account management. 
  102. VOLTAGE                  - Voltage sensor (electronic voltmeter) data management. 
  103. VOLUME                   - Local storage volume management. 
  104. VOLUMEQUOTASETTING       - Associates the disk quota setting with a specific disk volume. 
  105. VOLUMEUSERQUOTA          - Per user storage volume quota management. 
  106. WMISET                   - WMI service operational parameters management. 
  107. For more information on a specific alias, type: alias /? 
  108. CLASS     - Escapes to full WMI schema
  109. PATH      - Escapes to full WMI object paths. 
  110. CONTEXT   - Displays the state of all the global switches. 
  111. QUIT/EXIT - Exits the program. 
  112. For more information on CLASS/PATH/CONTEXT, type: (CLASS | PATH | CONTEXT) /? 

为了省时省力,我写了一个可以放在目标机器上,调用WMIC来提取下面信息(进程,服务,用户,用户组,网络连接,硬盘信息,网络共享信息,已安装补丁,启动项,已安装的软件,操作系统的相关信息,和时区)的脚本。

从t5到t6 - 快速攻陷

在继续之前,你需要先看一下你已经搜集到的信息,下一步就是要寻找一下能被利用的系统缺陷来提升我们的权限。

首先我们要看的是是补丁修正情况,我的WMIC脚本可以列出已安装的补丁,但是你也可以通过下面这条命令来查看:

  1. C:\Windows\system32> wmic qfe get Caption,Description,HotFixID,InstalledOn 
  2. Caption                                     Description      HotFixID   InstalledOn 
  3. http://support.microsoft.com/?kbid=2727528  Security Update  KB2727528  11/23/2013 
  4. http://support.microsoft.com/?kbid=2729462  Security Update  KB2729462  11/26/2013 
  5. http://support.microsoft.com/?kbid=2736693  Security Update  KB2736693  11/26/2013 
  6. http://support.microsoft.com/?kbid=2737084  Security Update  KB2737084  11/23/2013 
  7. http://support.microsoft.com/?kbid=2742614  Security Update  KB2742614  11/23/2013 
  8. http://support.microsoft.com/?kbid=2742616  Security Update  KB2742616  11/26/2013 
  9. http://support.microsoft.com/?kbid=2750149  Update           KB2750149  11/23/2013 
  10. http://support.microsoft.com/?kbid=2756872  Update           KB2756872  11/24/2013 
  11. http://support.microsoft.com/?kbid=2756923  Security Update  KB2756923  11/26/2013 
  12. http://support.microsoft.com/?kbid=2757638  Security Update  KB2757638  11/23/2013 
  13. http://support.microsoft.com/?kbid=2758246  Update           KB2758246  11/24/2013 
  14. http://support.microsoft.com/?kbid=2761094  Update           KB2761094  11/24/2013 
  15. http://support.microsoft.com/?kbid=2764870  Update           KB2764870  11/24/2013 
  16. http://support.microsoft.com/?kbid=2768703  Update           KB2768703  11/23/2013 
  17. http://support.microsoft.com/?kbid=2769034  Update           KB2769034  11/23/2013 
  18. http://support.microsoft.com/?kbid=2769165  Update           KB2769165  11/23/2013 
  19. http://support.microsoft.com/?kbid=2769166  Update           KB2769166  11/26/2013 
  20. http://support.microsoft.com/?kbid=2770660  Security Update  KB2770660  11/23/2013 
  21. http://support.microsoft.com/?kbid=2770917  Update           KB2770917  11/24/2013 
  22. http://support.microsoft.com/?kbid=2771821  Update           KB2771821  11/24/2013 
  23. [..Snip..] 

这些输出的结果是不能直接被利用的,最好的方式是去找权限提升的EXP并且将这些编号与EXP编号进行对比。这些EXP包括,但不限于:KiTrap0D (KB979682), MS11-011 (KB2393802), MS10-059 (KB982799), MS10-021 (KB979683), MS11-080 (KB2592799)。

如果有许多机器需要被安装,通常,一个技术员不会挨个机器手动装机。有一些自动安装的解决方案。这些方案是什么以及它们是如何工作的对我们的目的不重要,重要的是他们留下的用于安装过程的配置文件,这些安装文件包含大量的敏感信息,例如操作系统的产品密钥和管理员的密码。我们最感兴趣的就是管理员密码,因为我们可以用它来提升我们的权限。

通常的,这些目录包含这些配置文件(检查整个系统的所有文件也是不错想法):

  1. c:\sysprep.inf 
  2. c:\sysprep\sysprep.xml 
  3. %WINDIR%\Panther\Unattend\Unattended.xml 
  4. %WINDIR%\Panther\Unattended.xml 

这些文件要么包含着明文密码,要么就是Base64加密后的密码。下面是一个例子:

sysprep.inf 文件中的明文密码:

  1. credentials. 
  2. [GuiUnattended] 
  3. OEMSkipRegional=1 
  4. OemSkipWelcome=1 
  5. AdminPassword=s3cr3tp4ssw0rd 
  6. TimeZone=20 

sysprep.xml 文件中的Base64加密后的密文:

  1. credentials. Please people Base64 is not 
  2. encryption, I take more precautions to protect my coffee. The password here is "SuperSecurePassword"
  3. <LocalAccounts> 
  4.     <LocalAccount wcm:action="add"
  5.         <Password
  6.             <Value>U3VwZXJTZWN1cmVQYXNzd29yZA==</Value> 
  7.             <PlainText>false</PlainText> 
  8.         </Password
  9.         <Description>Local Administrator</Description> 
  10.         <DisplayName>Administrator</DisplayName> 
  11.         <Group>Administrators</Group
  12.         <Name>Administrator</Name
  13.     </LocalAccount> 
  14. </LocalAccounts> 

Unattended.xml 中同样是Base64加密后的密文:

  1. <AutoLogon> 
  2.     <Password
  3.         <Value>U3VwZXJTZWN1cmVQYXNzd29yZA==</Value> 
  4.         <PlainText>false</PlainText> 
  5.     </Password
  6.     <Enabled>true</Enabled> 
  7.     <Username>Administrator</Username> 
  8. </AutoLogon> 

在我们的好基友Ben Campbell的推荐下,我将获取组策略首选项(Group Policy Preferences)保存的密码也作为快速攻陷目标机器的方式之一。GPP允许域管理员在域控制端远程向域内主机添加本地账户以方便管理。当你要攻击的计算机连接到了一个域,那么去寻找储存在SYSVOL中的Groups.xml文件是非常值得做的事。任何经过授权的用户都对该文件有读的权限。在这个xml文件中,密码是用AES加密的,但令人费解的是,在MSDN上,密码的密钥和加密方式都被公布了,这样我么就可以轻松的解密这个密码。

 

除了Groups.xml,其他的策略选项文件也有可选的“cPassword”属性:

例如以下这几个:

  1. Services\Services.xml 
  2. ScheduledTasks\ScheduledTasks.xml 
  3. Printers\Printers.xml 
  4. Drives\Drives.xml 
  5. DataSources\DataSources.xml 

 

这个漏洞可以手动的浏览SYSVOL文件夹,接下来我来做个示范:

然而,我们都喜欢自动的方法,这样我们可以尽可能快的完成这个操作。这里主要有两种方式,取决于我们拥有的shell类型和权限的大小。

(1)metasploit的一个模块(post/windows/gather/credentials/gpp

(2)你可以使用PowerSploit的Get-GPPPassword功能。PowerSploit是一个强大的powershell框架,作者是Matt Graeber。

接下来的事情,我们要找一个奇怪的注册表设置“AlwaysInstallElevated”,如果这个设置被启用,它允许任何权限的用户暂时使用NT AUTHORITY\SYSTEM权限来安装*.msi文件。对我来说,你创建了一个低权限的用户(限制它们的操作系统的使用)但是给了它们使用SYSTEM权限来安装软件的能力是很奇怪的。想要进一步了解,请[戳我]

为了能够使用这种方式,我们首先要执行以下语句:

仅仅当存在键名:AlwaysInstallElevated且它的DWORD值是1才有效。

  1. C:\Windows\system32> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated 
  2. C:\Windows\system32> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated 

在这种情况下,我们可以获取一个SYSTEM权限的shell了。

为了完成这部分,我们将在操作系统上做一些快速的搜索,并且希望我们可以打动老天爷。

接下来的这条命令可以搜索system32下的所有名字包含以下几个关键字的文件,当然你可以手动指定关键字。

  1. C:\Windows\system32> dir /s *pass* == *cred* == *vnc* == *.config* 

搜索某些特定的文件类型,这可能搜索到大量的结果:

  1. C:\Windows\system32> findstr /si password *.xml *.ini *.txt 

相似的,接下来的两条命令都是用来搜索注册表的,keyword是password,你可以替换成任何你想要的。

  1. C:\Windows\system32> reg query HKLM /f password /t REG_SZ /s 
  2. C:\Windows\system32> reg query HKCU /f password /t REG_SZ /s 
责任编辑:武晓燕 来源: fuzzysecurity
Windows测试提权
相关推荐
Windows内网渗透几个实用命令
这不是一篇渗透测试指导,而是简单介绍了几个Windows内网提权的实用命令,以供我等菜鸟学习观摩,还望大牛包涵指导。

2016-09-26 14:40:25

Windows内网实用命令
metasploitWindows多种方法
当你在爱害者的机器上执行一些操作时,发现有一些操作被拒绝执行,为了获得受害机器的完全权限,你需要绕过限制,获取本来没有的一些权限,这些权限可以用来删除文件,查看私有信息,或者安装特殊程序,比如病毒。Metasploit有很多种后渗透方法,可以用于对目标机器的权限绕过,最终获取到系统权限。

2016-12-12 09:11:20

Windows几种方式粗略汇总
随着系统管理员的安全意识的普遍提高,提权越来越成为广大渗透测试者所面临共同问题。本人水平有限,粗浅地总结了下几种提权方式,以及一些个人看法,并配合相应的演示。可能对实战没什么太直接的帮助,算是帮大家温习下基础吧。

2018-07-05 10:44:09

Windows提权漏洞
Windows几种常用姿势
Windows常用的提权方式有:内核提权、数据库提权、系统配置错误提权、组策略首选项提权、BypassUAC提权、令牌窃取提权等姿势。

2021-01-13 08:14:36

Windows提权漏洞攻击
Windows辅助工具Windows-Exploit-Suggester
本文主要介绍Windows下提权辅助工具WindowsExploitSuggester。

2017-04-17 18:38:03

Windows提权漏洞
Windows渗透技巧汇总- 网络·安全技术周刊第139期
window.location.href'http:www.51cto.comedmnetworkedmedm139131231.html';

2014-01-03 17:33:42

网络·安全技术周刊
Web安全渗透测试信息搜集篇(
当我们进行安全渗透测试的时候,首先要做的就是尽可能多地收集目标应用程序信息,所以,信息搜集是渗透测试一个必不可少的步骤。

2009-08-17 14:47:31

Web安全渗透测试信息搜集篇(
本文将为读者详细介绍如何测试目标地址上运行了哪些应用程序,以及如何通过错误信息提前有用消息的具体方法。

2009-08-17 16:00:14

Windows Search Indexer 本地漏洞分析
WindowsService中最近发生的大多数LPE漏洞都是逻辑漏洞。通过这种方式,对WindowsSearchIndexer的内存损坏漏洞进行分析非常有趣。因此,此后的WindowsService中很可能会出现这种内存损坏漏洞。

2020-11-16 10:55:41

Windows
Windows低权限进程或服务
在实际渗透过程中,有可能获取了该操作系统下的一个普通用户帐号权限,或者webshell权限,通过低权限用户进行越权,有可能获取系统权限;其利用原理是本文要介绍的内容。

2017-04-17 19:48:51

最全Webshell方法总结
在得到了一个Webshell之后,如果能进一步利用系统的配置不当取得更高的权限,一直是广大黑友们所津津乐道的话题,也是高手和菜鸟间最大的区别。本文将从一个大角度总括当前流行的各种提权方法,希望对大家有所启发,起到一个抛砖引玉的作用。

2009-07-25 16:52:29

Linux几种常用方式
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞权限配置不当root权限运行的服务等方式寻找突破点,来达到提升权限的目的。

2021-01-06 08:04:30

Linux方式提权
基于Windows 32k内核漏洞攻防对抗
漏洞成功利用漏洞触发、漏洞利用这两大环节,而漏洞利用又有以下三个阶段,分别是堆喷射阶段、信息泄露阶段、代码执行阶段。下面将结合CVE20190808、CVE20211732进行详细阐述。

2023-09-11 06:59:59

FileZilla Server
FileZilla是一个免费开源的FTP客户端软件,分为客户端版本和服务器版本,具备所有的FTP软件功能。可控性、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具,今天为大家讲下:FileZillaServer提权

2011-03-07 11:36:23

FileZillaSe
Nexus设备渗透测试平台——Kali Linux NetHunter
NetHunter是一个基于KaliLinux为Nexus设备构建的Android渗透测试平台,其中包括一些特殊和独特的功能。

2015-06-24 09:53:05

借用UAC完成思路分享
UAC(UserAccountControl,用户帐户控制)是微软为提高系统安全而在WindowsVista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员&8204;密码。

2015-09-22 10:25:13

渗透测试人员必备技能:实施渗透测试HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。

2016-09-09 01:14:17

渗透测试种类介绍
渗透测试是完全依赖于操作范围的,因此,基于约定的范围来选择正确的渗透测试对于安全人员来说是非常重要的。本文将介绍不同的渗透测试方法。

2010-09-16 16:08:46

AFL实战:测试sudo漏洞CVE-2021-3156
最近sudo发现了一个严重的缓存溢出提权漏洞CVE20213156,这很正常。不正常的是这个漏洞已经潜伏了10年之久,为什么10年才发现呢?如果用常规的测试方法需要多久才能发现?对此有人进行了Fuzz测试,请和虫虫一起学习一下过程。

2021-01-30 18:31:00

sudo缓存溢出漏洞
一个Linux技巧
一个linux提权用的技巧,放出来攒RP了……

2009-07-25 17:24:45

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服