渗透测试技术----提权(本地提权)

一、开启Kali共享文件夹(拓展，与提权无关)

1.对于很多使用虚拟机的朋友来说，最头疼的就是无法把物理机上的文件移动到虚拟机上，这有两种方法，一种是安装Vmtools软件，还有一种就是开启共享文件夹。方法如下

虚拟机–>设置–>选项–>共享文件夹–>总是启用–>添加–>选择在物理机上建立的文件夹(这一步很重要，如果没有连接到物理机上的共享文件夹，那么相当于没有设置共享)–>确定

这样如果kali需要物理机上的文件，就可以将物理机上的文件放到共享文件夹中，这样在kali上也可以查看到。

共享文件夹位于/mnt/hgfs/下

二、提权及系统用户介绍

1.提权介绍

所谓提权，就是将自己的权限进行提升，然后去查看或者修改自己原本不能查看或者修改的文件等。本地提权顾名思义就是在本地计算机上提升自己的权限。因为现在所使用的计算机都是多用户的操作系统，因此在一台主机上可以有多个用户，并且各个用户所具有的权限是不同的，这就是为什么要进行提权，如果你的权限很低，你想看到别人电脑里的内容，这就需要提高提权来获取更高的权限。

2.Windows系统用户权限划分

(1):System:系统权限。在Windows中具有比administrator更大的权限，可以说是计算机中最大的权限。用来维持系统的正常运行

(2):Administrator:管理员，在所有的用户(除system)中拥有最大的权限，可以说是超级用户，这个用户用来提供系统日常的管理

(3):User:普通用户，隶属于users组，这个组的用户无法进行有意或无意的改动，这个组里面的成员由管理员创立的用户，具有一定的权限，但是只能修改自己的相关文件或文件夹，不能修改其他用户的相关信息

在Windows中要想让普通用户成为管理员，只需要将普通用户添加到管理员组就可以了

Windows中administrator的ID为500;guest的ID为501;新建用户的ID都是从1000开始的

3.Linux系统用户权限划分

User:普通用户，具有一部分权限(root为其分配的权限)，只能修改、删除、执行自己具有权限的文件或程序

root:Linux管理员，具有Linux系统的最高权限，也可以称作是超级用户

在Linux中要想让普通用户成为管理员，只需要将普通用户的UID和GID都改为0就可以了

在Linix中root的UID和GID都为0，新建用户的UID和GID都是从500开始(Red Hat6.5版本)

三、本地提权

Windows提权

1.使用SysinternalsSuit进行提权(实际上是通过里面的Psexec文件进行提权)

将Administrator权限提升到System

(1):下载软件包

链接：https://pan.baidu.com/s/11Wg2hg0j1QIyvkFpUTsn9g

提取码：3n9z

或者直接去下载这个工具

http://technet.microsoft.com/enus/sysinitermals/bb545027

下载第一个

(2):在物理机上进行解压，然后拖到虚拟机上(win7)，(如果无法拖到win7上，则重新安装Vmtools软件)，安装完成后重启计算机。将解压后后的文件放到win7的C盘下(这样是为了在命令行好操作。)

(3):打开win7命令行，执行以下命令

(4):进行提权

• Psexec -i -s cmd

  -i 表示interact(交互式)

  -s 表示system(要提升的权限为system)

  

  执行了Psexec -i -s cmd后会弹出一个cmd窗口(右边窗口)

(5):查看是否提权成功

通过whoami来查看此时的权限，发现权限已经提升为system

2.使用at进行提权(只能在Windows XP和Windows 2003上使用)

将Administrator权限提升到System

(1):先查看权限

2.进行提权

执行了at 11:59 /interactive cmd 这条命令后会在系统时间为11:59时弹出一个命令框，可以看见用户由administrator变成了system。

3.使用sc进行提权

将Administrator权限提升到System

(1):创建一个进程

sc Create 进程名 binPath= “cmd /k start" type= own type= interact

在=后面都有一个空格，否则会报错

cmd /k start用来打开一个cmd进程

interact用来表示类型为交互式

(2):打开创建的进程进行提权

还可以使用图形化界面打开这个服务

(1):打开服务

(2):启动刚才创建的服务

(3):点击启动，弹出命令框，权限为system

4.注入进程提权

将Administrator权限提升到System

(1):下载软件包

链接：https://pan.baidu.com/s/16lsjSaHwWgHaJOYXQq9YNg

提取码：mabe

(2):显示进程的PID号

将pinjector.exe复制到windows下的C盘。显示出进程的PID号:查看–>选择列–>PID–>确定

(3):进行注入

pinjector.exe -p PID号 cmd 端口号

-p表示要注入的进程的PID号

端口号留作以后连接使用

注入后在任务管理器中发现不了任何异常，因此也成为隐蔽提权。

(4):查看windows XP 的IP地址

(5):使用kali进行连接(瑞士军刀进行连接)

5.fgdump

fgdump不能直接提升权限，但是可以拿到用户名和密码的密文，可以对密文进行解密，便可以拿到管理员账户密码。

(1)获取软件包

方法一

fgdum在kali的/usr/share/windows-binaries/目录下，将其拷贝到共享文件夹中

后面的这个Kali-Share是我自己的共享文件夹名字

方法二

链接：https://pan.baidu.com/s/1Tx9Ak57SwuqnW-TF2LWltQ

提取码：wm27

(2):使用共享将文件夹拷贝到windows XP中。然后双击文件fgdump，会产生三个文件。

(3):使用记事本查看三个文件的内容

• PWDUMP文件内容如下

  

  里面包含用户名以及用户名的ID号和密码的HASH值
• CACHEDUMP文件内容如下

  

  里面包含该服务的相关信息
• FGDUMP-LOG文件内容如下

  

  里面包含了文件的日志信息

6.Mimikatz（猕猴桃）

(1):获取软件包

方法一

将mimikatz拷贝到共享文件夹中

Mimikatz的文件位置为/usr/share/mimikatz/

因为目标主机为Windows XP，使用的是Win32

方法二

链接：https://pan.baidu.com/s/1Br2MUgFb0U_tKWwj6pNzCw

提取码：85op

(2):将该文件拷贝到windows XP中，并运行

(3):查看帮助( :: )

(4):提权(privilege::debug)

(5):查看登录密码(sekurlsa::logonPasswords)

这个是查看当前正在登录的用户的密码，现在的系统是多用户单系统。一台主机上可以登录多个用户。这样就可以使用猕猴桃来查看这台计算机上正在登录的用户名的明文密码

(6):进程(process)

• 查看服务帮助( service:: )

  

• 启动进程(process::start)

  

(7):服务(service)

• 查看服务帮助( service:: )

  

• 开启服务(service::start syscmd)

  

  打开了我之前自定义的服务，提升了权限。

(8):事件(event)

• 清除安全性日志(Event::clear)

  

• 不产生新的日志

  

(9):启动一个新的cmd

(10):查询主机信息

Linux提权

1.dirtycow(脏牛)

(1)获取软件包

链接：https://pan.baidu.com/s/17wQ2FZZ_2fGcLU7zztMHNQ

提取码：3g5y

(2):使用普通用户进行登录，并且将dirtycow中的dirty.c文件放到Linux主机的桌面上

(3):查看firefart的权限

用户从开始的普通用户wwl变成了具有root权限的firefart用户，提权成功。

四、拓展

1.Kali中的exe文件所在路径为/usr/share/windows-binaries/

2.如何将登录用户改为system

以上在Windows提权中，拿到了system的权限，但是登录用户仍然是Administrator，下面的方法可以修改登录用户为SYSTEM

(1):首先查看登录用户

(2):利用之前的方法进行提权

(3):使用system用户打开任务管理器，结束exeplorer.exe进程

explorer.exe进程是控制桌面的，结束掉进程后发现桌面上什么东西都没有了。然后再新间一个explorer.exe进程。

(4):以system用户去创建exeplorer.exe进程。

(5):查看当前登录的用户，发现变成了system。此时创建的文件权限都是system。