内网渗透—Windows提权方法总结
3a原则
-
认证
-
授权
-
审计
组相关命令
net localgroup
net localgroup administrators test *add
net localgroup testgroup /add
potato 家族提权
通过各种方法在本地(NILM-relay)中获取system令牌,再通过模拟令牌进行命令执行(拿到令牌的方式不同就会有不同的patato)。
windows的token:
-
delegation token(授权令牌):(用于于交互会话登录)(例如远程登录,本地登录)
-
impersonation token(模拟令牌):非交互会话登录(例如用net user访问用户文件)
-
sip和sap特权(本地管理员,SCM(服务控制管理器)启动的服务,COM对象(接口,通信协议,可以提供服务))
windows服务使用的登录账号
-
NT AUTHORITY\System
-
NT AUTHORITY\Network Service
-
NT AUTHORITY\Local Server 常见用户(iis,sqlserver)
JuicyPotato
-
通过NTML欺骗获取token
-
通过(CLSID)枚举可用的com对象 利用可用的身份去调用一个api函数,传入获取到的token去模拟令牌执行对应的高权限命令或者反弹shell
### 操作流程
-
先上去 whoami /priv 看看是否有特权
-
攻击机端口监听
-
JuicyPotato.exe -t $ -p C: \Users\user \Desktop\Rev.bat -l 1337 -c{83ca98d6-ff5d-49b8-abc6-83dd84127820}
RoguePotato
高版本的windows不允许在本地NTLM请求,
-
外部请求vps
-
将获取到的token再转发回去
操作流程
-
获取反弹shell (nc -lvvp 3333)(chcp 65001)
-
*对应文件(尽可能跳到低权限文件夹)
-
vps监听端口转发
-
执行命令
## AlwaysInstallElevated 系统配置错误提权
令牌窃取(也可以用来降权)
1.msf use incognito
2.list_tokens -u
3.impersonate_token"NTAUTHORITY\SYSTEM"
内核提权(永恒之蓝ms170-010)(ms15-051)
msf一顿扫
密码收集
1.直接看浏览器保存的密码
mysql udf提权
- 点赞
- 收藏
- 关注作者
评论(0)