提权(1)信息收集

看到不少朋友在后渗透阶段的时候比较没有思路,我决定自己出一套提权的总结,归纳我所学习的。

提权,这里说的提权实际上指的是纵向的提权,从webshell权限到system权限

0x01 引言

通常,我们在渗透过程中很有可能只获得了一个系统的Guest或User权限。低的权限级别将会使我们受到很多的限制,所以必须将访问权限从Guset提升到User,再到Administrator,最后到SYSTEM级别。

渗透的最终目的是获取服务器的最高权限,即Windows操作系统中管理员账号的权限,或LINUX操作系统中root账户权限。

提升权限的方式分为两类。

l 纵向提权:低权限角色获得高权限角色的权限。比如,一个webshell权限通过提权之后拥有了管理员的权限,那么这种提权就是纵向提权。

l 横向提权:获取同级别角色的权限。比如,通过已经攻破的系统A获取B的账户密码。

一般在web渗透中我们都是通过纵向提权,而后渗透也就是内网渗透或者域渗透了。

这一步的渗透还是少不了信息的收集,信息的收集一般用windows的一些命令来进行收集,进大马,跑目录….还记得当年的提权三字经么,简直是信仰。当然有些东西现在仍然适用。

首先要介绍的是windows常用的命令

1、whoami

如果是我,我一定会在拿到webshell或者进入大马的时候用这个命令

这个命令是干嘛的呢,我想百度会告诉大家答案。

不排除有傻到极点的管理员权限配置不当,或者有一些简便的web容器,比如小旋风啊,phpstudy等等都是管理员(administrator)权限,如果一开始是管理员权限,那我我们几乎可以对这个系统进行操作,根本不用花费力气去提权什么的。只需想办法远程桌面连接,或者上个远控等操作,然后就可以为所欲为了。

2、tasklist

用来显示运行在本地或远程计算机上的所有进程,带有多个执行参数。

tasklist /svc

显示每个进程中的服务信息

至于其他的参数,如果有必要大家可以自己去挖掘使用,我使用得比较少。

为什么第二个命令是这个呢?在这个杀毒与waf横行的年代,我只想看看这个计算机上运行什么服务。不然内核溢出要么做什么操作都被限制,而你依然一无所知。

感觉一些常见的进程名还是要记住的,

winlogon.exe 用户登录进程

explorer.exe 资源管理器

Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称

Safedog.exe 安全狗

360tray.exe 360安全卫士的进程

avp.exe 的系统进程是

KMService.exe 金山毒霸的系统进程

STRAY.EXE和RAVMOND 瑞星的进程

PinyinUp.exe 搜狗升级进程

等等,就不一一列举了

3、netstat

Netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。

这个也是最常用的几个命令之一,一般用netstat -an 来显示所有连接的端口并用数字表示。

但是我更喜欢用netstat –ano,这样子连它的PID也出来了。

PID是进程运行时系统随机为进程分配的,并不代表专门的进程。

来个实例,比如说找3389的端口。

假设目标的机器开启了远程桌面服务(Remote Desktop Protocol,简称RDP),但是RDP端口被改了,又假设注册表不能读取,那么我觉得这就是一个好方法了。

首先先用tasklist /svc |findstr "svchost.exe"这条命令

这里介绍下findstr这个命令,和Linux下的find差不多,很好用的。

它的用途是查找指定的一个或多个文件文件中包含(或通过参数 /V来控制不包含)某些特定字符串的行,并将该行完整的信息打印出来,或者打印查询字符串所在的文件名。而且这个命令是支持正则的。

我们这样就找到了包含svchost.exe的进程和PID号了。

Ok,我测试的机器是2003,那么RDP服务对面的PID是2648,也就是TermService这个服务对应的。

是9999,我特意改的,只为了验证。

如果是win7以上的系统,那么就是关注CryptSvc, Dnscache, LanmanWorkstation 这个服务

4、ipconfig

ipconfig可用于显示当前的TCP/IP配置的设置值

俗气一点的说法,就是查看ip

5、net user

这个可以说是最基本的了,可以参考百度自行学习。

总结到最后的一条命令是:net user vaf vaf /add&net localgroup administrators vaf /add

5、systeminfo

这条命令也是基础的命令之一,该命令是Windows中用于显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡和补丁信息等。

命令返回的结果如下图

很明显,这个返回的信息太过驳杂,太多了。

我们可以这样子来: systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

/B 在一行的开始配对模式。

/C:string 使用指定字符串作为文字搜索字符串。

我们就可以先看看我们连接的什么类型的操作系统,由于中文环境下,"OS Name"为"OS 名称","OS Version"为"OS 版本"

所以我们的命令为:systeminfo | findstr /B /C:" OS 名称" /C:"OS 版本"

修补程序: systeminfo | findstr /i "kb"

6、route print

顾名思义,打印路由表

6、WMIC的艺术

Windows的命令还有很多,这里只介绍了,常用的,以后在渗透中慢慢学习和积累~~

之前在国外的一个哥们博客看看到了一篇文章,讲的是WMIC在渗透中的使用。

wmic(Windows Management Instrumentation Command-Line),是因为它是Windows平台下最有用的命令行工具。

WMIC在信息搜集和后渗透测试阶段非常实用,这里分享两个学习的链接:

http://www.computerhope.com/wmic.htm

http://synjunkie.blogspot.com/2008/03/command-line-ninjitsu.html

低版本的windows默认的配置是不允许使用WMIC命令的,除非你是管理员组成员。经过我的测试,在XP下低权限用户是不能使用WMIC命令,但是在Windows 7 和Windows8下,低权限用户可以使用WMIC,且不用更改任何设置。这正是我们使用WMIC搜集目标机器信息的前提,实际上Win10也是可以的~~

wmic /?

通过下面这条命令来查看补丁状况:

wmic qfe get Caption,Description,HotFixID,InstalledOn

这里共享一个脚本:http://www.fuzzysecurity.com/tutorials/files/wmic_info.rar

这个脚本可以放在目标机器上,调用WMIC来提取下面信息(进程,服务,用户,用户组,网络连接,硬盘信息,网络共享信息,已安装补丁,启动项,已安装的软件,操作系统的相关信息)

接下来的这条命令可以搜索system32下的所有名字包含以下几个关键字的文件,当然你可以手动指定关键字。

C:\Windows\system32> dir /s *pass* == *cred* == *vnc* == *.config*

这条是搜索某些特定的文件类型,这可能搜索到大量的结果:

1

C:\Windows\system32> findstr /si password *.xml *.ini *.txt

相似的,接下来的两条命令都是用来搜索注册表的,keyword是password,你可以替换成任何你想要的。

12

C:\Windows\system32> reg query HKLM /f password /t REG_SZ /sC:\Windows\system32> reg query HKCU /f password /t REG_SZ /s

7、powershell

Powershell其实在信息收集中用得比较少,后续提权的过程中,或者后渗透中用的比较多,以后再说

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2017-06-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

漏洞预警|Samba远程代码执行漏洞,影响7年前版本

Samba是Linux和UNIX系统的SMB协议服务软件,可以实现与其他操作系统(如:微软Windows操作系统)进行文件系统、打印机和其他资源的共享。此次漏洞...

2267
来自专栏杨逸轩 ' sBlog

PHP 免费IP api接口,常用技巧

4698
来自专栏安恒信息

关于最新Struts2 S2-045漏洞修复措施的几点重要说明

近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架Struts2中存在远程代码执行的严重漏洞。目前Struts2官方...

2614
来自专栏沈唁志

一个PHP文件搞定微信H5支付

3.1K6
来自专栏walterlv - 吕毅的博客

在 Windows 安装期间将 MBR 磁盘转换为 GPT 磁盘

2018-02-22 14:13

972
来自专栏FreeBuf

安全运维之如何找到隐匿于last和w命令中的ssh登录痕迹

*本文原创作者:ForrestX386,本文属FreeBuf原创奖励计划,未经许可禁止转载

1072
来自专栏区块链

我们不一样的黑客渗透教程第三课,CVE20177269实战测试

很多人想学黑客知识,却不知如何入门,网上的教程也太繁琐,小白看了也头疼,那还是我来写黑客系列入门教程吧,跟着我做,你能黑客入门的。我已经写了两篇了,第1篇在 《...

3086
来自专栏蜉蝣禅修之道

ubuntu忘记密码解决方法

2133
来自专栏FreeBuf

真实网站劫持案例分析

1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前...

6765
来自专栏FreeBuf

Kali Linux渗透基础知识整理(四):维持访问

*本文原创作者:sysorem 维持访问 在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限。使用木马程序、后门程序和rootkit来达到这一目的。...

2928

扫码关注云+社区