Bootstrap

Metasploit权限提升全剧终

0×01 引言

通常,我们在渗透过程中很有可能只获得了一个系统的Guest或User权限。低的权限级别将会使我们受到很多的限制,所以必须将访问权限从Guset提升到User,再到Administrator,最后到SYSTEM级别。
渗透的最终目的是获取服务器的最高权限,即Windows操作系统中管理员账号的权限,或LINUX操作系统中root账户权限。

提升权限的方式分为两类。

纵向提权:低权限角色获得高权限角色的权限。比如,一个webshell权限通过提权之后拥有了管理员的权限,那么这种提权就是纵向提权。

横向提权:获取同级别角色的权限。比如,通过已经攻破的系统A获取了系统B的权限,那么这种提权就属于横向提权。
所以在成功获取目标机meterpreter shell后,我们要知道现在已经拥有了什么权限。

1、在meterpreter shell下输入命令shell进入目标机CMD命令行


2、输入whoami /groups 命令


3、可以看到这个表是Mandatory Label\Medium MandatoryLevel,说明我们是一个标准用户,需要将用户权限从标准用户提升到管理员权限,也就是Mandatory Label\High MandatoryLevel。
提权大体有以下几种方法:

使用getsystem提升权限
利用本地漏洞
假冒令牌
绕过Windows账户控制(UAC)
HASH

0×02 getsystem

利用meterpreter中的getsystem命令,该命令自动寻找各种可能的适应技术,以便将用户权限提升到更高级别。我们输入getsystem –h 来看下它使用的3种技术,如下图。

默认值0会尝试所有列出技术来尝试提权,直至成功。提权方式采用命令管道模拟提升的方法和令牌复制的方法。输入getsystem命令即完成操作。具体效果见下图。


该命令使用方便,并且简单高效,在渗透测试中会频繁使用到,建议所有提权过程中先行尝试此方法。

0×03利用本地漏洞

本地漏洞提权,即使用本地漏洞的利用程序(loca>exploit)提升权限。就是说通过运行一些现成的造成溢出漏洞的exploit,把用户从users组或其它系统用户中提升到administrators组(或root)。

溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把里面的水溢出来。而相对计算机来说计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超过了这个缓存区的长度,那么这个程序就会溢出了。

1、利用getuid命令查看已经获得的权限,可以看到现在的权限很低,是个user权限。尝试利用getsystem提权,失败。见下图:


2.输入命令shell进入目标机CMD命令行,再利用systeminfo命令或者通过查询 c:\windows\ 里留下的补丁号.log来看看目标机大概打了哪些补丁。

可以看到目标机基本上没有打任何补丁,我们可以尝试利用Windows下已有的漏洞提权,如ms13_053,ms14_058,ms16_016,ms16_032等等。

相关漏洞的具体信息分析和共享可以参考下面2个网站:

安全焦点,其BugTraq是一个出色的漏洞和exploit数据源,可以通过CVE编号,或者产品信息漏洞直接搜索。网址:http://www.securityfocus.com/bid。
Exploit-DB,取代了老牌安全网站milw0rm。不断更新大量的Exploit程序和报告,它的搜索功能可以搜索整个网站内容。网址:http://www.exploit-db.com。

*附上收集的部分系统对应补丁号 Win2003 Win2008
Win2012

KB2360937|MS10-084
KB2478960|MS11-014
KB2507938|MS11-056
KB2566454|MS11-062
KB2646524|MS12-003
KB2645640|MS12-009
KB2641653|MS12-018
KB944653|MS07-067
KB952004|MS09-012 PR
KB971657|MS09-041
KB2620712|MS11-097
KB2393802|MS11-011
KB942831|MS08-005
KB2503665|MS11-046
KB2592799|MS11-080
KB956572|MS09-012烤肉
KB2621440|MS12-020
KB977165|MS10-015Ms Viru
KB3139914|MS16-032
KB3124280|MS16-016
KB3134228|MS16-014
KB3079904|MS15-097
KB3077657|MS15-077
KB3045171|MS15-051
KB3000061|MS14-058
KB2829361|MS13-046
KB2850851|MS13-053EPATHOBJ 0day 限32位
KB2707511|MS12-042 sysret -pid
KB2124261|KB2271195 MS10-065 IIS7
KB970483|MS09-020IIS6
KB3139914|MS16-032
KB3124280|MS16-016
KB3134228|MS16-014
KB3079904|MS15-097
KB3077657|MS15-077
KB3045171|MS15-051
KB3000061|MS14-058
KB2829361|MS13-046
KB2850851|MS13-053EPATHOBJ 0day 限32位
KB2707511|MS12-042 sysret -pid
KB2124261|KB2271195 MS10-065 IIS7
KB970483|MS09-020IIS6
KB3139914|MS16-032
KB3124280|MS16-016
KB3134228|MS16-014
KB3079904|MS15-097
KB3077657|MS15-077
KB3045171|MS15-051
KB3000061|MS14-058
KB2829361|MS13-046
KB2850851|MS13-053EPATHOBJ 0day 限32位
KB2707511|MS12-042 sysret -pid
KB2124261|KB2271195 MS10-065 IIS7
KB970483|MS09-020IIS6

3、接着我们输入命令background,就是把你当前的metasploit shell转为后台执行


4.然后搜索Metasploit中是否有相应的exploit程序,下面以ms16_016(该模块在windows 32位和64位下都有效)为例。


5.通过这个exploit进行提权,具体命令如下图:


我们可以看到成功利用了notepad漏洞,启动了一个PID为708的进程。接着输入PS命令查看目标机进程,找到PID 708这个进程,并且利用migrate命令迁移到该进程中。最后执行getsystem,再次查看权限,看到没有,已经是系统权限了。


0×04假冒令牌

令牌是系统临时密钥,它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源。这些令牌将持续存在于系统中,除非系统重新启动。我们输入use incognito命令,然后输入list_tokens –u,列出可用token,见下图:


我们可以看到有二种类型的令牌,一种是Delegation Tokens,也就是授权令牌,它支持交互式登录(比如可以通过远程桌面登陆访问)。还有一种是Impersonation Tokens,也就是模拟令牌,它是非交互的会话。可看到令牌的数量,取决于我们meterpreter shell的访问级别。我们可以看到已经获得一个系统管理员的授权令牌,现在我们就是要假冒这个令牌,成功后我们就可以拥有它的权限。接下来我们在incognito中调用impersonate_token命令,具体命令见下图

运行成功,我们在meterpreter shell下运行shell命令并输入whoami,可以看到我现在就是我们假冒的那个win-57tj4b561mt\administrator系统管理员了。

0×05 绕过Windows用户账户控制(UAC)

在Windows Vista 以及更高的版本中,微软引进了安全控制策略,分为高、中、低三个等级。高等级的进程具有管理员权限,中等级进程拥有一个基本用户的权限,低级别的进程的权限是受各种限制的,用来保证当系统受到威胁时,带来的损害能保持到最小。
UAC有4种设置要求:

始终通知:这是最严格的设置,任何时候,当有程序要使用高级别权限时,都会提示本地用户。
仅在程序试图更改我的计算机时通知我:这是UAC的默认设置。本地Windows程序要使用高级别权限时,不通知用户。但当第三方程序要求使用高级别权限时,它会提示本地用户。
仅在程序试图更改我的计算机时通知我(不降低桌面的亮度):与上一条设置要求相同,但提示用户时不降低桌面的亮度。
从不提示:当用户为系统管理员时,所有程序都会以最高权限运行。
一.使用Bypassuac提权

Bypassuac主要有以下4个模块


1、我们先看下现在已经获得的权限?该权限能否直接通过getsystem来直接提权?

可以看到是shuteer用户权限,通过getsystem提权提示权限不够,拒绝访问。

2.下面利用bypassuac模块来提权,这里使用exploit/windows/local/bypassuac模块(该模块在windows 32位和64位下都有效),本模块执行成功后将会返回一个新的meterpreter shell,设置如下图:


已经攻击成功,返回了一个session 5的meterpreter shell,此时我们通过sessions 命令可以看到已经有了2个meterpreter shell。


3.执行getuid查看权限,如果发现还是普通权限,不要失望,继续执行getsystem,再次查看权限,已经成功绕过UAC,且已经是系统权限了。


其他几个模块用法和上面一样,原理有所不同,执行成功后都会返回一个新的meterpreter shell,且都需要执行getsystem才能获取系统权限。

使用bypassuac模块时一些注意事项:

使用bypassuac模块进行提权时,系统当前用户必须在管理员组,而且用户账户控制程序UAC设置为默认,即“仅在程序试图更改我的计算机时通知我”。
Bypassuac模块运行时会在目标机上创建多个文件,会被杀毒软件识别。exploit/windows/local/bypassuac_injection模块直接运行在内存中的反射DLL中,所以它不触碰硬盘,可以最大限度地降低被杀毒软件检测到的概率。
Metasploit框架攻击目前没有针对Windows 8的模块

二.使用RunAs提权
这种方法可以利用exploit/windows/local/ask模块(该模块在windows 32位和64位下都有效),创建一个可执行文件,目标机会运行一个发起提升权限请求的程序,提示用户是否要继续运行,如果用户选择“是”,就会触发返回一个高权限的meterpreter shell。设置如下图:


输入run命令后会在目标机上会弹出UAC,提示用户是否运行


选择“是”就会成功返回一个新的meterpreter shell。


同样执行getuid查看权限,发现是普通权限时,继续执行getsystem,再次查看权限,已经是系统权限了。


使用RunAs模块时一些注意事项:

使用RunAs模块进行提权时,系统当前用户须在管理员组或者知道管理员的密码,用户账户控制程序UAC设置则没有要求。
使用RunAs模块进行提权时,会创建一个可执行文件,为了避免给杀毒软件查杀,该可执行文件(需进行免杀处理)的创建要使用EXE::Custom选项。
RunAs攻击的缺点是,程序企图修改计算机设置时,系统会对用户发出提醒。此警报可能会被管理人员认定为攻击。建议多次运行,系统多次对用户发出提醒后,对于缺乏安全意识或不厌其烦的管理人员会点击“是”,从而完成权限提升。

0×06 HASH攻击

1.使用hashdump命令
Hashdump meterpreter脚本可以从目标机器中提取hash值,破解hash值即可获得登陆密码。计算机中的每个账号(如果是域服务器,则为域内的每个账号)的用户名和密码都存储在SAM文件中,当计算机运行时,该文件对所有账号进行锁定,要想访问就必须要有“系统级”账号。所以要使用该命令就必须要进行权限的提升。
在meterpreter shell提示符下输入hashdump命令,将导出目标机SAM数据库中HASH,见下图:

抓取到的HASH可以使用暴力破解或者使用彩虹列表进行破解,个人建议可以直接到http://www.cmd5.com/或者http://www.xmd5.com/进行破解。
还有一个命令smart_hashdump,可以导出域所有用户的HASH。

2.WindowsCredentials Editor (WCE)或者MIMIKATZ
Windows Credentials Editor (WCE)是一款功能强大的windows平台内网渗透工具,它可以列举登陆会话,并且可以添加、改变和删除相关凭据(例如:LM/NT hashes)。这些功能在内网渗透中能够被利用,例如,在windows平台上执行绕过hash或者从内存中获取NT/LM hashes(也可以从交互式登陆、服务、远程桌面连接中获取)以用于进一步的攻击,而且体积也非常小,是内网渗透手必备工具。
先使用upload命令将wce.exe上传到目标主机C盘中,然后在目标机shell下输入 wce –w命令,便会成功提取到系统明文管理员密码。如下图。


MIMIKATZ的使用比较简单,就不演示了!
这2个工具必须要在管理员权限下使用,还要注意工具的免杀。

;