作者名:白昼安全
主页面链接: 主页传送门
创作初心: 一切为了她
座右铭: 不要让时代的悲哀成为你的悲哀
专研方向: web安全,后渗透技术
每日emo: 不悲伤,不彷徨,有风听风,有雨看雨
一、Webshell权限转交msf
在内网阶段,假如我们通过了外部打点拿到了 webshell怎么来进行
权限提升呢。在我们普通的菜刀等webshell管理工具,是不具备提权功能的。那么我们就可以通过转交会话的方式来操作webshell权限进一步提升。
那怎样将webshell管理工具的webshell转交到msf呢?这里的webshell管理工具以哥斯拉为例,步骤如下
进入webshell管理条目右键点击进入
可以看到哥斯拉内置了msf模块,如下
将如下位置改为kali的ip和监听端口
点击load即可载入配置
而哥斯拉这款工具在这方面的优点就是载入配置后会给出msf接收会话的命令教程,就是下面这部分
在msf跟着敲就可以开启监听了
注意:这里的load载入配置有时候会卡,导致下面的设置lport的命令不变,例如上面我配置的是1111为监听端口,下面给出的命令仍然是4444,此时在msf敲命令时就要以你配置的为准,即1111
如下
成功开启监听,此时再在哥斯拉的msf插件模块位置点击go即可发送会话
效果如下
可以看到webshell管理工具上的webshell已经成功转交给msf了
二、windows权限分类
在Windows系统中,权限大概分为四中,分别是:
User:普通用户权限
Administrator:管理员权限,可以
利用Windows机制提升为System权限,所以msf的getsystem命令执行者是administrator时更容易成功System:系统权限
TrustedInstaller:Windows中
最高权限。有些文件,连System权限也无法修改,只能TrustedInstaller权限修改。TrustedInstaller为Windows系统中众多系统内置安全主体中的一个,本身是系统重要服务,用户无法直接在此服务的上下文中运行程序或另一个服务。它是操作系统上用来对系统进行维护、更新等操作的组。在Windows
XP及以前,System账户与管理员组对系统文件都有着完全访问的权限。
这意味着以管理员身份运行的程序可以任意更改系统,降低了系统安全性。TrustedInstaller则改变了这一情况,使得只有拥有TrustedInstaller令牌的系统进程才能更改
系统重要内容,而其他大部分系统服务就没有权限
我们获得了一个Windows系统的普通用户权限,由于低权限用户的很多操作将受到限制。所以,我们会想法设法地将低权限用户提权到高权限用户。
提权也就是通过漏洞来提权
三、windows权限提升
当我们不用metasploit不能进行getsystem的时候,那么我们该有哪一些思路来进行提权呢。
既然要提权,那么我们先详细了解一下权限的分类
1、windows内核溢出提权
本地溢出提权首先要有服务器的一个普通用户权限,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出Administrator权限。
那怎么判断系统是否存在漏洞呢?
[1]、systeminfo
首先就是通过系统打的补丁信息来观察,输入如下命令
systeminfo
system命令是Windows中用于显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品
ID 和硬件属性,如
RAM、磁盘空间和网卡和补丁信息等。
很多同学说就算拿到了补丁信息我怎么知道哪些补丁没打,存在哪些漏洞呢?这边给大家推荐一个辅助网站,链接如下
只需要将systeminfo获取的信息(或者单纯的补丁信息)复制进去,程序即可检测漏洞并返回对应的提权exp
可以看到返回的信息也很完善
[2]、local_exploit_suggester
post/multi/recon/local_exploit_suggester
是Msf自带的一个攻击模块,用来探测主机有哪一些漏洞,只需要配置session会话即可,如下
可以看到列出了很多对于session会话权限提升的办法,绿色的就是能够成功的,红色的就是不能利用的,可以看出来该模块还是很强的
注意:这些exp模块有的在使用后
并不是运行之后就能直接拿到system权限。而是运行之后会返回一个新的当前权限,此时在使用getsystem就能变成system权限
2、UAC绕过提权
UAC(User Account Control,用户账号控制) 是微软为了提高系统安全性在Windows
Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。在权限不够的情况下,访问系统磁盘的根目录、Windows目录,以及读写系统登录数据库等操作,都需要经常UAC(User
Account Control,用户账号控制)的认证。
[1]、Msf模块
msf中有大量的通过uac绕过提权(bypassuac)的攻击模块,如下
在平时的是渗透中都可以进行尝试,一个一个试即可
[2]、Akagi64
这里再给同学们推荐github上的一个项目,内含七十多中uacbypass姿势,每种都有详细的介绍信息,github链接如下
https://github.com/hfiref0x/UACME
只要目标机器符合使用环境,都可以不断尝试,直到成功,成功后就会反弹一个管理员权限
命令格式如下
Akagi64.exe [bypassuac的姿势序号名] [要打开的程序]
此时如果能成功执行,就会以管理员权限运行我们指定的程序,例如我们以普通用户执行
Akagi64.exe 61 C:\Windows\system32\cmd.exe
就会弹出一个cmd窗口,并且是管理员权限,如下
3、windows系统错误配置提权
我们在获得目标机一个普通的权限时,除了常规提权方法外,还可以通过查找目标主机错误的系统配置和漏洞来获取系统权限。本节所讲的“Trusted Service
Paths(可信任服务路径)漏洞”和“系统服务的错误权限配置漏洞”绝对是你值得尝试的一个环节。
[1]、系统服务的错误权限配置漏洞
来看看下面这个页面,相信大家都很熟悉吧
这是windows的服务业,里面显示了系统的服务项、每个服务都对应了一个exe程序,如下
大部分都是系统自带的,比较安全,但有时候用户会出于各种原因来自己添加对应的服务和程序,此时的程序就不一定安全。
可以看到上面的服务对应的一个文件目录,c:\windows\system32目录,该目录是windows的系统目录,普通用户没有权限操纵里面的内容,所以这里的配置是没问题的
但如果用户新建的服务对应的程序在不安全的目录中,例如服务对应的程序路径如下
E:\ctf\misc\bpgview\BPGviewe.exe
此时我们如果能够对E:\ctf\misc\bpgview\目录下的文件进行删除,修改,添加等,我们就可以把BPGviewe.exe程序删除,上传我们自己恶意文件并重命名为BPGviewe.exe,当使用者再次打开该服务时,就会启动我们的恶意文件
[2]、Trusted Service Paths
“Trusted Service
Paths”(可信任服务路径)漏洞是由系统中的“CreateProcess”函数引起的,利用了windows文件路径解析的特性,并涉及了服务路径的文件/文件夹权限,存在缺陷的服务程序利用了属于可执行文件的文件/文件夹权限。如果权限合适,我们可以上传恶意可执行文件。简单讲就是查找系统服务文件中存在非引用路径。如果一个服务调用可执行文件,没有正确处理引用的全路径名,就可以利用这个漏洞。
但是这个漏洞不太好演示,这里就介绍一下对应的Msf模块,同学们知道怎么用就可以了,模块名如下
exploit/windows/loacal/service_permissions
配置Msf端的session,运行后就可以查找目标机器是否存在这个错误配置,自动攻击,如下
4、访问令牌AccessTOken的窃取提权
假冒令牌可以假冒一个网络中的另一个用户进行各种操作。令牌包括登录会话的安全信息,如用户身份识别、用户组合用户权限。当一个用户登录Windows系统时,它被给定一个访问令牌作为它认证会话的一部分。例如,一个入侵用户可能需要域管理员的操作权限的时候,当它使用令牌便可假冒域管理员进行工作(攻击)。
[1]、令牌介绍
令牌(Token):令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。
令牌分类
访问令牌(Access Token): 表示访问控制操作主体的系统对象
会话令牌(Session Token): 交互会话中唯一的身份标识符
密保令牌(Security Token): 又叫做认证令牌或硬件令牌,是一种计算机身份校验的物理设备,例如U盾
Windows的Access Token有两种类型
Delegation Token: 授权令牌,它支持交互式会话登录(例如本地用户直接登录、远程桌面登录访问)
Impresonation Token: 模拟令牌,它是非交互的会话(例如使用net use访问共享文件夹)。
[2]、利用方式
条件:必须为 Administrator 权限
这里我们还是使用Msf中对应的攻击模块来展示,该漏洞在Msf对应的攻击步骤如下
1、获取token
use incognite
list_tokens -u
可以看到成功找到一个Administrator权限的token会话
注意:这里找到的会话 必须是administrator权限才能通过此方式提升为 system权限
2、伪造令牌
impersonate_token "NT AUTHORITY\SYSTEM"
可以看到已经成功提升为system权限
5、alwaysinstallelevated提权
alwaysinstallelevated提权也可以理解为注册表提权,alwaysinstallelevated是注册表的一个键值,当它的值为1时,普通用户就能以system权限安装msi程序
漏洞检测方法:
shell下输入如下命令:
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
如果提示error,就是不存在该漏洞,如下
这个漏洞的复现比较复杂,因为环境有点难弄,所以这里就没有攻击成功的案例,如果有兴趣的同学也可以去看看下面这篇博客的复现,介绍的挺详细的
AlwaysInstallElevated提权介绍_番茄酱料的博客-
CSDN博客
当然这个漏洞Msf也提供了对应的模块,我们直接用模块操作攻击也可以,模块名如下
windows/local/always_install_elevated
进入该模块设置session会话后直接运行即可,如果目标存在该漏洞,就会返回一个system权限的会话,达到提权的效果
当然这里没有攻击成功,因为我没有搭建漏洞环境
6、自带安装配置提权
原理:网络管理员在内网中给多台机器配置一个同一个环境,通常都不会一个一个配置,本地脚本批量部署环境,有的时候会将配置文件信息也部署进环境,里面甚至可能有账密之类的敏感信息
Msf中也有对应的模块,非常强大,模块名如下
post/windows/gather/enum_unattend
进入该模块后设置session即可
运行之后如果有结果就会回显出来,但是我这是虚拟机,也没搭什么东西,所以没回显信息
7、计划任务
查找windows的计划任务中的文件和程序等,如果计划任务中的文件权限较低,也就是普通用户都能修改计划任务中的文件或程序,就可以上传我们的恶意文件来顶替掉计划任务中的文件
运用其实跟上面那个系统错误配置中查找服务对应的程序并顶替差不多,这里就不多讲了
8、主策略首选项
在一般网络环境中,所有的机器脚本都是批量化的部署,为方便所有主机的管理,管理员都会使用同一个策略,此时操作系统会在共享目录生成一个
xml文件,这个文件就可能保存包括密码在内的很多敏感信息有了密码那自然就可以提权
这个方法在Msf也有对应的模块,模块名如下
post/windwos/gather/credentials/gpp
开启运行,如果能成功扫描到足以提权的敏感信息,就会返回一个提权后的会话或者任意一台域用户的权限会话
9、自动安装
unattended
install是一种自动安装程序,这些自动安装程序很有可能会带着一些敏感信息,配置文件,记录着一些密码之类的,对应的Msf查找攻击模块如下
post/windows/gather/enum_unattend
但是这个的使用与上面相同,如果有回显就是有漏洞,即成功
10、webshell烂土豆
烂土豆下载地址:
[windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits
· GitHub](https://github.com/SecWiki/windows-kernel-
exploits/tree/master/MS16-075)
下载好就是一个potato.exe文件
上面讲了令牌伪造时必须是administor权限才可以,但如果是webshell权限时,可以尝试搭配烂土豆进行提权,操作如下
将烂土豆上传
upload /root/potato.exe
执行potato.exe程序
execute -cH -f ./potato.exe
查看token
use incognito
list_tokens -u
此时如果查找到了system权限的令牌,就说明没啥问题,直接跟上面一样伪造system权限令牌即可
例:impersonate_token "NT AUTHORITY\\SYSTEM"
注意:IIS网站的webshell成功概率较大
11、其他
还有各种各样其他的提权方式,比如SER-
TU提权,第三方软件提权,FTP提权等各种各样的,但很多环境都比较难搭,也不太好演示,而且太多了,实在演示不过来,上面的几种都是比较常用的,同学们看了之后也可以自己再去积累一些姿势
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!