【构想总结】Windows内网提权的十个标的目的

网安教导

培育提拔收集平安人才

手艺交换、进修征询

媒介：仅笔录构想标的目的，详细手艺细节可碰着后比照深进研究。假设有填补，十分欢送各人评论、留言。

PART 01

操纵Windows系统破绽

婚配可提权破绽编号，系统能否缺失该补钉。

1人工查用systeminfo号令 或 wmic qfe getHotFixID 号令获取已经打了的补钉编号。

2操纵Metasploit的enum_patches模块

3操纵Windows Exploit Suggester东西

4操纵PowerShell的Sherlock脚本

5操纵Cobalt Strike3 .6及之后版本的elevate号令

PART 02

操纵系统办事权限设置装备摆设破绽

1操纵PowerShell的PowerUp脚本

2操纵Metasploit的service_permissions模块

3操纵注册表键AlwaysInstallElevated 设置项（破绽来源Windows Installer特权安拆功用）

PART 03

操纵可相信办事途径破绽

Trusted Service Paths破绽，跟windows文件途径解析特征有关。如某系统办事位置C:\Program Files\SysService 解析时会测验考试读取C:\Program*，也就是空格前所有契合该格局的项并施行

1操纵Metasploit的trusted_service_path模块

2人工查用wmic service get name,displayname,pathname,startmode |findstr /i "Auto"|findstr /i /v "C:\Windows\\"|findstr /i /v """ 号令查找没有用双引号表达途径且途径存在空格的办事，之后查找那些存在破绽且可读可写的办事途径，利用歹意法式重定名笼盖后重启办事。

展开全文

3

PART 04

操纵主动安拆设置装备摆设文件信息泄露

脚本批量给机器摆设情况时遗留的设置装备摆设文件中，可能存在当地治理员账号密码信息。

如： C:\sysprep.inf C:\Windows\System32\Sysprep\unattend.xml等

1人工搜集那些目次，批量揣度能否存在

2操纵Metasploit的enum_unattend模块

PART 05

操纵高权限方案使命

查抄能否存在高权限账户施行的方案使命。

1可通过 schtasks /query /fo LIST/v 查询当前计算机的方案使命

2发现存在高权限施行的方案使命后笔录下使命的途径，后续查找有权限缺陷，能够低权限写进的途径，然后笼盖该方案使命的施行法式。 能够利用AccessChk微软官方供给的查抄东西查抄那些途径能否存在缺陷。

PART 06

Empire自带模块

Empire内置了PowerUp部门模块，可通过输进号令 usemodule privesc/powerup后不回车，按Tab键补全查询powerup下的模块停止利用。

如停止所有查抄 :

1usemoduleprivesc/powerup/allchecks

2execute

停止内置破绽查抄，其包罗（以下查抄根本都能够通过usemodule privesc/powerup/模块名零丁用）：

1没有用引号来表达途径的办事途径

2ACL设置装备摆设错误的办事

3办事可施行文件的权限设置装备摆设错误

4Unattend.xml文件扫描

5注册表键 AlwaysInstallElevated查抄

6AutoLogon凭证扫描

7加密的 web.config字符串和利用法式的密码扫描

8% PATH% .DLL劫持时机查抄

PART 07

操纵组战略首选项破绽

SYSVOL文件夹中可能保留了当地治理员密码，固然AES加密了，但是微软公开了密钥。

默认途径：%SystemRoot%\SYSVOL\SYSVOLdomain_name\Policies

1能够手动翻找那个文件夹下的 `{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\Groups.xml`文件

2操纵PowerShell，PowerSploit开源项目标Get-GPPPassword.ps1脚本

3操纵Metasploit的post/windows/gather/credentials/gpp模块

4操纵Empire 施行 `usemodule privesc/gpp`

防备：

2、设置SYSVOL途径的Everyone拜候权限

3、删除SYSVOL下包罗密码的XML文件

4、密码存放时重视不存放在所有域用户都能够拜候的文件中

5、能够利用LAPS治理域内机器当地治理员密码

PART 08

绕过UAC提权

UAC（User Account Control） 用户账户掌握，权限掌握机造，设置装备摆设Windows更新、增删改账户、安拆卸载利用、文件操做等等都需要颠末UAC掌握。

1操纵meterpreter（Metasploit中的一个杀手锏,凡是做为溢露马脚后的payload利用,payload在触发破绽后可以返回一个掌握通道）的exploit/windows/ local/bypassuac模块（操纵胜利需要一些前提：当前会话的用户必需在治理员组中，UAC品级为默认选项“仅在法式时图更改我的计算机时通知我”时）

2操纵meterpreter的exploit/windows/ local/ask模块（RunAs模块）（需要在后续的弹窗询问中确认才能够提权，因而需要当前回话的用户需要在治理组中或晓得治理员账号密码）

3操纵Nishang中的Invoke-PsUACme模块

4操纵Empire的bypassuac模块 号令： usemodule privesc/bypassuac

5Windows 7且未打补钉情状下，可操纵Empire 的bypassuac_w模块 号令：usemodule privesc/bypassuac_w

防备：

1、不给用户当地治理员权限，以通俗用户权限操做计算机。

2、以当地治理员权限登录的，设置UAC为最严厉形式“始末通知”。

PART 09

令牌窃取提权

令牌为系统的暂时密钥，类似于登录一个Web后的session，来代表当前登录的用户身份，认证机造为Kerberos协议。

1通过Rotten Potato法式提权，起首利用meterpreter的 useincognito号令后输进list_tokens -u 获取可用令牌列表，github下载Rotten Potato法式上传到目标机器，施行 execute-HC -f rottenpotato.exe。利用impersonate_token "NT AUTHORITY\\SYSTEM"号令仿冒系统权限。

2收集中存在域治理历程，可通过meterpreter的migrate迁徙到该历程，之后施行号令添加域治理员(添加域账号：net userusername password/ad / domain添加到域治理员组：net group"domain admins"username /ad / domain)

3meterpreter通过incognito模仿域治理员，会话中施行 添加域账号： add_user username password-h 域控ip 。添加到域治理员组：add_group_user "Domain Admins"username -h 域控ip

4操纵Empire内置的的mimikatz查看系统密码，查到可用的令牌后，通过pth 列出可用的CredID 来停止令牌窃取。或利用ps查找运行中的域用户历程 ID停止窃取。

防备：

1、及时更新微软平安补钉

PART 10

无身份凭证获取权限

适用前提：当内网主备DNS办事器均不成用的情状。

当主备DNS办事器均不成用时，内网会利用LLMNR和NetBIOS停止主机名和IP解析等操做，操纵Responder（内置大量协议和利用办事器）停止搜集内网计算机凭证。

END

文：我超怕的

版权声明：著做权回做者所有。若有侵权请联络删除

开源聚合网安操练营

情况搭建

Python

学员专辑

信息搜集

CNVD

平安求职

渗入实战

CVE

高薪揭秘

渗入测试东西

收集平安行业

神异大礼包

根底教程

我们贴心备至

用户答疑

QQ在线客服

加进社群

QQ+微信等着你

我就晓得你“在看”