kali許可權提升之配置不當提權與WCE
kali許可權提升之配置不當提權與WCE
1.利用配置不當提權
2.WCE
3.其他提權
一、利用配置不當提權
與漏洞提權相比更常用的方法
在大部分企業環境下,會有相應的補丁更新策略,因此難以通過相應漏洞進行入侵。當入侵一臺伺服器後,無法照當相應的補丁進行提權,可通過尋找是否存在配置不當進行提權。如:程式碼中沒有進行引數過濾等操作。
1.通過檢視哪些服務預設以system許可權啟動,可嘗試將其替換或繫結反彈shell程式
2.瞭解NTFS(檔案系統)許可權允許users修改刪除本身,則可利用其配置不當,完成提權
3.命令列下快速查詢當前系統下所有exe、con、ini執行程式的NTFS資訊
3.1icacls #windows 2003以後的系統中包含的程式
icacls c:\windows\*.exe /save acl-exe /T #將 c:\windows 及其子目錄下所有檔案的exe檔案儲存到acl-exe檔案,然後通過文字檔案查詢字串FA;;;BU
3.2linux系統下查詢許可權設定不安全的程式
3.2.1檢視/目錄下檔案許可權為777的所有檔案,並列出詳細資訊
find / -perm 777 -exec ls -l {} \;
3.2.2 find / -writable -type f 2>/dev/null |grep -v "/proc/"
二、WCE
Windows Credentials Editor (WCE)【windows身份驗證資訊編輯器】是一款功能強大的windows平臺內網滲透工具。整合在kali的工具包的windows程式(/usr/share/wce) #從記憶體中讀取LM、NTLM hash
作用:它可以列舉登陸會話,並且可以新增、改變和刪除相關憑據(例如:LM/NT hashes)。這些功能在內網滲透中能夠被利用,例如,在windows平臺上執行繞過hash或者從記憶體中獲取NT/LM hashes(也可以從互動式登陸、服務、遠端桌面連線中獲取)以用於進一步的攻擊。可以檢視系統當前登陸使用者的登陸密碼的密文形式和明文形式。
要求:具有管理員許可權
1.wce-universal.exe -l 檢視當前登入賬號的密碼的密文形式的雜湊值 因為是從記憶體中讀取LM、NTLM hash,所以只能檢視到已經登入的使用者,未登入的使用者檢視不到
#計算機名也會被當作使用者來處理
2.切換幾個賬號,然後測試
3.檢視詳細資訊
wce-universal.exe -lv 下圖的safe mode 安全模式 less-safe mode 是注入模式 #注入模式可能會對系統程序造成損壞
4.刪除指定一個會話的LUID
wce-universal.exe -d
刪除aaa使用者的LUID.可以看到aaa的當前會話沒有了
5.wce-universal.exe -r顯示當前最新登入資訊,5秒重新整理一次,登入新的賬戶測試
6.wce-universal.exe -e 指定時間重新整理
7.wce-universal.exe -g 對給出的數進行hash計算
8.wce-universal.exe -w以明文形式讀取密碼
9.修改登入會話,將bbb的登入會話修改成另一個使用者賬號
防禦WCE攻擊
系統通過Digest Authentication Package維護明文密碼,預設自啟動。可去登錄檔中關閉預設啟動
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
刪掉最後一行wdigest,連換行符也不能留下
測試,可以看到在登錄檔中關閉維護明文密碼之後,再次執行wce-universal.exe -w什麼都獲得不到,並且系統會自動重啟( 因為WCE預設先以安全模式執行,當安全模式不能執行,再開始嘗試注入程序以便獲得資訊,但是注入模式可能會對系統程序造成損壞)
三、其它提權
python編寫指令碼提權
1.Python編寫指令碼增加一個s標誌位,以root許可權執行,然後別的使用者執行/bin/dash就能擁有管理員的許可權
2.切換到普通使用者,然後執行/bin/dash,就可以看到普通使用者擁有管理員的許可權
Vim -c 提權
1.首先在/etc/sudoers檔案中新增一句,然後以root許可權執行python指令碼
2.切換到普通使用者,然後輸入sudo vim -c ‘!sh’ 可以看到普通使用者沒有輸入密碼切換到root賬戶