内网（域）渗透测试流程和模拟测试day--5--Windows和Linux的提权

前景：

小知识：

认识一下土豆家族

        是指一系列利用 Windows 系统漏洞实现提权的工具或方法，起源于 JuicyPotato。这些工具大多利用 COM 对象和服务中的权限提升漏洞，主要用于在 Windows 环境中从中低权限（如普通用户）提权到 SYSTEM 权限。

认识一下脏牛提权（Dirty COW）

        是 Linux 内核中的一个本地提权漏洞（CVE-2016-5195），它利用了内核中的 Copy-On-Write（COW）机制中的竞争条件。攻击者可以利用此漏洞修改只读文件，从而提升权限。

---为了获取更高权限，从而能够执行更多高权限相关的操作 

Windows提权： 

提权前提：getshell

1.Windows提权前的信息收集

（1）系统版本

• systeminfo：命令获取系统详细信息。

• hostname：命令获取主机名。

• wmic os get caption：查看系统名称。

（2）补丁情况

wmic qfe get Description,HotFixID,InstalledOn：查看补丁信息。

wmic qfe get hotfixed

（3）杀软情况

netstat，tasklist：查看杀软情况

wmic //NAMESPACE :\\ root\CIMV2 PATH win32-Product get name查看安装软件

（4）可读可写目录

当我们cmd不可执行时

我们可以检索到目标主机的系统版本，架构

我们通过蚁剑等工具上传一个cmd.exe

使用setp + 路径 切换到我们上传的cmd为终端命令界面

----

具体的目录查找，可以使用一些大马程序来查看

（5）服务消息

services.msc查看所有服务

sc query state=all

（6）一些自动化脚本

--HIGS.bat 

--winPEAS.bat

2.Windows提权的方式（分先后）

远程溢出

具体是一些报出的漏洞

MS08067  17010

CVE-2017-0146(永恒之蓝)

1.根据信息收集步骤中的信息查看目标是否存在exp

--目标主机版本信息？

--目标主机的补丁打了多少？

 --是否存在exp？        

2.查找exp的方法

1.Google的hacking

2.Github

3.在msf里面查

3.上传exp（以exe的为例子）

--1

使用连接工具上传我们的exp.exe到可读可写文件夹下

（选）使用setp + 指定目录.exe 设置为我们上传的cmd.exe(要适配目标主机的系统

        //我们上传的exe文件可能会被系统等防护进程删掉

我们可以修改exe的后缀，为txt避免被删除

--2

使用cmd执行exp.exe文件

不同exp.exe有不同使用方法，具体看你找到的exp的使用文档

----无法执行exp？

若存在.NET服务

使用aspx木马，因为.apsx的权限稍微大

服务器内部文件存放了密码

服务器高权限提权

将低权限进程注入到高权限进程中，从而获得高权限。攻击者可以利用Windows的API函数（如OpenProcess、VirtualAllocEx、WriteProcessMemory、CreateRemoteThread）将恶意代码注入到高权限进程中。

1. 查找高权限进程：使用tasklist命令查找高权限进程。

2. 编写注入代码：编写或使用现成的注入代码。

3. 注入恶意代码：使用工具（如Metasploit）将恶意代码注入高权限进程。

服务器三方高权限提权

1. 查找漏洞：使用工具（如exploit-db）查找目标系统中安装的第三方软件或服务的漏洞。

2. 下载Exp：获取对应的Exp代码。

3. 运行

系统配置（不当）错误

1. 查找配置错误：使用工具如PowerSploit查找系统或应用程序的配置错误。

2. 利用配置错误：根据找到的配置错误，利用msf进行提权。

DLL劫持漏洞

端口转发

常见的就是Mysql的3306，Windows的远程连接的3389

1.使用注册表的方式打开对应端口

exp程序+注册表添加服务的命令的方式开启

2.连接到对应端口

令牌窃取

----烂土豆的方式

tips：隐藏启动服务

excute -H（隐藏服务） exe -c（隐藏i/o） -f(指定进程文件)

Windows系统中每个进程都有一个访问令牌，包含用户的安全信息。攻击者可以通过窃取高权限进程的令牌来提升自身权限。

1. 通过之前的信息收集tasklist命令查找高权限进程。

2. 使用工具如TokenKid窃取高权限进程的令牌。

3. 使用窃取的令牌执行命令

linux提权：

Linux的信息收集

（1）系统信息

uname -a（内核） -m（架构）

hostname（主机名）

cat /etc/issue 查看发行版信息

（2）suid文件

查找具有SUID权限的文件：find / -perm -4000 -type f 2>/dev/null 

（3）查找可写文件

查找属于root用户且其他用户可写的文件：

find / -type f -user root -perm -o w 2>/dev/null

 （4）自动化工具

linux-exploit-suggester

dirty_cow

（5）sudo配置信息

find / -perm -4000 -type f 2>/dev/null 

Linux的提权方式

内核漏洞

sudo提权

/etc/sudoers是sudo权限配置文件

文件结构

test ALL=(ALL:ALL) NOPASSWD:ALL

test All(ALL:ALL) /usr/bin/wget

test ALL(ALL:ALL) ALL

提权命令：

wget、find、cat、apt、zip、sed、pip、ed、scp、bash、less、awk、man、vi、ftp 

suid提权

有SUID权限的文件在其执行时，会使调用者暂时获得该文件拥有者的权限。如果有SUID提权，就可以利用系统中的二进制文件和工具进行root提权

可以用来提权的linux可行性的文件列表：nmap、vim 、find、nash、lore 、less 、awk

--通过之前的find信息收集到的suid的文件，不同的文件有不同的方式

环境劫持提权

前提

-有suid的文件

-找到本用户的可写目录

1.将PATH信息添加/修改加入可写目录

1.1在该目录文件下写脚本

2.在可执行目录下执行脚本文件