渗透测试技术----提权(第三方提权和WCE)
一、Windows登录认证
1.登录认证过程
(1):用户登录时输入用户名和密码
(2):对输入的密码进行lmhash和nthash加密
(3):对加密的密码与系统中的SAM文件进行比对
(4):SAM文件中存放的是用户的用户名和密码的hash值,如果比对成功就可以进行登录,否则登录不成功。
2.SAM介绍
Windows中对用户账户的安全管理使用了安全账号管理器SAM(security account manager)的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。
安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个账号被删除,它的安全标识就不再存在了,即使用相同的用户名重建账号,也会被赋予不同的安全标识,不会保留原来的权限。
SAM文件是windows的用户账户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。SAM文件可以认为类似于unix系统中的passwd文件,不过没有unix的passwd文件那么直观,当我们忘记密码的时候,就可以通过删除SAM文件,快速地进入系统。
3.SAM文件位置
C:\WINDOWS\repair\SAM
C:\WINDOWS\system32\config\SAM
C:\WINDOWS\repair目录下的SAM,是帐户数据库的备份文件;
C:\WINDOWS\system32\config目录下的SAM,是系统正在使用的帐户数据库文件。
4.SAM文件有何用
删除SAM文件破解系统开机密码。当您忘记了计算机的开机密码,无法进入系统的时候,SAM文件对您的帮助最大。我们可以先进入到纯DOS,通过如下的命令,将SAM文件删除:Del C:\WINDOWS\system32\config\SAM通过如上命令在纯DOS下删除SAM之后,计算机系统就相当于没有了任何帐户的信息,这个时候,就等于恢复到了最初的状态。
这个时候,我们重新启动计算机,会出现登陆界面,需要我们输入用户名和密码,这个时候,用户名输入Administrator密码为空,其余都不用输入,这样,就可以通过最高权限的Administrator登陆计算机了。一旦登陆成功,再给其设置密码或者重新建立其它的帐户,一切都是您说了算了。
二、利用配置不当提权
1.为什么使用配置不当提权
- 前提:已经成功渗透进目标系统;
- 相比利用漏洞提权,是更常用的方法;
因为在大部分企业中,系统管理员会将系统的漏洞即时进行补丁更新,难以通过系统自身我的漏洞进行入侵;但是由于管理员的疏忽或者对一些权限的分配不当,产生了配置不当 的问题,这样我们就可以利用这个问题进行提权。- 可以查找系统中以system权限启动的服务或应用
通过进程注入的方法拿到system权限- 可以查找NTFS权限允许users修改删除的应用
可能会由于管理员的疏忽给某个用户设置的权限过大,这样可以想办法拿到该用户账号密码,就可以获取更大的权限
2.查看文件权限
(1):查看Windows下用户权限
(2):查看Windows下exe文件
(3):查看Linux下文件权限为777的文件
find / -perm 777 -exec ls -l {} ;({}前后都有空格)查看权限为777的文件
(4):查看Linux下除了/proc/文件夹下的所有文件
find / -writable -type f 2> /dev/null | grep -v “/proc”
/proc/文件是系统启动生成的缓存
3.利用配置不当提权的方法
(1):利用vim进行提权(管理员将一个用户添加到了sudoers组)
方法一
- 首先将zhangsan用户添加到sudoers组中
- 修改内容如下
- 使用普通用户进行登录
输入zhangsan用户的密码就可以拿到root用户的shell方法二
- 首先将zhangsan用户添加到sudoers组中(将刚才在/etc/sudoers中添加的那一行去掉),然后切换shell,发现不需要输入密码就可以拿到root的shell
三、利用WCE进行提权
1.WCE介绍
WCE(Windows Credential Editor)是一款功能非常强大的内网渗透工具,功能是十分强大。
2.使用WCE提权过程
(1):WCE软件包获取
方法一:通过共享将文件传送到Windows 7上(先通过文件共享将wce文件共享到物理机上,然后将物理机上的文件通过Vmtools拖进Windows7中的C盘)
文件内容:/usr/share/wce/
方法二:
链接:https://pan.baidu.com/s/1V1x9t_KheKhM3TEKrH9O8w
提取码:2tng
(2):查看当前登录的用户及加密的密码
wce-universal.exe -l
(3):查看当前用户登录的详细信息
wce-universal.exe -lv
(4):删除一个指定会话的luid
wce-universal.exe -d ID号
(5):刷新会话信息
- wce-universal.exe -e(手动更新)
- wce-universal.exe -r(每隔五秒自动更新)
重新登录了a用户,再次切换到Administrator用户后发现更新出了a用户的信息
(6):拼接会话信息
拼接会话信息可以隐藏用户身份和信息
wce-universal.exe -i ID号 -s 用户信息
(7):生成指定字符串的lmhash和ntlmhash
wce-universal.exe -g 明文密码
(8):查看明文信息
wce-universal -w
(9):预防WCE攻击
- 打开注册表
regedit
- 删除wdigest
- 再次查看信息,发现无法查询明文信息
wce-universal.exe -w
渗透测试技术----提权(第三方提权和WCE)相关推荐
- 渗透学什么?渗透测试中超全的提权思路来了!
雨笋小编又来分享渗透测试干货了,感兴趣的伙伴们惠存! 提权Webshell:尽量能够获取webshell,如果获取不到webshell可以在有文件上传的地方上传反弹shell脚本:或者利用漏洞(系统漏 ...
- 《WEB安全渗透测试》(27)Linux系统提权-SUID提权
1.SUID提权介绍 提权,网络术语,指的是提高自己在服务器中的权限,如从普通用户提高到root用户,当网站被入侵后,攻击者会千方百计的去提高自己的权限,毕竟普通用户能干的事情太有限了. linux中 ...
- 【CyberSecurityLearning 附】渗透测试技术选择题 + 法律法规
1.RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 2.Burp Suite 是用于攻击()的集成平台. A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 ...
- 提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的 ...
- 6-vulnhub靶场-LordOfTheRoot_1.0.1靶机内核提权udf提权缓冲区溢出提权
6-LordOfTheRoot_1.0.1 靶机地址 https://www.vulnhub.com/entry/lord-of-the-root-101,129/ 难度 中等(主要是缓冲区溢出) 1 ...
- 如何使用ADLab搭建活动目录实验环境来练习渗透测试技术
关于ADLab PowerShell模块 ADLab是一个功能强大的PowerShell模块,该工具可以自动化实现一个活动目录实验环境,以帮助广大研究人员更好地学习和研究内部网络环境内的渗透测试技术. ...
- 计算机网络安全技术王艳柏,网络安全渗透测试技术流程研究
网络安全渗透测试技术流程研究 杜江;任威 [期刊名称]<数字技术与应用> [年(卷),期]2016(000)002 [摘要]随着经济与信息化的飞速发展,网络安全问题已得到人们足够多的重视, ...
- 渗透测试hacksudo-1.0.1 SCP提权
靶机信息 下载地址: https://www.vulnhub.com/entry/hacksudo-101,650/ 名称: hacksudo系列1.0.1 靶场: VulnHub.com 难度: 简 ...
- 118.网络安全渗透测试—[权限提升篇16]—[Windows MSF提权模块提权审计工具]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.MSF 结合漏洞审计工具进行提权 1.MSF漏洞审计模块:local_exploit_suggeste 2. ...
最新文章
- 开源android豆瓣电影阅读器
- pythonflat怎么设置_python – numpy 2d和1d add flat
- 认识高清视频编码(MPEG、H.264、WMV-HD、RMVB)
- 45个非常有用的Oracle查询语句(转自开源中国社区)
- [ An Ac a Day ^_^ ] CodeForces 680A Bear and Five Cards
- hadoop 关闭datanode节点时发生异常:no datanode to stop
- geohash redis mysql_Redis geohash 地理位置存储
- ConcurrentHashMap源码(JDK1.8)
- 操作系统实验一:Linux基本操作
- c3300 京瓷km5050_京瓷复印机通用维修代码2
- linux文件被锁定,Linux下锁定系统重要文件,防止篡改
- 关于我发的这个PDF文件的理解
- 计算机桌面文档全丢,电脑重启后桌面文件全部丢失怎么办
- 计算机术语中bug指的是,你知道电脑漏洞为什么叫bug吗?
- 梯形图c语言转换软件,梯形图转化为HEX软件
- Java用POI复制excel单元格条件格式规则
- bodgeito通关教程
- Glyphs 3 for mac(字体设计软件)
- JS原生实现简单的轮播图(完整代码,一看就懂)
- Alibaba Java 2021 技术图谱——学习永无止境