PowerUp攻击模块讲解
PowerUp是Privesc模块下的一个脚本,功能相当强大,拥有众多用来寻找目标主机Windows服务漏洞进行提权的实用脚本
通常,在Windows下可以通过内核漏洞来提升权限,但是,我们常常会碰到无法通过内核漏洞提权所处服务器的情况,这个时候就需要利用脆弱的Windows服务提权,或者利用常见的系统服务,通过其继承的系统权限来完成提权等,此框架可以在内核提权行不通的时候,帮助我们寻找服务器的脆弱点,进而通过脆弱点实现提权的目的。
PowerUp下的模块:
1.Invoke-AllChecks
该模块会自动执行Powerup下所有的脚本来检查目标主机,输出一下命令即可执行该模块
命令:Invoke-AllChecks
成功检测系统漏洞
2.Find-PathDLLHijack
该模块用于检查当前%PATH%的哪些目录是用户可以写入的
命令:Find-Pathdllhijack
成功检查系统的可写目录
3.Get-ApplicationHost
该模块可利用系统上的applicationHost.config文件恢复加密过的应用池和虚拟目录的密码
命令:get-ApplicationHost
或者 get-ApplicationHost | Format-Table -Autosize #列表显示
4.Get-RegistryAlwaysInstallElevated
该模块用于检查AlwaysInstallElevated注册表项是否被设置,如果已被设置,意味着MSI文件是以SYSTEM权限允许的
命令:Get-RegistryAlwaysInstallElevated
5.Get-RegistryAutoLogon
该模块用于检测Winlogin注册表的AutoAdminLogon项有没有被设置,可查询默认的用户名和密码
命令:Get-RegistryAutoLogon
6.Get-ServiceDetail
该模块用于返回某服务的信息
命令:Get-ServiceDetail -ServiceName Dhcp
成功获取DHCP服务的详细信息
7.Get-ServiceFilePermission
该模块用于检查当前用户能够在哪些服务的目录写入相关联的可执行文件,我们可以通过这些文件实现提权
命令:Get-ServiceFilePermission
不知道为什么…
8.Test-ServiceDaclPermisssion
该模块用于检查所有可用的服务,并尝试对这些打开的服务进行修改,如果可以修改,则返回该服务对象
命令:Test-ServiceDaclPermission
9.Get-ServiceUnquoted
该模块用于检查服务路径,返回包含空格但是不带引号的服务路径
此处利用Windows的一个逻辑漏洞,即当文件包含空格时,Windows API会被解释为两个路径,并将这两个文件同时执行,有时可能会造成权限的提升,比如C:\program files\hello.exe会被解释为C:\program.exe和C:\program files\hello.exe
命令:Get-ServiceUnquoted
不知道为什么…
10.Get-UnattendedInstallFile
该模块用于检查以下路径,查询是否存在这些文件,因为这些文件里可能含有部署凭据,这些文件包含:
Sysprep.xml
Sysprep.inf
Unattended.xml
Unattend.xml
命令:Get-UnattendedInstallFile
11.Get-ModifiableRegistryAutoRun
该模块用于检查开机自启的应用程序路径和注册表键值,然后返回当前用户可修改的程序路径,被检查的注册表键值有以下这些:
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceService
HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunService
HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceService
命令:Get-ModifiableRegistryAutoRun
成功检查应用程序的路径和注册表键值
12.Get-ModifiableScheduledTaskFile
该模块用于返回当前用户能够修改的计划任务程序的名称和路径
命令:Get-ModifiableScheduledTaskFile
成功检查计划任务程序
13.Get-Webconfig
该模块用于返回当前服务器上web.config文件中的数据库连接字符串的明文
命令:get-webconfig
成功检查web.config中的数据库
14.Invoke-ServiceAbuse
该模块通过修改服务来添加用户到指定组,并可以通过设置-cmd参数触发添加用户的自定义命令
命令:Invoke-ServiceAbuse -ServiceName VulnSVC #添加默认账号
Invoke-ServiceAbuse -ServiceName VulnSVC -UserName “TESTLAB\john” #指定添加的域账号
Invoke-ServiceAbuse -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Invoke-ServiceAbuse -ServiceName VulnSVC -Command “net …” #自定义执行命令
15.Restore-ServiceBinary
该模块用于恢复服务的可执行文件到原始目录
命令:Restore-ServiceBinary -ServiceName VulnSVC
16.Test-ServiceDaclPermission
该模块用于检查某个用户是否在服务中有自由访问控制的权限,结果会返回true或false
命令:Restore-ServiceDaclPermission -ServiceName VulnSVC
17.Write-HijackDll
该模块用于输出一个自定义命令并且能够自我删除的.bat文件到$env:Temp\debug.bat,并输出一个能够启动这个bat文件的DLL
18.Write-UserAddMSI
该模块用于生成一个安装文件,运行这个安装文件后会弹出添加用户的对话框
命令:Write-UserAddMSI
19.Write-ServiceBinary
该模块用于预编译C#服务的可执行文件,默认创建一个管理员账号,可通过Command定制自己的命令
命令: Write-ServiceBinary -ServiceName VulnSVC #添加默认账号
Write-ServiceBinary -ServiceName VulnSVC -UserName “TESTLAB\john” #指定添加的域账号
Write-ServiceBinary -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Write-ServiceBinary -ServiceName VulnSVC -Command “net …” #自定义执行命令
20.Install-ServiceBinary
该模块通过Install-ServiceBinary写一个C#的服务用来添加用户
命令: Install-ServiceBinary -ServiceName DHCP #添加默认账号
Install-ServiceBinary -ServiceName VulnSVC -UserName “TESTLAB\john” #指定添加的域账号
Install-ServiceBinary -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Install-ServiceBinary -ServiceName VulnSVC -Command “net …” #自定义执行命令
Write-ServiceBinary与Install-ServiceBinary的不同是,前者生成可执行文件,后者直接安装服务
PowerUp攻击模块讲解相关推荐
- PowerUp攻击模块实战
PowerUp攻击模块实战演练 1.将PowerUp.ps1脚本上传至目标服务器,然后在本地执行 2.使用IEX在内存中加载此脚本,执行以下命令,脚本将进行所有的检查. powershell.exe ...
- AFP溢出攻击模块afp/loginext
AFP溢出攻击模块afp/loginext 在苹果Mac OS X 10.3.3及以前版本,AFP服务存在缓存区溢出漏洞CVE-2004-0430.利用该漏洞,用户可以基于LoginExt包执行任意代 ...
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----自定义攻击篇
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----自定义攻击篇 //=================================================== 分析者:alal ...
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----UDP篇
//========================================= 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----UDP篇 文章作者:alalmn-飞龙 信息来源: ...
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----ICMP篇
分析者:alalmn-飞龙 BLOG:http://hi.baidu.com/alalmn 分析的不好请各位高手见谅花了几个小时分析的呵呵 ICMP洪水攻击从代码中我们可以看出都是 自定义 ...
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----SYN(洪水攻击)篇
对现有的所能找到的DDOS代码(攻击模块)做出一次分析----SYN(洪水攻击)篇 //======================================================== ...
- SAP Marketing Cloud的几大核心模块讲解
下图这些场景可以反映出市场营销人员的工作和业务流程. Consumer and customer profiling: 实时,多渠道地获取客户的活动信息,为每个客户都建立一个用户画像. Segment ...
- Apollo进阶课程 ④ | 开源模块讲解(下)
目录 1)Apollo平台技术框架 2)Apollo版本迭代 原文链接:Apollo进阶课程 ④ | 开源模块讲解(下) 上周,阿波君与大家讨论了自动驾驶的核心问题--安全性.本期,我们将为大家具体 ...
- Apollo进阶课程 ③ | 开源模块讲解(中)
目录 1)ISO-26262概述 2)ISO-26262认证流程 3)ISO-26262优点与缺陷 原文链接:Apollo进阶课程 ③ | 开源模块讲解(中) Apollo自动驾驶进阶课程是由百度Ap ...
最新文章
- c++读取utf8文件_【Python】File文件对象
- opencv 图像的腐蚀与膨胀
- SO_REUSEADDR和SO_REUSEPORT
- datatables插件AJAX请求数据报错Uncaught TypeError: Cannot read property ‘length‘ of undefined
- 【转】MySQL日期函数与日期转换格式化函数大全
- 一起来玩树莓派--解决树莓派启动时屏幕不亮的问题
- ELF文件的签名与验证
- 第6章 类型和成员基础
- JavaScript学习笔记(七)
- 官方Caffe—Microsoft编译安装
- Caliburn.Micro入门
- Qt 21行实现 十六进制字符串互转QByteArray QString Hex互转QByteArray
- DBC2000数据库,DBC2000怎么设置?DBC2000架设传奇教程
- 统计分析软件_专业统计分析软件 SPSS 25 来了!手把手教你安装
- 微信小程序 上传本地图片
- 基于java超市管理系统设计
- VMware Workstation 不可恢复错误: (vcpu-0)解决方法
- 负载均衡器-Citrix
- Python opencv 截取视频图片并保存
- 英语语法回顾1——简单句