提权
本地提权
- 已实现本地低权限账号登陆
- 远程溢出
- 直接获得账号密码
- 希望获得更高权限
- 实现对目标进一步控制
- 系统账号之间权限隔离
- 操作系统安全的基础
- 用户空间
- 内核空间
- 系统账号
- 用户账号登陆时获取权限令牌
- 服务账号无需用户登陆已在后台启动的服务
- Windows
- user
- Administrator
- System
- Linux
- User
- Root
ADMIN提权为SYSTEM
- Windows system账号
- 系统设置管理功能
- SysInternal Suite
- XP:
at 17:07 /interactive cmd
- Win7/8
sc Create syscmd binPath="cmd/K start type=own type=interact"
- 进程注入提权(隐蔽性极强):
- pinjector
pinjector.exe -p 656 cmd 5555
(656是PID,5555是开放的端口,可以使用nc等连接)
抓包嗅探
Windows
- Wireshark
- OmniPeek
- commview
- Sniffpass(提取密码)
Linux
- Tcpdump
- Wireshark
- Dsniff
键盘记录
klogger
木马窃取
- Darkcomet-RAT
- …
本地缓存密码
- 浏览器缓存的密码
- IE浏览器
- firefox
- 网络密码
- 无线密码
- http://www.nirsoft.net
- Dump SAM
- Pwdump直接提取SAM数据库中的密码 (C:\Windows\System32\config\SAM)
- /usr/share/windows-binaries/fgdump/PwDump.exe
pwdump localhost
提取出windows密码的hash,保存为xp.pwdump- 将xp.pwdump导入到kali中的ophdump暴破
- Pwdump直接提取SAM数据库中的密码 (C:\Windows\System32\config\SAM)
WCE(Windows credential editor)
从内存中(wdigest)读取密码信息(参考Windows身份认证及工作组/域),而不是从SAM数据库,可以避免一些操作系统的限制。
/usr/share/windows-resources/wce/
需要管理员权限
使用:
wce-universal.exe -l / -lv 密文
wce-universal.exe -w 明文
-s参数还可以修改当前登陆用户的账户
防止WCE攻击
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
- kerberos
- msv1_0
- schannel
- wdigest(本地登陆) 删掉这一项,注意不要留空行。
- tspkg(终端服务,远程桌面)
- pku2u
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
mimikatz
::
查看用法sekurlsa::wdigest
查看用户与密码相关信息process::list
查看进程及IDprocess::suspend /pid:123
suspend进程ID为123的进程ts::multirdp
打补丁,允许多用户同时登陆windows,互不干扰event::clear
清除操作系统日志evenv::drop
之后登陆不会再产生日志
其它
- 操作系统日志Win+R:eventvwr