提权-本地提权及几个工具(PwDump、WCE、mimikatz)

提权

本地提权

  • 已实现本地低权限账号登陆
    • 远程溢出
    • 直接获得账号密码
  • 希望获得更高权限
    • 实现对目标进一步控制
  • 系统账号之间权限隔离
    • 操作系统安全的基础
    • 用户空间
    • 内核空间
  • 系统账号
    • 用户账号登陆时获取权限令牌
    • 服务账号无需用户登陆已在后台启动的服务
  • Windows
    • user
    • Administrator
    • System
  • Linux
    • User
    • Root

ADMIN提权为SYSTEM

  • Windows system账号
    • 系统设置管理功能
    • SysInternal Suite
    • XP:at 17:07 /interactive cmd
    • Win7/8sc Create syscmd binPath="cmd/K start type=own type=interact"
    • 进程注入提权(隐蔽性极强):
      • pinjector
      • pinjector.exe -p 656 cmd 5555(656是PID,5555是开放的端口,可以使用nc等连接)

抓包嗅探

  • Windows

    • Wireshark
    • OmniPeek
    • commview
    • Sniffpass(提取密码)
  • Linux

    • Tcpdump
    • Wireshark
    • Dsniff

键盘记录

  • klogger

  • 木马窃取

    • Darkcomet-RAT

本地缓存密码

  • 浏览器缓存的密码
    • IE浏览器
    • firefox
  • 网络密码
  • 无线密码
  • http://www.nirsoft.net
  • Dump SAM
    • Pwdump直接提取SAM数据库中的密码 (C:\Windows\System32\config\SAM)
      • /usr/share/windows-binaries/fgdump/PwDump.exe
      • pwdump localhost提取出windows密码的hash,保存为xp.pwdump
      • 将xp.pwdump导入到kali中的ophdump暴破

WCE(Windows credential editor)

  • 从内存中(wdigest)读取密码信息(参考Windows身份认证及工作组/域),而不是从SAM数据库,可以避免一些操作系统的限制。

  • /usr/share/windows-resources/wce/

  • 需要管理员权限

  • 使用:

    • wce-universal.exe -l / -lv 密文

    • wce-universal.exe -w 明文

    • -s参数还可以修改当前登陆用户的账户

  • 防止WCE攻击

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
      • kerberos
      • msv1_0
      • schannel
      • wdigest(本地登陆) 删掉这一项,注意不要留空行。
      • tspkg(终端服务,远程桌面)
      • pku2u

mimikatz

  • ::查看用法
  • sekurlsa::wdigest 查看用户与密码相关信息
  • process::list查看进程及ID
  • process::suspend /pid:123 suspend进程ID为123的进程
  • ts::multirdp打补丁,允许多用户同时登陆windows,互不干扰
  • event::clear清除操作系统日志
  • evenv::drop之后登陆不会再产生日志

其它

  • 操作系统日志Win+R:eventvwr