kali權限提升之配置不當提權與WCE
1.利用配置不當提權
2.WCE
3.其他提權
一、利用配置不當提權
與漏洞提權相比更常用的方法
在大部分企業環境下,會有相應的補丁更新策略,因此難以通過相應漏洞進行入侵。當入侵一台服務器后,無法照當相應的補丁進行提權,可通過尋找是否存在配置不當進行提權。如:代碼中沒有進行參數過濾等操作。
1.通過查看哪些服務默認以system權限啟動,可嘗試將其替換或綁定反彈shell程序
2.了解NTFS(文件系統)權限允許users修改刪除本身,則可利用其配置不當,完成提權
3.命令行下快速查找當前系統下所有exe、con、ini執行程序的NTFS信息
3.1icacls #windows 2003以后的系統中包含的程序
icacls c:\windows\*.exe /save acl-exe /T #將 c:\windows 及其子目錄下所有文件的exe文件保存到acl-exe文件,然后通過文本文件查找字符串FA;;;BU
3.2linux系統下查找權限設置不安全的程序
3.2.1查看/目錄下文件權限為777的所有文件,並列出詳細信息
find / -perm 777 -exec ls -l {} \;
3.2.2 find / -writable -type f 2>/dev/null |grep -v "/proc/"
二、WCE
Windows Credentials Editor (WCE)【windows身份驗證信息編輯器】是一款功能強大的windows平台內網滲透工具。集成在kali的工具包的windows程序(/usr/share/wce) #從內存中讀取LM、NTLM hash
作用:它可以列舉登陸會話,並且可以添加、改變和刪除相關憑據(例如:LM/NT hashes)。這些功能在內網滲透中能夠被利用,例如,在windows平台上執行繞過hash或者從內存中獲取NT/LM hashes(也可以從交互式登陸、服務、遠程桌面連接中獲取)以用於進一步的攻擊。可以查看系統當前登陸用戶的登陸密碼的密文形式和明文形式。
要求:具有管理員權限
1.wce-universal.exe -l 查看當前登錄賬號的密碼的密文形式的哈希值 因為是從內存中讀取LM、NTLM hash,所以只能查看到已經登錄的用戶,未登錄的用戶查看不到
#計算機名也會被當作用戶來處理
2.切換幾個賬號,然后測試
3.查看詳細信息
wce-universal.exe -lv 下圖的safe mode 安全模式 less-safe mode 是注入模式 #注入模式可能會對系統進程造成損壞
4.刪除指定一個會話的LUID
wce-universal.exe -d
刪除aaa用戶的LUID.可以看到aaa的當前會話沒有了
5.wce-universal.exe -r顯示當前最新登錄信息,5秒刷新一次,登錄新的賬戶測試
6.wce-universal.exe -e 指定時間刷新
7.wce-universal.exe -g 對給出的數進行hash計算
8.wce-universal.exe -w以明文形式讀取密碼
9.修改登錄會話,將bbb的登錄會話修改成另一個用戶賬號
防御WCE攻擊
系統通過Digest Authentication Package維護明文密碼,默認自啟動。可去注冊表中關閉默認啟動
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
刪掉最后一行wdigest,連換行符也不能留下
測試,可以看到在注冊表中關閉維護明文密碼之后,再次運行wce-universal.exe -w什么都獲得不到,並且系統會自動重啟(因為WCE默認先以安全模式運行,當安全模式不能運行,再開始嘗試注入進程以便獲得信息,但是注入模式可能會對系統進程造成損壞)
三、其它提權
python編寫腳本提權
1.Python編寫腳本增加一個s標志位,以root權限運行,然后別的用戶執行/bin/dash就能擁有管理員的權限
2.切換到普通用戶,然后運行/bin/dash,就可以看到普通用戶擁有管理員的權限
Vim -c 提權
1.首先在/etc/sudoers文件中添加一句,然后以root權限運行python腳本
2.切換到普通用戶,然后輸入sudo vim -c ‘!sh’ 可以看到普通用戶沒有輸入密碼切換到root賬戶 