前言
OK,Java安全更新不下去了,實在是太難啦啊,想起來提權這一塊沒怎么更新過,接下來都主要是更新提權這一塊的文章了,Java安全的話以后有耐心再搞了。
手動提權
今天主要是講這個手動的提權,手動提權相比于CS那種自動化提權工具有優點,也有缺點。
優點:就是能獲取實時最新的EXP,無需等工具更新
缺點:操作過程可能比較繁瑣,而且缺乏大量的實驗和調試,提權過程中可能會遇到各種問題
補丁篩選
當我們拿到 shell 之后可以收集一些系統的信息,比如系統版本、打過的補丁、位數等信息,通過這些信息來篩選出可以用來提權的漏洞,再通過漏洞編號去找到相對應的EXP。
我們可以在網上找到一些提權輔助網站,來幫助我們篩選一些提權的漏洞。
https://tools.zjun.info/getmskb/
https://www.adminxe.com/win-exp/
執行systeminfo 獲取系統信息,把系統信息粘貼到網站即可,它就會根據你的系統版本、補丁等,找到可能存在的漏洞。
不過這種提權輔助網站一般都是看看就行,參考價值不是很大,我們還可以找一些提權輔助的項目來測試一下。
https://github.com/bitsadmin/wesng
我們把系統信息保存在 1.txt 中,然后運行這個項目去檢測這個1.txt,然后就會給出可能存在的漏洞。
python wes.py 1.txt --color
EXP獲取
通過上面篩選出漏洞之后,我們就去找它的對應的EXP來進行利用。
KernelHub 針對常用溢出編號指定找EXP。
https://github.com/Ascotbe/Kernelhub
Poc-in-Github 針對年份及編號指定找EXP。
上面的方法雖然比較靈活,針對性強,但是弊端也非常明顯。雖然計算機上存在這個漏洞,但是網上未必能找到這個漏洞利用的EXP,而且就算你能找到這個漏洞的EXP,也未必能成功提權,因為網上的EXP可能是個人編寫的,也可能是企業編寫的,版本很多,不同的版本編寫方式又不一樣。缺乏大量的實驗和調試,只要你計算機系統信息有一點不同可能就失敗了,簡單來說就是不穩。
還有一個問題就是,大多數網上的提權EXP演示是從本地普通用戶權限 ——> System權限,而我們實戰中卻是從Web權限 ——> System權限,也就是說這個EXP從普通用戶到System可以,但是從Web到System不一定可以。
土豆家族
windows提權用這個系列漏洞最多,成功率也最大的,土豆(potato)提權通常用在我們獲取WEB/數據庫權限的時候,可以將低權限的服務用戶提升為“NT AUTHORITY\SYSTEM”特權。
原理
土豆系列提權的核心是NTLM中繼,通過欺騙運行在高權限(Administrator/SYSTEM)的賬戶進行ntlm認證,同時作為中間人對認證過程進行劫持和重放,最后調用本地認證接口使用高權限賬號的ntml認證獲取一個高權限token,只要當前進程擁有SeImpersonatePrivilege權限即可進行令牌模仿,即可取得對應權限。
利用
目前網上的土豆家族一共有12個,分別是:
GodPotato-自帶exe
https://github.com/BeichenDream/GodPotato
RoguePotato-自帶exe
https://github.com/antonioCoco/RoguePotato
PetitPotato-自帶exe
https://github.com/wh0amitz/PetitPotato
作用范圍未知
JuicyPotatoNG-自帶exe
https://github.com/antonioCoco/JuicyPotatoNG
PrintNotifyPotato-自帶exe
https://github.com/BeichenDream/PrintNotifyPotato
BadPotato-需要自行編譯成exe
https://github.com/BeichenDream/BadPotato
EfsPotato-需要自行編譯成exe
https://github.com/zcgonvh/EfsPotato
作用范圍未知
CandyPotato-需要自行編譯成exe
https://github.com/klezVirus/CandyPotato
RasmanPotato-需要自行編譯成exe
https://github.com/crisprss/RasmanPotato
MultiPotato-需要自行編譯成exe
https://github.com/S3cur3Th1sSh1t/MultiPotato
作用范圍未知
SweetPotato-需要自行編譯成exe
https://github.com/CCob/SweetPotato
CoercedPotato需要自行編譯成exe
https://github.com/Prepouce/CoercedPotato
有一些土豆是自帶exe較為方便,但是有一些需要自己編譯一下,這里就不說怎么編譯了。下面我們來演示一下這些土豆怎么使用,首先我這里獲取了一個Web權限,受控主機是Windows 10 專業版。
按照我們上面給出的適用范圍,我們上傳了一個Badpotato,實戰中直接把每個都試一遍即可,可以看到以Badpotato執行的命令是system。
BadPotato.exe whoami
我們用 Badpotato 來上線一個CS后門看看,可以看到上線的身份是system。
總結
一般提權的對象都是Server系列,像Windows 11這種個人電腦一般不會遇到好吧。
最后,以上僅為個人的拙見,如何有不對的地方,歡迎各位師傅指正與補充,有興趣的師傅可以一起交流學習。
/活體檢測)
![【bug】[42000][1067] Invalid default value for ‘xxx_time‘](http://pic.xiahunao.cn/【bug】[42000][1067] Invalid default value for ‘xxx_time‘)
)
)