自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

滲透技巧——Windows Token九種權(quán)限的利用

作者:3gstudent
系統(tǒng) Windows 服務(wù)器
本文總結(jié)了普通用戶(或者LocalService用戶)Token中九種權(quán)限的利用方法,分析利用思路,完善實(shí)現(xiàn)代碼。

0x00 前言

普通用戶(或者LocalService用戶)的特殊Token有哪些可利用方法呢?能否提權(quán)?如何判斷?

本文將要結(jié)合自己的經(jīng)驗(yàn),參考多個開源工具和資料,嘗試對這個技巧做總結(jié),分享學(xué)習(xí)心得。

參考的開源工具和資料:

  • Hot Potato: https://github.com/foxglovesec/Potato
  • powershell版本Hot Potato: https://github.com/Kevin-Robertson/Tater
  • Rotten Potato: https://github.com/breenmachine/RottenPotatoNG
  • lonelypotato: https://github.com/decoder-it/lonelypotato
  • Juicy Potato: https://github.com/ohpe/juicy-potato
  • https://github.com/hatRiot/token-priv
  • https://foxglovesecurity.com/2017/08/25/abusing-token-privileges-for-windows-local-privilege-escalation/
  • https://foxglovesecurity.com/2016/01/16/hot-potato/
  • https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/
  • https://foxglovesecurity.com/2017/08/25/abusing-token-privileges-for-windows-local-privilege-escalation/

0x01 簡介

本文將要介紹以下內(nèi)容:

  • 簡要利用思路
  • SeImpersonatePrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeAssignPrimaryPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeTcbPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeBackupPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeRestorePrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeCreateTokenPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeLoadDriverPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeTakeOwnershipPrivilege權(quán)限對應(yīng)的利用思路和開源代碼
  • SeDebugPrivilege權(quán)限對應(yīng)的利用思路和開源代碼

[[243814]]

0x02 簡要利用思路

1、取得了目標(biāo)的訪問權(quán)限后,查看可用權(quán)限

whoami /priv

例如,普通用戶具有的權(quán)限如下圖。

 

滲透技巧——Windows Token九種權(quán)限的利用

 

管理員用戶具有的權(quán)限如下圖。

 

滲透技巧——Windows Token九種權(quán)限的利用

 

iis用戶具有的權(quán)限如下圖。

 

滲透技巧——Windows Token九種權(quán)限的利用

 

Privilege Name項表示具有的權(quán)限,State表示權(quán)限的狀態(tài),我們可以通過WinAPI AdjustTokenPrivileges將權(quán)限設(shè)置為Disabled或者Enabled

可供參考的實(shí)現(xiàn)代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnablePrivilegeandGetTokenInformation.cpp

代碼實(shí)現(xiàn)了開啟指定權(quán)限(SeDebugPrivilege),并且查看當(dāng)前用戶名稱和具有的權(quán)限

2、如果包含以下九個權(quán)限,我們就可以對其進(jìn)一步利用

  • SeImpersonatePrivilege
  • SeAssignPrimaryPrivilege
  • SeTcbPrivilege
  • SeBackupPrivilege
  • SeRestorePrivilege
  • SeCreateTokenPrivilege
  • SeLoadDriverPrivilege
  • SeTakeOwnershipPrivilege
  • SeDebugPrivilege

注:

  • iis或者sqlserver的用戶通常具有SeImpersonatePrivilege和SeAssignPrimaryPrivilege權(quán)限
  • Backup service用戶通常具有SeBackupPrivilege和SeRestorePrivilege權(quán)限

0x03 SeImpersonatePrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L327

SeImpersonatePrivilege

身份驗(yàn)證后模擬客戶端(Impersonatea client after authentication)

擁有該權(quán)限的進(jìn)程能夠模擬已有的token,但不能創(chuàng)建新的token

以下用戶具有該權(quán)限:

  • 本地管理員組成員和本地服務(wù)帳戶
  • 由服務(wù)控制管理器啟動的服務(wù)
  • 由組件對象模型 (COM) 基礎(chǔ)結(jié)構(gòu)啟動的并配置為在特定帳戶下運(yùn)行的COM服務(wù)器

通常,iis或者sqlserver用戶具有該權(quán)限

利用思路

  • 利用NTLM Relay to Local Negotiation獲得System用戶的Token 可使用開源工具Rotten Potato、lonelypotato或者Juicy Potato
  • 通過WinAPI CreateProcessWithToken創(chuàng)建新進(jìn)程,傳入System用戶的Token 具有SeImpersonatePrivilege權(quán)限才能創(chuàng)建成功
  • 該Token具有System權(quán)限

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeImpersonatePrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeImpersonatePrivilege權(quán)限,調(diào)用CreateProcessWithToken,傳入當(dāng)前進(jìn)程的Token,創(chuàng)建一個進(jìn)程,配合RottenPotato,可用來從LocalService提權(quán)至System權(quán)限。

0x04 SeAssignPrimaryPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L359

SeAssignPrimaryPrivilege

向進(jìn)程(新創(chuàng)建或者掛起的進(jìn)程)分配token

通常,iis或者sqlserver用戶具有該權(quán)限

利用思路1

· 利用NTLM Relay to Local Negotiation獲得System用戶的Token

· 通過WinAPI CreateProcessAsUser創(chuàng)建新進(jìn)程,傳入System用戶的Token

· 該Token具有System權(quán)限

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeAssignPrimaryTokenPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeAssignPrimaryTokenPrivilege權(quán)限,調(diào)用CreateProcessAsUser,傳入當(dāng)前進(jìn)程的Token,創(chuàng)建一個進(jìn)程,配合RottenPotato,可用來從LocalService提權(quán)至System權(quán)限。

利用思路2

  • 利用NTLM Relay to Local Negotiation獲得System用戶的Token
  • 通過WinAPI CreateProcess創(chuàng)建一個掛起的新進(jìn)程,參數(shù)設(shè)置為CREATE_SUSPENDED
  • 通過WinAPI NtSetInformationProcess將新進(jìn)程的Token替換為System用戶的Token
  • 該Token具有System權(quán)限

0x05 SeTcbPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L418

SeTcbPrivilege

等同于獲得了系統(tǒng)的***權(quán)限

利用思路

· 調(diào)用LsaLogonUser獲得Token

  • 將該Token添加至Local System account組
  • 該Token具有System權(quán)限

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeTcbPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeTcbPrivilege權(quán)限,登錄用戶test1,將其添加至Local System account組,獲得System權(quán)限,創(chuàng)建注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\testtcb

0x06 SeBackupPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L495

SeBackupPrivilege

用來實(shí)現(xiàn)備份操作,對當(dāng)前系統(tǒng)任意文件具有讀權(quán)限

利用思路

· 讀取注冊表HKEY_LOCAL_MACHINE\SAM、HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SYSTEM

· 導(dǎo)出當(dāng)前系統(tǒng)的所有用戶hash mimikatz的命令如下:

  1. lsadump::sam /sam:SamBkup.hiv /system:SystemBkup.hiv 

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeBackupPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeBackupPrivilege權(quán)限,讀取注冊表,將其保存成文件C:\\test\\SAM、C:\\test\\SECURITY和C:\\test\\SYSTEM

0x07 SeRestorePrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L528

SeRestorePrivilege

用來實(shí)現(xiàn)恢復(fù)操作,對當(dāng)前系統(tǒng)任意文件具有寫權(quán)限

利用思路1

  • 獲得SeRestorePrivilege權(quán)限,修改注冊表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • 劫持exe文件的啟動
  • 實(shí)現(xiàn)提權(quán)或是作為后門

利用思路2

  • 獲得SeRestorePrivilege權(quán)限,向任意路徑寫入dll文件
  • 實(shí)現(xiàn)dll劫持
  • 實(shí)現(xiàn)提權(quán)或是作為后門

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeRestorePrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeRestorePrivilege權(quán)限,創(chuàng)建注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\testrestore

0x08 SeCreateTokenPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L577

SeCreateTokenPrivilege

用來創(chuàng)建Primary Token

利用思路

· 通過WinAPI ZwCreateToken創(chuàng)建Primary Token

  • 將Token添加至local administrator組
  • 該Token具有System權(quán)限

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeCreateTokenPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeCreateTokenPrivilege權(quán)限,創(chuàng)建Primary Token,將其添加至local administrator組,開啟SeDebugPrivilege和SeTcbPrivilege權(quán)限

0x09 SeLoadDriverPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L626

SeLoadDriverPrivilege

用來加載驅(qū)動文件

利用思路

  • 創(chuàng)建驅(qū)動文件的注冊表
  1. reg add hkcu\System\CurrentControlSet\CAPCOM /v ImagePath /t REG_SZ /d "\??\C:\test\Capcom.sys" 
  2. reg add hkcu\System\CurrentControlSet\CAPCOM /v Type /t REG_DWORD /d 1 
  • 加載驅(qū)動文件Capcom.sys
  • Capcom.sys存在漏洞,系統(tǒng)加載后,可從普通用戶權(quán)限提升至System權(quán)限,利用代碼可參考:https://github.com/tandasat/ExploitCapcom
  • 獲得System權(quán)限

可供參考的測試代碼: https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeLoadDriverPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeLoadDriverPrivilege權(quán)限,讀取注冊表項hkcu\System\CurrentControlSet\CAPCOM,加載驅(qū)動文件Capcom.sys

0x0A SeTakeOwnershipPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L688

SeTakeOwnershipPrivilege

同SeRestorePrivilege類似,對當(dāng)前系統(tǒng)任意文件具有寫權(quán)限

利用思路1

  • 獲得SeTakeOwnershipPrivilege權(quán)限,修改注冊表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • 劫持exe文件的啟動
  • 實(shí)現(xiàn)提權(quán)或是作為后門

利用思路2

  • 獲得SeTakeOwnershipPrivilege權(quán)限,向任意路徑寫入dll文件
  • 實(shí)現(xiàn)dll劫持
  • 實(shí)現(xiàn)提權(quán)或是作為后門

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeTakeOwnershipPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeTakeOwnershipPrivilege權(quán)限,修改注冊表項hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的權(quán)限,普通用戶權(quán)限對其具有完整操作權(quán)限

后續(xù)的寫操作:

reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /v takeownership /t REG_SZ /d "C:\\Windows\\System32\\calc.exe"

0x0B SeDebugPrivilege權(quán)限的利用思路

參考資料:

https://github.com/hatRiot/token-priv/blob/master/abusing_token_eop_1.0.txt#L736

SeDebugPrivilege

用來調(diào)試指定進(jìn)程,包括讀寫內(nèi)存,常用作實(shí)現(xiàn)dll注入

利用思路

  • 找到System權(quán)限的進(jìn)程
  • dll注入
  • 獲得System權(quán)限

可供參考的測試代碼:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/EnableSeDebugPrivilege.cpp

代碼實(shí)現(xiàn)了開啟當(dāng)前進(jìn)程的SeDebugPrivilege權(quán)限,向指定進(jìn)程注入dll

0x0C 小結(jié)

 

本文總結(jié)了普通用戶(或者LocalService用戶)Token中九種權(quán)限的利用方法,分析利用思路,完善實(shí)現(xiàn)代碼。

 

責(zé)任編輯:武曉燕 來源: 嘶吼
WindowsToken滲透
相關(guān)推薦

2016-03-30 09:58:16

2022-06-28 10:22:00

機(jī)器學(xué)習(xí)網(wǎng)絡(luò)攻擊黑客

2019-02-25 15:15:44

Windows 10Windows技巧

2015-02-27 16:10:25

2021-10-25 13:34:49

大數(shù)據(jù)數(shù)據(jù)分析工具

2010-04-30 14:48:31

Windows 7安全

2009-12-08 10:38:51

Windows 7操作

2009-07-19 11:31:01

windows安全模式windows技巧

2014-06-09 14:18:24

2011-09-01 10:31:16

ubuntuwindows

2018-10-24 14:15:40

Windows 10應(yīng)用程序屏幕截圖

2016-02-22 09:27:18

2023-08-11 17:39:43

JavaScriptWeb 應(yīng)用程序

2011-07-21 10:15:31

2014-06-11 10:29:03

2024-06-19 19:17:04

2010-11-16 10:44:05

微軟認(rèn)證

2014-05-30 09:41:16

2021-03-03 10:13:23

IMAP協(xié)議讀取郵件滲透基礎(chǔ)

2023-06-28 00:02:40

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號