11月3日笔记(根据凭据提权)

用户凭据操作

枚举 Unattended 凭据

无人值守(Unattended)安装允许应用程序在不需要管理员关注下自动安装。无人值守安装的问题是会在系统中残留一些配置文件,其中可能包含本地管理员的用户名和密码,常见的路径如下。

C:\sysprep.inf
C:\syspreg\sysprep.xml
C:\Windows\system32\sysprep.inf
C:\windows\system32\sysprep\sysprep.xml
C:\unattend.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattended.xml
C:\Windows\PantheriUnattendiUnattended.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\System32\Sysprep\Unattend.xml
C:\Windows\System32\Sysprep\Panther\Unattend.xml

测试人员可以全盘搜索上述配置文件,并检索User、Accounts、LocalAccounts、UserAccounts、Administrator、Password等关键字来获取管理员凭据。

MetaSploit 提供了 post/windows/gather/enum unattend 模块,可以从 Unattend 配置文件中自动化检索出用户密码。

获取组策略凭据

微软在 Windows Server 2008中引入了组策略首选项,允许网络管理员对指定计算机和用户配置特定的设置。在大型企业或组织的域环境中,网络管理员往往会通过下发组策略的方式对所有加入域的计算机的本地管理员密码进行批量修改。

在新建一个组策略后,域控制器会自动在 SYSVOL 共享目录中生成一个 XML 文件该文件保存了组策略更新后的密码。SYSVOL 是在安装活动目录时创建的一个用于存储公共文件服务器副本的共享文件夹,主要存放登录脚本、组策略数据及其他域控制器需要的域信息等,并在所有经过身份验证的域用户或者域信任用户范围内共享。

在 SYSVOL 目录中搜索,可以找到一个名为“Groups.xml”的文件,其中的 cpassword字段保存了经过 AES 256 算法加密后的用户密码。

但是,微软在 2012年公布了该密码的加密私钥,这意味着任何经过认证的用户都可以读取保存在 XML 文件中的密码,并通过私钥将其进行解密。并且,由于通过组策略批量修改的本地管理员密码都是相同的,如果获得了一台机器的本地管理员密码,就可以获取整个域内所有机器的管理权限。

MetaSploit 框架内置 post/windows/gather/credentials/gpp 模块,可以自动化搜索位于SYSVOL 共享目录中的XML,并从中解密出用户密码。

HiveNightmare

2021年7月,Microsoft 发布紧急安全公告,公开了一个Windows 提权漏洞(CVE-2021-36934)。由于Windows 中多个系统文件的访问控制列表(ACL)过于宽松,使得任何标准用户都可以从系统卷影副本中读取包括 SAM、SYSTEM、SECURITY 在内的多个系统文件。由于 SAM 文件是存储用户密码哈希值的安全账户管理器,进而可以获取所有本地用户 NTLM Hash 值,通过暴力破解或哈希传递等方法就能实现本地权限提升。该漏洞影响 Windows 10 Version 1809 发布以来的所有 Windows 版本,包括 Windows11,被称为“HiveNightmare”。

示例:

系统保护在 Windows 操作系统中默认启用,因此如果已创建系统还原点,那么标准用户可直接从卷影副本中访问和转储 SAM、SYSTEM、SECURITY 文件。这些文件在系统中的原始路径如下:

C:Windows\System32\config\SAM
C:\Windows\System32\config\SECURITY
C:\Windows\System32\config\SYSTEM

1、以标准用户执行以下命令:

icacls C:\Windows\System32\config\SAM

若输出“BUILTIN\Users:(I)(RX)”,则表示该系统易受攻击。

2、将编译好的利用程序 HiveNightmare.exe上传到目标主机。直接运行后即可将 SAM、SYSTEM、SECURITY 转储到当前目录。

3、将三个文件复制到本地,使用 Impacket 项目中的 secretsdump.py 导出 SAM 文件中的用户哈希值。

得到用户的哈希值后,测试人员可以对其进行暴力破解,也可以直接使用本地管理员用户进行哈希传递,从而获取目标主机的 SYSTEM 权限。

Zerologon 域内提权

Zerologon(CVE-2020-1472)是Netlogon远程协议的一个特权提升洞,可以在不提供任何凭据的情况下通过身份验证,并实现域内提权。

该漏洞的最常见的利用方法是调用Netlogon中的RPC函数NetrServerPasswordSet2来重置域控制器的密码。注意,这里重置的是域控机器账户的密码,该密码由系统随机生成,密码强度是 120个字符,并且会定时更新。机器用户拥有域用户的一切属性,在特定意义上也是一种域用户。域内的机器账户以“机器名+ ”来命名,如域控制器 D C − 1 的机器用户就是 D C − 1 ”来命名,如域控制器DC-1的机器用户就是DC-1 来命名,如域控制器DC1的机器用户就是DC1

机器账户是不允许登录的,所以不能直接通过重置后的机器账户来登陆域控制器但是,域控制器的机器账户在默认情况下拥有 DCSync 权限,因此可以通过 DCSync 攻击导出域管理员密码的哈希值,进而获取域控权限。

Print Spooler 提权漏洞

PrintNightmare

PrintNightmare 是广泛影响 Windows 系统各版本的严重安全漏洞,发生在 WindowsPrint Spooler 服务中,有两种变体,一种导致权限提升(CVE-2021-1675),另一种允许远程代码执行(CVE-2021-34527)。2021年6月8日,微软发布安全更新补丁,修复了50 个安全漏洞,其中包括一个 Windows Print Spooler 权限提升漏洞(CVE-2021-1675)又披露了 Windows Print Spooler 中的远程代码执行漏洞(CVE-2021-34527)。

标准用户可以通过 PrintNightmare 漏洞绕过 PfcAddPrinterDriver 的安全验证,并在打印服务器中安装恶意的驱动程序。若当前所控制的用户在域中,则可以连接到域控制器中的 Print Spooler 服务并在域控制器中安装恶意的驱动程序,进而接管整个域环境。

本地提权

① 使用 MetaSploit 生成一个恶意的 DLL 文件作为攻击载荷,要生成 64 位 DLL 文件,因为 Print Spooler 服务启动时执行的二进制文件 spoolsv.exe 为 64 位。

② 从 GitHub 下载相关利用工具,将编译好的 SharpPrintNightmare.exe 和 reverse _tcp.dll一起上传到目标主机。用标准用户权限执行以下命令,成功获取系统 SYSTEM 权限。

SharpPrintNightmare.exe reverse_tcp.dll

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/908035.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

如何解决permission denied - invalid PVE ticket (401)

PVE8.2访问出现:permission denied - invalid PVE ticket (401),解决方法: 1、重启动PVE,然后登录。 去浏览器设置页面,清空cokie,然后再登录。如果问题仍然存在,就按下面的方法进一步确定。 2、另外一种…

驱动——线程断链和信息获取

实验环境&#xff1a;win7 x32 断链&#xff1a; #include <ntifs.h>NTSTATUS EnumThread(ULONG ulPid, ULONG ulTid) {PEPROCESS pProcessAddr PsGetCurrentProcess();PLIST_ENTRY pHeadlink (PLIST_ENTRY)((ULONG)pProcessAddr 0xb8);PLIST_ENTRY pNextlink pHead…

打羽毛球为什么要在气膜馆?—轻空间

在现代健身环境中&#xff0c;羽毛球作为一项受欢迎的运动&#xff0c;不仅能够锻炼身体&#xff0c;还能增强社交互动。选择在气膜馆打羽毛球&#xff0c;能为运动爱好者带来全新的体验和诸多优势。 优越的空间设计 气膜馆的最大特点是其独特的空间设计。与传统的体育馆相比&a…

计算机毕业设计Python+大模型新闻自动分类 新闻舆情预测 新闻语料情感分析 新闻推荐系统 朴素贝叶斯分类算法 机器学习 深度学习

温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 作者简介&#xff1a;Java领…

2001-2023年A股上市公司数字化转型数据(MDA报告词频统计)(三种方法)

2001-2023年A股上市公司数字化转型数据&#xff08;MD&A报告词频统计&#xff09;&#xff08;三种方法&#xff09; 1、时间&#xff1a;2001-2023年 2、来源&#xff1a;上市公司MD&A报告 3、指标&#xff1a;年份、股票代码、股票简称、行业名称、行业代码、MD&a…

10天进阶webpack---(1)为什么要有webpack

首先就是我们的代码是运行在浏览器上的&#xff0c;但是我们开发大多都是利用node进行开发的&#xff0c;在浏览器中并没有node提供的那些环境。这就早成了运行和开发上的不同步问题。 -----引言 浏览器模块化的问题&#xff1a; 效率问题&#xff1a;精细的模块划分带来了更…

低代码用户中心:简化开发,提升效率的新时代

随着数字化转型的加速&#xff0c;企业对于快速交付高质量应用的需求日益增长。在这个背景下&#xff0c;低代码开发平台应运而生&#xff0c;成为越来越多企业和开发者的首选工具。今天&#xff0c;我们将聚焦于低代码用户中心&#xff0c;探讨其如何帮助开发者简化流程、提升…

计算机的一些基础知识

文章目录 编程语言 程序 所谓程序&#xff0c;就是 一组指令 以及 这组指令要处理的数据。狭义上来说&#xff0c;程序对我们来说&#xff0c;通常表现为一组文件。 程序 指令 指令要处理的数据。 编程语言发展 机器语言&#xff1a;0、1 二进制构成汇编语言&#xff1a;…

简记Vue3(三)—— ref、props、生命周期、hooks

个人简介 &#x1f440;个人主页&#xff1a; 前端杂货铺 &#x1f64b;‍♂️学习方向&#xff1a; 主攻前端方向&#xff0c;正逐渐往全干发展 &#x1f4c3;个人状态&#xff1a; 研发工程师&#xff0c;现效力于中国工业软件事业 &#x1f680;人生格言&#xff1a; 积跬步…

WPF+MVVM案例实战(十二)- 3D数字翻牌计时实现

文章目录 1、运行效果2、功能实现1、文件创建2、控件代码实现3、控件引用与菜单实现1.引用用户控件2.按钮菜单3、计时器界面实现4、源代码获取1、运行效果 3D数字翻牌计时 2、功能实现 1、文件创建 打开项目 Wpf_Examples ,在用户控件 UserControlLib 中创建 NumberFoldi…

3.1 快速启动Flink集群

文章目录 1. 环境配置2. 本地启动3. 集群启动4. 向集群提交作业4.1 提交作业概述4.2 添加打包插件4.3 将项目打包4.4 在Web UI上提交作业4.5 命令行提交作业 在本实战中&#xff0c;我们将快速启动Apache Flink 1.13.0集群&#xff0c;并在Hadoop集群环境中提交作业。首先&…

逻辑编程填词游戏

逻辑编程 接前面着色应用回溯倒水递归汉诺塔代码从hello world开始 填词游戏题目答案验证 后话 接前面 着色应用 让人眼前一亮。能不能解决其他冲突问题呢&#xff1f; 回溯倒水 也有冲突检测&#xff0c;一步一步试探。倒水逻辑跟着色很像。怎么写成逻辑编程代码呢&#x…

AprilTag在相机标定中的应用简介

1. AprilTag简介 相机标定用的标靶类型多样,常见的形式有棋盘格标靶和圆形标靶。今天要介绍的AprilTag比较特别,它是一种编码形式的标靶。其官网为AprilTag,它是一套视觉基准系统,包含标靶编解码方法(Tag生成)和检测算法(Tag检测),可用于AR、机器人、相机标定等领域。…

Java项目实战II基于Spring Boot的秒杀系统设计与实现(开发文档+数据库+源码)

目录 一、前言 二、技术介绍 三、系统实现 四、文档参考 五、核心代码 六、源码获取 全栈码农以及毕业设计实战开发&#xff0c;CSDN平台Java领域新星创作者&#xff0c;专注于大学生项目实战开发、讲解和毕业答疑辅导。 一、前言 在互联网电商蓬勃发展的今天&#xff0…

AI产品经理全攻略:策略制定、开发过程与商业化路径【AI产品经理必读书籍】

通过《AI产品经理手册》&#xff0c;将可以了解不同类型的AI&#xff0c;如何将AI整合到产品或业务中&#xff0c;以及支持创建AI产品或将AI集成到现有产品所需的基础设施。熟悉实践管理AI产品开发流程、评估和优化AI模型&#xff0c;以及应对与AI产品相关的复杂伦理和法律问题…

Efficient Cascaded Multiscale Adaptive Network for Image Restoration 论文阅读笔记

Efficient Cascaded Multiscale Adaptive Network for Image Restoration 论文阅读笔记 这是新国立和新加坡管理大学发表在ECCV2024上的一篇image restoration的文章&#xff0c;提出了一个新的网络结构ECMA&#xff0c;从实验结果上看在超分&#xff0c;去噪&#xff0c;去模糊…

Web服务器(理论)

目录 Web服务器www简介常见Web服务程序介绍&#xff1a;服务器主机主要数据浏览器 网址及HTTP简介URLhttp请求方法:2.3 HTTP协议请求的工作流程&#xff1a; www服务器的类型静态网站动态网站 快速安装Apache安装准备工作httpd所需目录主配置文件 nignx安装1、安装2、准备工作 …

钉钉平台开发小程序

一、下载小程序开发者工具 官网地址&#xff1a;小程序开发工具 - 钉钉开放平台 客户端类型 下载链接 MacOS x64 https://ur.alipay.com/volans-demo_MiniProgramStudio-x64.dmg MacOS arm64 https://ur.alipay.com/volans-demo_MiniProgramStudio-arm64.dmg Windows ht…

青春的海洋:海滨学院班级回忆录项目

3系统分析 3.1可行性分析 通过对本海滨学院班级回忆录实行的目的初步调查和分析&#xff0c;提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本海滨学院班级回忆录采用SSM框架&#xff0c;JAVA作为开…

【Linux】IPC 进程间通信(一):管道(匿名管道命名管道)

✨ 无人扶我青云志&#xff0c;我自踏雪至山巅 &#x1f30f; &#x1f4c3;个人主页&#xff1a;island1314 &#x1f525;个人专栏&#xff1a;Linux—登神长阶 ⛺️ 欢迎关注&#xff1a;&#x1f44d;点赞 &#…