一次玄学提权

  1. 前言
  2. 过程

前言

某友扔了个shell给我,问我能不能提权,故事就这么开始了
esZdKS.png

过程

菜刀连上一看,权限小的可怕
esZ2vT.png

查看一波补丁

systeminfo

esZo5R.png

查看一下用户名

net user

esZH8x.png

查看一下administrators组

net localgroup administrators

esZXrD.png

将刚刚的补丁号扔去提权辅助页面查一手exp
提权辅助网页

eseCGt.md.png

试一波exp后发行不行,ngrok+msf获取meterpreter

./ngrok tcp 4444

eseeaj.png

得到meterpreter,反手就试一波getsystem,不行
eseMR0.md.png

选择/recon/local_exploit_suggester模块获取一波能利用的exp,这里懒就不截图了
模块用法参考:https://422926799.github.io/posts/80762752.html

得到一个名为MS16-075的exp,用msf的试了一手,发现不行,可能是我操作错了
eseyee.png

然后去找exp来使
windows-kernel-exploits/MS16-075 at master · SecWiki/windows-kernel-exploits · GitHub

然后第一次用的时候贼玄学,明明都已经出来了system。就是伪造不了令牌,后面一看又没了system用户
ese7wQ.png

隔几分钟后在试了一遍,提下来了
eseOWq.png

反手加用户加入administrator组
esmik9.png

反手查询RDP端口
esmJ6f.png

反手登录RDP,然后加个RID劫持获取管理员全部数据
esmU0g.md.png

RID劫持重新登录RDP
esmTc6.md.png

加入cs
esmLHe.png

加个开机自启
esnPu8.md.png

持久后门文章请参考:持久化控制学习 | 九世的博客


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:一次玄学提权

本文作者:九世

发布时间:2019-08-03, 22:50:34

最后更新:2019-08-03, 23:26:40

原始链接:http://422926799.github.io/posts/589f1dca.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录