高收益的笨辦法:暴破在Windows提權中的應用
千辛萬苦拿下的 webshell 不是 www-data 使用者就是 networkservice 許可權,要想擴充攻擊面、擴大戰果,提權,是必經之路,也是後滲透階段成功的關鍵。windows 提權,我常用的手法包括 DB 命令執行提權、核心 exp 提權、dll 劫持提權、路徑未帶引號的服務提權、濫用高權 token 提權、三方軟體提權,每個手法有各自的使用門檻及適用場景,通常需要多種措施並舉,才能拿下目標。
個人而言,習慣先從 DB 入手,不論是否站庫分離,web 終究得有 DB,一方面,DB 內部自帶命令執行模組,另一方面,DB 常以 system 許可權執行,那麼,一旦拿下 DB,相當於獲得了以 system 許可權執行命令的能力,變向實現提權。要進入 DB,最直觀的方式使用正確的賬號/密碼登入,賬號/密碼通常位於 web.config 中,有 webshell 就有 web.config,有 web.config 就有 DB 的賬號/密碼,如果再有一點小運氣,找到的是 SA 賬號的密碼,基本上,你已經成功一半了。現在,用 SA 賬號進入 DB 的 xp_cmdshell 模組執行命令“whoami”,得到報錯資訊“呼叫 CreateProcess 失敗,錯誤程式碼: 5”,剛剛的陽光燦爛立馬陰轉暴雨,顯然,管理員禁用了 DB 的命令執行功能(該模組仍可訪問)。後續,把餘下的攻擊模型逐一嘗試,無果。
放棄是不可能的。再琢磨琢磨,既然有 DB 的 SA 賬號,何不用相同的密碼登入 OS 的 administrator 賬號試試?先找到 web.config,由於該 web 連線了多個 DB,所以配置檔案中出現了多項 DB 資訊:
剔重後得到 5 個密碼:victim@2014、victim、victim2015、sf0618@sf0618、xtepxscm。怎麼驗證?用 administrator 作為使用者名稱、上述五個密碼作為密碼字典,用 hydra 暴破 RDP,方便快捷。
不幸的是,目標環境未將 3389 暴露至公網,好吧,只得埠轉發。
埠轉發大概需要三步,先在自己的 VPS 上建立埠對應,再在攻擊端連線 VPS 上的轉發埠,最後在 webshell 上轉發。具體而言:第一步,用 sSocks(https://sourceforge.net/projects/ssocks/)在 VPS 上建立 3388 與 3389 埠對應關係,實現流量互通:
第二步,從攻擊端連線 VPS 的 3388 埠,第一次嘗試 administrator/victim@2014。建議用 freerdp 而非 rdesktop,因為前者支援遠端與本地連線等待、文字複製貼上、掛載遠端檔案系統:
第三步,立即在大馬上執行埠轉發,可能需要連續多次點選 start:
注意,整個過程對步驟先後順序敏感,VPS 上 rcsocks 埠對映好以後就可以不管了,先在攻擊端執行 xfreerdp,讓其會話保持,再在 webshell 上轉發內網的 3389。
如果看到如下報錯,則說明賬號或密碼錯誤:
逐一嘗試餘下四個密碼,均失敗。
administrators 群組中還有其他 6 成員,那麼要嘗試 5 × 6 次:
咬咬牙,雖然累但十來分鐘也能試完,無果。都到這個節目眼了,要不再試試常見弱口令?天,這不是累不累的問題了,哪怕只是 top100 的弱口令,手工驗證也完全不可行!我需要自動化。
自動化,想到的第一個思路,嘗試用 hydra 暴破本地迴環 127.0.0.1 的 RDP。hydra 官方不再支援 windows,所以,我只得在 cygwin 中原始碼構建可執行程式。我把 hydra.exe 及相關依賴打包到單獨目錄,脫離 cygwin 環境,在命令列中可正常執行 hydra.exe:
但,將 IP 設定為 127.0.0.1 後暴破 RDP 始終失敗,原來,RDP 禁止從 127.0.0.1 登入。此路不通。
第二個思路,將前面提到的三步封裝到指令碼中,呼叫 xfreerdp 遠端登入(將使用者名稱和密碼作為字典)、呼叫 curl 驅動 webshell 埠轉發。大概半小時,寫了個 bash 指令碼,驗證其功能,發現即便正確的密碼,也不是 100% 成功,為何?前面提過,webshell 上轉發埠流量的功能不太穩定,需要連續多試幾次,那麼將 curl 多呼叫幾次或許能解決這個問題,具體幾次合適,不好說。總感覺這種遠端驗證的方式,不僅麻煩、效率也低,我得想個更優的思路。
第三個思路,縷一縷,我要的是效率高、無依賴、高精準、體積小的工具,嗯,win32 原生程式直接在目標機器上本地暴破所有 OS 使用者的密碼,就它。這個工具要能幫我找到 are you admin? 的答案,所以,命名為 ruadmin。你知道,我移居 linux 多年,win32 忘得差不多了,所以,我找 MSDN 幫忙,花了兩個晚上,基本上,我付予了 ruadmin 幾個核心能力:高效精準驗證賬號密碼、自動獲取 OS 賬號、內建高命中率弱口令、綠色無依賴不查殺、相容 NT 架構的全版本系統。
高效驗證賬號密碼方面,呼叫 LogonUser(),不通過任何網路協議,直接本地驗證:
甚至能驗證空密碼的賬號。另外,一個賬號對應一個暴破執行緒,進一步提高效率:
自動獲取 OS 賬號方面,呼叫 NetUserEnum() 獲取包括隱藏賬號(如 yangyangwithgnu$)在內的所有使用者賬號:
如果覺得破解所有賬號耗時太長,你有兩個選擇,一是用 –user 指定暴破單一賬號、二是用 –one-quit 告訴 ruadmin 只要暴破出任一賬號立即結束。
內建高命中率弱口令方面,我把常見弱口令字典整合進 ruadmin,字典包含中國人弱口令、外國人弱口令、黑客常用口令等近 4W 條:
不滿意,你可以用 –passwds-file 指定自己的字典檔案。
其他方面。純 win32 實現,無任何依賴;沒用惡意程式碼,不會觸發 AV 報警;平臺無關,x64 和 x86 都能執行;同時,在生成可執行檔案時,我將 VS 工程設定為 project – properties – configuration properties – general – general – platform toolset – vs2015 – windows xp (v140_xp),這樣,ruadmin 就能支援客戶端系統 winXP~win10、服務端系統 server_2003~server_2016。
回到先前的目標環境中,看我如何用 ruadmin 實現提權。
上傳 ruadmin。有 webshell,上傳檔案易如反掌,但我們上傳的不是一般檔案,而是可執行程式,得儘可能為程式執行鋪平道路。從經驗來看,有兩點建議:一是上傳目錄方面,程式執行時可能生成臨時檔案,所以上傳的目錄最好具有讀寫許可權,如 C:\Windows\Temp\ 或 %temp% 是個選擇;二是檔名方面,應考慮到 AV 的反應,基礎名不要用 exp、agent、xxxx、info、hack、admin 等等這類帶有明顯攻擊性的字樣,可以隨機化(如,用 mneo 就不錯),副檔名方面,先在攻擊端將其改為 txt,上傳成功後再改回 exe,甚至,若目標環境禁止改名,採用未關聯任何開啟程式的副檔名(如,*.128),windows 允許在命令列中直接 *.128 這樣的檔案。具體而言,我將 ruadmin.exe 改為 amneo.128,進入 webshell 的 File Manager 模組,上傳目錄定為 C:\Windows\Temp\,選擇攻擊端檔案 amneo.128 上傳:
採用內建密碼暴破。進入 webshell 的 CmdShell 模組,不帶任何命令列選項直接執行 amneo.128:
ruadmin 採用預設選項,採用 39526 個字典項暴破自動獲取的 8 個作業系統賬號,半分鐘後,顯示未找到任何密碼。
採用 web.config 中的密碼暴破。顯然,內建字典無效,前面分析過 web.config 中含有多個 DB 的密碼:victim@2014、victim、victim2015、sf0618@sf0618、xtepxscm,我將其寫入目標上的 p0.txt 中,指定使用 p0.txt 作為密碼字典檔案,執行後仍然無果:
採用社工密碼暴破。我得根據該目標的屬型,重新制作一個具有社工型的字典。簡單分析發現,該網站域名含有 victim,而 DB 的密碼出現過 victim@2014、victim2015,那麼,我可以合理猜測管理員密碼由 victim、特殊字元、年份等三部分組成,但是 victim 有大小寫、特殊字元有十來個、年份也不確定,排列組合結果太多,必須找個工具基於規則自動生成。密碼字典生成,我推薦兩個工具 hashcat、crunch,這裡以前者為例。對滴,hashcat 不僅是雜湊暴破神器,也支援基於規則生成密碼字典,規則庫位於 hashcat/rules:
其中,dive.rule 含有我需要的規則,選之。我把 victim@2014、victim、victim2015、sf0618@sf0618、xtepxscm 視為基礎資訊存入 base.txt 中作為輸入,讓 dive.rule 模仿學習生成類似的密碼字典,儲存至 passwds.txt:
生成的字典有 26w 個,目標上有 8 個賬號,也就要列舉 268446 × 8 次,通過 webshell 執行耗時較長的命令時,頁面將報超時錯誤,無法正常顯示程式執行結果,所以,將命令執行結果重定向到文字中:
大概十分鐘之後 foo.txt 體積達到 1k 左右,說明命令執行完成,檢視 foo.txt:
成功暴破出兩個管理員賬號的密碼。
以管理員身份登入遠端桌面,實現提權。組合使用目標上的 webshell、VPS 上的 rcsocks、攻擊端上的 xfreerdp 將內網的 RDP 埠轉發至公網後,輸入 administrator/Victim@2017 成功登入目標:
某些環境限定了 RDP 源 IP,即便做了埠轉發也無法登入。沒關係,既然我有管理員的密碼,那麼只要找到類似 linux 上的 su 命令,也可以以管理員身份執行任意命令。windows 上的 runas 就具備這個功能,但它沒法將密碼作為命令列引數中,所以,用支援在命令列引數中輸入密碼的開源版本 cpau(http://www.joeware.net/freetools/tools/cpau/)。具體要執行什麼命令?根據各人喜好,我會直接反彈一個管理員許可權的 meterpreter。執行 cpau:
其中,我將 cpau.exe 重新命名為 asdf.64,tybdf.16 為 msfvenom 生成的反彈 payload。很快將獲得管理員的 meterpreter:
當然,ruadmin 並不完美,兩個致命傷你有必要了解,以評估是否具備使用環境。第一,對於開啟試錯鎖定賬號策略的環境,ruadmin 很可能導致賬號被鎖,存在影響業務的風險,我建議你用 –user 指定一個普通賬號先測試系統是否開啟鎖定賬號的策略,再做下一步打算;第二,ruadmin 使用的密碼驗證機制將導致生成大量登入失敗的日誌,可能引起管理員、AV 的注意,我沒啥能建議,自求多福。
從近期把 ruadmin 投入實戰中的效果來看,成績喜人!針對提權,大部份攻擊者也就會 DB 命令執行、核心 exp 這兩招,稍微有一定道行的會翻下存放明文密碼的檔案、找下存在配置缺陷的服務,再高階點的會盜用特權 token、攻擊萬能鑰匙,而低門檻的本地暴破,卻很少被納入“正統”提權手法名錄中,究其原因,大概有三:一是,完全沒想這個意識,最多用 hydra 遠端暴破下 RDP;二是,有這個意識,但缺乏類似 ruadmin 這類不依賴任何協議的本地暴破工具;三是,暴破乃是指令碼小子的行為,進不了大黑闊的法眼。目標驅動,為了實現提權,暴破這個高收益的笨辦法,你至少應該嘗試。
相關文章
- 笨辦法學C 前言
- Windows提權實戰——————3、PcAnyWhere提權WindowsPCA
- windows提權 (一)Windows
- windows提權--組策略首選項提權Windows
- Windows提權系列————上篇Windows
- Windows提權系列————下篇Windows
- Windows提權總結Windows
- 提權 | Windows系統Windows
- noVNC在Windows下的應用VNCWindows
- 在Windows低許可權下利用服務進行提權Windows
- 笨辦法學Python習題48Python
- 笨辦法學 Golang 開山篇Golang
- 笨辦法學C 練習36:更安全的字串字串
- 許可權控制庫 Casbin 在 Slim 中的應用
- 笨辦法學C 練習1:啟用編譯器編譯
- 笨辦法學C 練習2:用Make來代替PythonPython
- Windows PrintDemon提權漏洞分析Windows
- Windows提權方式彙總Windows
- Windows令牌竊取提權和爛土豆提權學習Windows
- 求推薦,有沒有類似《笨辦法學 python》的書用來學 Java 的?PythonJava
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- PayPal提現被退回的解決辦法?(教程和費用)
- Windows提權實戰——————1、IIS6.exe提權實戰Windows
- Windows提權基本原理Windows
- Linux、Windows提權命令速記LinuxWindows
- 笨辦法學C 練習47:一個快速的URL路由路由
- 笨辦法學C 導言:C的笛卡爾之夢
- 笨辦法學C 練習12:If,Else If,Else
- 用於提權的Linux命令,即“xxd”Linux
- Windows原理深入學習系列-Windows核心提權Windows
- 工控機在高鐵上的應用
- Windows提權實戰————4、DLL注入Windows
- Windows中隨身碟無法格式化的解決辦法Windows
- 笨辦法學C 練習28:Makefile 進階
- 笨辦法學C 練習13:Switch語句
- Homestead 在 Windows 下軟連結報錯的解決辦法Windows
- 在windows7上使用python 3.9及更高版本的辦法WindowsPython