当前位置: 首页 > news >正文

ms10-046漏洞利用+bypassuac提权

目录

前期准备

漏洞利用

上传文件到目标主机

UAC介绍

使用bypassuac模块绕过uac进行提权。

关于钓鱼链接的拓展


前期准备

Win xp sp3关闭防火墙

实验前提

保证连通性,进行互ping

漏洞利用

进入msf查看需要利用的漏洞:ms10-046

search ms10-046

访问钓鱼链接之后,winxp便自动打开了文件共享服务器文件夹,且自动生成了两个文件

点击快捷方式这个文件

此时可以看到两台主机之间建立起一个会话,没有直接进入交互式状态的话可通过命令:sessions查看挂起的会话

并使用命令手动连接进入到交互状态

成功拿到winxp主机的shell。

上传文件到目标主机

接着尝试从kali上传一个文件到winxp主机上。通过upload命令进行上传,上传kali主文件夹(/home/kali)下的shell.war文件

命令:upload /home/kali/shell.war  c:\

成功上传文件到winxp主机上。要是上传文件失败,显示说Access is denied的话,(使用win7主机进行复现便会出现这个情况)

明显就是权限不够的原因,那么就需要进行提权,查看当前的权限

z是我winxp主机的一个用户名,说明当时权限是普通用户。可以通过getsystem命令进行提权。

成功拿到system权限。但是如果靶机为win7,是不能够直接提权成功的

由于我使用的是winxp机子来进行的操作,所以可以直接提权成功,但是呢,使用win7的小伙伴们是不能直接使用getsystem命令直接提权成功的。为什么呢?

UAC介绍

因为在windowsXP和win7之间有一个过渡性系统:windows vista系统。在晚于vista以后的系统中,增加了一个UAC的功能(user access control-用户账户控制),这个功能会对管理员组的用户起到一定的限制作用,目的是为了保护计算机的安全。也就是说,当我们需要运行一些重要的程序时,比如只有管理员权限才能运行的程序时,UAC功能就会弹出一个对话框,对用户进行询问,只有用户点击了同意按钮,程序才会以管理员或者system权限去运行。而win7系统就是在vista系统之后诞生的。因此,我们要想提权成功,首先要绕过windows的UAC限制,然后使用getsystem命令进行提权即可,接下来我们可以使用常用的绕过UAC的套路-bypassuac模块,进行绕过UAC限制。

使用bypassuac模块绕过uac进行提权。

  1. 先使用background命令挂起当前会话

        2.  查找bypassuac利用模块

使用编号为2的这一模块。使用options命令查看有哪些参数需要进行配置

发现其他参数均已自动配置好且正确。还需设置一个session,就设置为刚刚挂起的那一个会话。

设置好之后再检查一遍

没有问题了之后便可开始发起攻击(以下图片摘抄大佬使用win7主机做的,记录一下bypassuac提权过程)

发起攻击之后,便看到建立起了第二个会话。

第二个会话是绕过了uac建立起来的,使用该会话便可直接使用getsystem命令提权win7主机的shell。

查看当前权限

为普通用户,用getsystem命令进行提权

提权成功!提权完之后便可继续刚刚因为权限不够没有上传文件成功的操作了。

关于钓鱼链接的拓展

上方那样子操作有个缺点就是,你得等着对方访问你给出去的链接,才能和对方建立起会话,那要是别人不访问你给的链接呢,是不是就没办法了。其实我们可以配合dns欺骗来实现不管对方访问哪一个网站都会指向kali的ip。

  1. 找到etter.dns文件所在位置:find / -name etter.dns

然后在etter.dns这个文件最下方加入内容

*代表的是任意地址

A(Address)记录是用来指定主机名(或域名)对应的IP地址记录

PTR是pointer的简写,用于将一个IP地址映射到对应的域名也可以看成是A记录的反向IP地址的反向解析

意思是将所有域名指向192.168.217.139这个IP,也就是kali的IP。

接着使用网络攻击神器ettercap进行dns欺骗攻击,网段内的所有网址都会被重定向到本机的IP。

到靶机中看看效果

刚打开浏览器就直接相当于访问了钓鱼网站的链接,直接自动弹出了文件共享服务器文件夹。这就实现了攻击者化被动为主动。

相关文章:

  • VUE的10个常用指令
  • java毕业生设计忆居民宿管理计算机源码+系统+mysql+调试部署+lw
  • Amazon Braket 与量子计算
  • Open3D(C++)快速欧式聚类分割
  • (附源码)计算机毕业设计JavaJava毕设项目电脑小白网站
  • 移动端开发之混合开发模式优劣势综述
  • 【Dense Res2net:两个非局部注意模型:IVIF】
  • 基于无人机的气象数据采集系统设计(Matlab代码实现)
  • SpringCloud - 服务调用
  • 理解 ROC 和 PRC
  • Python集合类型详解(二)——集合处理方法与应用场景
  • 【算法基础】(一)基础算法 --- 快速排序
  • 蓝桥杯实战应用【算法代码篇】-基于数组实现线性表
  • 晶圆盒RF载具ID读取器CK-S650-PA60E的1协议和N协议通信说明
  • Grails SpringBoot国际化不生效
  • JNDI注入的理解、JDK给出的修复
  • WPF项目实战布局--通用固件下载 C#
  • java EE初阶 — 计算机工作原理
  • 零时科技 || 分布式资本创始人4200万美金资产被盗分析及追踪工作
  • [附源码]java毕业设计医院预约挂号管理系统
  • JSP文件上传
  • qt人员管理模块(模块化程序)功能块复制直接使用不冲突
  • [附源码]计算机毕业设计微信点餐系统Springboot程序
  • List——顺序表与链表(二)
  • PCB入门介绍与电阻电容电感类元件的创建
  • MongoDB入门与实战-第五章-MongoDB副本集
  • 山东电蒸汽发生器厂家_清洗机蒸汽发生器
  • 15吨燃煤锅炉改生物质锅炉可以吗_燃煤锅炉环保要求
  • 生物质颗粒锅炉点不着_生物质颗粒能否替代煤锅炉