欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

渗入技能——Windows中net session的如何使用分析

b9e08c31ae1faa592019-01-0474

0x00 媒介

在Windows体系中,运用net use敕令能够或许完成长途衔接收集中其他计算机的共享资源,衔接竖立后会建立一个net session。 在渗入测试中,若是我们取得了一台Windows主机的权限,在上面发明了net session,就可以够或许应用这个net session,运用net session的token建立历程。

0x01 简介

本文将要引见以下内容:

· 检察net session的要领

· net session的应用

· net session的消灭

· 应用思绪

· 防备提议

0x02 测试情况

COMPUTER01:

· Win7 x64

· 域内一台主机

· 192.168.10.2

· 运用帐号test1登录

DC:

· Server2008 R2x64

· 域控服务器

· 192.168.10.1

在DC上运用域管理员帐号Administrator经由历程net use长途衔接COMPUTER01,以下图:

渗入技能——Windows中net session的如何使用分析  第1张 渗入技能——Windows中net session的如何使用分析  第1张

0x03 检察net session的要领

1、cmd敕令

net session

以下图:

渗入技能——Windows中net session的如何使用分析  第3张 渗入技能——Windows中net session的如何使用分析  第3张

2、LogonSessions

以下图:

渗入技能——Windows中net session的如何使用分析  第5张 渗入技能——Windows中net session的如何使用分析  第5张

能够发明,net session的Logon type为Network。

3、c++完成

起首经由历程Windows API LsaEnumerateLogonSessions()罗列以后的Logon Session。

接着运用LsaGetLogonSessionData()取得每一个Logon Session的详细信息。

在顺序编写上须要注重没法直接显现sid和时候,须要对花样举行转换。

4、mimikatz

privilege::debug
token::list

以下图:

渗入技能——Windows中net session的如何使用分析  第7张 渗入技能——Windows中net session的如何使用分析  第7张

TEST\Administrator对应的ID为6919466。

增补mimikatz的敕令

检察以后token:

token::whoami

规复历程token:

token::revert

冒充成system:

token::elevate

冒充成domain admin:

token::elevate /domainadmin

冒充成enterprise admin:

token::elevate /enterpriseadmin

冒充成admin:

token::elevate /admin

冒充成id为123456的token:

token::elevate /id:123456

0x04 net session的应用

net session的token保存在lsass历程中,以下图:

渗入技能——Windows中net session的如何使用分析  第9张 渗入技能——Windows中net session的如何使用分析  第9张

在应用上,net session等同于对其token的应用。

1、mimikatz

冒充成id为6919466的token:

token::elevate /id:6919466

以下图:

渗入技能——Windows中net session的如何使用分析  第11张 渗入技能——Windows中net session的如何使用分析  第11张

注:

· 上述操纵只改变了Thread Token。

· Windows下有两种token:Primary Token和Impersonation Token。

· Primary Token对应Process Token,每一个历程都有独一的Primary Token。

· Impersonation Token对应Thread Token,能够被修正。

接下来,运用该token建立历程cmd.exe:

process::start cmd.exe

然则该敕令不会运用新的Thread Token,也就是说历程cmd.exe并没有以TEST\Administrator启动。

缘由以下:

以下图:

渗入技能——Windows中net session的如何使用分析  第13张 渗入技能——Windows中net session的如何使用分析  第13张

以下图:

渗入技能——Windows中net session的如何使用分析  第15张 渗入技能——Windows中net session的如何使用分析  第15张

mimikatz在实行process::start敕令时,运用CreateProcess建立历程,并没有传入token。

解决要领:

· 修正mimikatz的源码,运用CreateProcessAsUser()建立历程,能够或许传入Token。

· 固然,我们还能够运用其他对象来完成这个历程。

2、运用incognito

注:

· 在之前的文章《渗入技能——Token盗取与应用》曾引见过incognito的用法

· 列出以后token:

incognito.exe list_tokens -u

以"TEST\Administrator"启动cmd.exe:

incognito.exe execute -c "TEST\Administrator" cmd.exe

以下图:

渗入技能——Windows中net session的如何使用分析  第17张 渗入技能——Windows中net session的如何使用分析  第17张

net session应用胜利,以用户"TEST\Administrator"启动历程cmd.exe,以下图:

渗入技能——Windows中net session的如何使用分析  第19张 渗入技能——Windows中net session的如何使用分析  第19张

0x05 net session的消灭

1、cmd敕令

net session /delete /y

2、删除net use衔接

net use的提议方删除衔接:

net use * /del /y

0x06 应用思绪

1、当地提权

若是还没有取得当地管理员权限,但取得了SeImpersonate或许SeAssignPrimaryToken权限,就可以应用net session中的token建立新历程,完成提权。

注:

之前的文章《Windows当地提权对象Juicy Potato测试剖析》和《渗入技能——Windows Token九种权限的应用》提到过这个要领。

2、域内渗入

取决于net session的权限,新建立的历程能够或许继续net session的token

0x07 防备提议

1、域情况内限定用户权限,只管制止运用域管理员帐户长途衔接。

2、运用net use长途衔接后记得实时消灭。

0x08 小结

本文引见了应用net session的token建立历程的要领,剖析应用思绪,给出防备提议。

网友评论