search

3gstudent / feedback

0 stars 0 forks source link

渗透技巧-Token窃取与利用里获取trustedinstaller权限的cmd的问题 #16

Closed Mkv4 closed 5 years ago

Mkv4 commented 6 years ago

渗透技巧-Token窃取与利用中这篇文章中,用的是win10测试的,用的也是管理员权限,sc启动trustedinstaller后用selectparent.exe cmd.exe pid调用不出cmd,不过其他的比如notpad.exe可以调出来,师傅知道这是什么原因吗?

3gstudent commented 6 years ago

如果是调用cmd,不是弹出一个新的cmd框,而是在当前的cmd下面

执行完selectparent.exe cmd.exe pid后,你在当前cmd执行whoami /groups | findstr TrustedInstaller,不出意外应该是有回显的,代表你当前的权限已经是trustedinstaller @Mkv4

Mkv4 commented 6 years ago

PS C:\users\Mkv4\Desktop> sc.exe start trustedinstaller

SERVICE_NAME: trustedinstaller TYPE : 10 WIN32_OWN_PROCESS STATE : 2 START_PENDING (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x7d0 PID : 9184 FLAGS : PS C:\users\Mkv4\Desktop> .\SelectMyParent.exe cmd.exe 9184 SelectMyParent v0.0.0.1: start a program with a selected parent process Source code put in public domain by Didier Stevens, no Copyright https://DidierStevens.com Use at your own risk

Process created: 5316 任务管理器里没有发现这个pid的进程,然后whoami /groups | findstr TrustedInstaller也没有回显。

3gstudent commented 6 years ago

排除一下,其他的方法incognito和Invoke-TokenManipulation.ps1有没有问题

Mkv4 commented 6 years ago

msf里incognito和Invoke-TokenManipulation.ps1都是可以的,selectmyparent.exe不清楚是什么原因,就是上一条恢复里面的样子。

3gstudent commented 6 years ago

1

显示bug

2

qingsword commented 5 years ago

大佬 win7的系统,我在msf中使用shell命令打开了cmd,再用sc启动了下面这个服务,ps发现它的权限是SYSTEM权限的 2960 500 TrustedInstaller.exe x64 0 NT AUTHORITY\SYSTEM 按照文章中的方法steal_token 2960 然后getuid发现自己的权限仍是NT AUTHORITY\SYSTEM 是不是哪里理解错了?

3gstudent commented 5 years ago

@qingsword TrustedInstaller权限也会显示为NT AUTHORITY\SYSTEM,执行这个: whoami /groups | findstr TrustedInstaller 如果有回显,代表当前是TrustedInstaller权限

qingsword commented 5 years ago

@3gstudent 感谢大佬,果然是显示问题,学习了! C:\Windows\system32>whoami /groups | findstr TrustedInstaller whoami /groups | findstr TrustedInstaller NT SERVICE\TrustedInstaller 已知组 S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 启用于默认, 启用的组, 组的所有者

sunlewuyou commented 4 years ago

image 好奇怪,执行 whoami /groups | findstr TrustedInstaller,一次能回显,一次不能回显,一直这样交替。 执行 del C:\Windows\System32\termsrv.dll 也显示没有文件,可这个文件却的的确确在,删不掉它。三好老师您知道这是什么回事吗?我的系统是WIN 7 x64 sp1 旗舰版

3gstudent commented 4 years ago

image 好奇怪,执行 whoami /groups | findstr TrustedInstaller,一次能回显,一次不能回显,一直这样交替。 执行 del C:\Windows\System32\termsrv.dll 也显示没有文件,可这个文件却的的确确在,删不掉它。三好老师您知道这是什么回事吗?我的系统是WIN 7 x64 sp1 旗舰版

https://github.com/3gstudent/feedback/issues/16#issuecomment-391644435

sunlewuyou commented 4 years ago

老师,回显是跟您一样正常的,那就是不知道为什么要删的这个文件它却提示找不到,而不是像直接打开一个cmd 用del 直接删除它会提示没有权限,而这个却是找不到,着实摸不着头脑。谢谢您的回复。

3gstudent commented 4 years ago

老师,回显是跟您一样正常的,那就是不知道为什么要删的这个文件它却提示找不到,而不是像直接打开一个cmd 用del 直接删除它会提示没有权限,而这个却是找不到,着实摸不着头脑。谢谢您的回复。

使用incognito或Invoke-TokenManipulation.ps1切换到TrustedInstaller权限,再删除这个文件

sunlewuyou commented 4 years ago

使用匿名是怎么操作呢?不太懂,我看您的博文上的示例是在powershell上操作,win7 cmd 没看到示例,实在是太菜,真是抱歉!

3gstudent commented 4 years ago

0x06 ->2、Invoke-TokenManipulation.ps1

sunlewuyou commented 4 years ago

明白了,感谢您的回复,您的学习精神真是令人敬佩,对事认真负责,善于总结,举一反三,实在是我学习的榜样,会一直关注您的!