1.1用户与用户组
在windows不用的用户有着不同的权限,权限主要包括有:完全控制、修改、读取和执行、列出文件夹内容、读取、写入。而超级管理员和system用户权限最高。
内置用户:
Administrator,系统管理员账号,拥有完全控制权
guest,来宾账号,提供访问共享资源的网络用户使用,仅具有基本权限,默认被禁用
查看本地用户
net user
查看用户详细信息
net user administrator
用户也可以属于多个用户组,常见的用户组是 管理组(Administrators)、普通用户组(Users)、iis用户组(IIS_IUSRS)、来宾组(Guests)、远程登录组(Remote Desktop Users)
内置用户组
administrators,管理员组
users组,新建用户默认所属的组
guests组,权限最低
iis_users组 Internet 信息服务使用的内置组。
用户信息的详细解析
whoami 命令
C:\Users\MSI-NB>whoami /?WhoAmI 有三种使用方法:语法 1:
WHOAMI [/UPN | /FQDN | /LOGONID]语法 2:
WHOAMI { [/USER] [/GROUPS] [/CLAIMS] [/PRIV] } [/FO format][/NH]语法 3:
WHOAMI /ALL [/FO format] [/NH]描述:
这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息,以及相应的安全标识符(SID)、声明、
本地系统上当前用户的权限、登录标识符(登录 ID)
。例如,谁是当前已登录的用户? 格式(域\用户名)。参数列表:
/UPN 用用户主体 (UserPrincipal)格式显示用户名名称 (UPN)格式。/FQDN 用完全合格的 (FullyQualified)格式显示用户名可分辨名称(FQDN)格式。/USER 显示当前用户的信息以及安全标识符 (SID)。/GROUPS 显示当前用户的组成员信息、帐户类型和安全标识符 (SID)和属性。/CLAIMS 显示当前用户的声明,
包括声明名称、标志、类型和值。/PRIV 显示当前用户的安全特权。/LOGONID 显示当前用户的登录 ID。/ALL 显示当前用户名、所属的组以及安全等级
当前用户访问令牌的标识符(SID)、声明和权限。/FO format 指定要显示的输出格式。
有效值为 TABLE、LIST、CSV。列标题未使用 CSV
格式显示。默认格式为 TABLE。/NH 指定不应在输出中显示
列标题。此参数仅对
TABLE 和 CSV 格式有效。/? 显示此帮助消息。Examples:
WHOAMI WHOAMI /UPN WHOAMI/FQDN
WHOAMI/LOGONID WHOAMI/USER
WHOAMI /USER /FOLIST WHOAMI /USER /FO CSV WHOAMI/GROUPS
WHOAMI /GROUPS /FO CSV/NH WHOAMI/CLAIMS
WHOAMI /CLAIMS /FO LIST WHOAMI /PRIV
WHOAMI /PRIV /FO TABLE WHOAMI /USER /GROUPS
WHOAMI /USER /GROUPS /CLAIMS /PRIVwhoami /all
用户信息
----------------用户名 SID
======================= ===========================================
12server7\administrator S-1-5-21-3260979670-785508571-521063199-500组信息
-----------------组名 类型 SID 属性==================================== ====== ============
==========================================
Everyone 已知组S-1-1-0 必需的组,启用于默认,启用的组
NTAUTHORITY\本地帐户和管理员组成员 已知组S-1-5-114 必需的组,启用于默认,启用的组BUILTIN\Administrators 别名 S-1-5-32-544必需的组,启用于默认,启用的组 , 组 的 所 有 者BUILTIN\Users 别名 S-1-5-32-545必需的组,启用于默认,启用的组
NTAUTHORITY\INTERACTIVE 已知组S-1-5-4 必需的组,启用于默认,启用的组
CONSOLELOGON 已知组S-1-2-1 必需的组,启用于默认,启用的组
NTAUTHORITY\AuthenticatedUsers 已知组S-1-5-11 必需的组,启用于默认,启用的组
NTAUTHORITY\ThisOrganization 已知组S-1-5-15 必需的组,启用于默认,启用的组
NTAUTHORITY\本地帐户 已知组S-1-5-113 必需的组,启用于默认,启用的组LOCAL 已知组S-1-2-0 必需的组,启用于默认,启用的组
NTAUTHORITY\NTLMAuthentication 已知组S-1-5-64-10 必需的组,启用于默认,启用的组
Mandatory Label\High Mandatory Level标签 S-1-16-12288特权信息
----------------------特权名 描述 状态
=============================== ========================== ======
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单一进程 已禁用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已禁用
SeCreatePagefilePrivilege 创建一个页面文件 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已禁用
SeTimeZonePrivilege 更改时区 已禁用
SeCreateSymbolicLinkPrivilege 创建符号链接 已禁用 1.2 sid详解
前言
Windows安全性要依赖于几个基本元素。:访问令牌、SID、安全描述符、访问控制列表、密码、
访问令牌:访问令牌在本质上定义了两 上“P”:Permissions(权限)和Privilege(特权)。两者区别并不明显。访问令牌的内容和功能由用户的SID、组的SID、登录 SID、用户特权、默认所有者、SID、默认组SID、默认DACL、起源进程、令牌类型、模拟级别、受限SID。
权限:一个用户进程在接触一个对象时,“安全性参考监视器”将访问令牌中的SID与“对象访问控制列表
(ACL)”中的SID匹配。可能出现的两种情 况:1.如果没有匹配,就拒绝用户访问,这称为“隐式拒绝
(implici deny)”;2.如果有一个区配,就将与ACK中的条目关联的权限授予给用户。这可能是Allow,也可能是一个Deny权限。在两个权限都直接指派给 对象的前提下,Deny权限将优先于Allow权限(在对待继承的权限时,采取的方式稍有不同)
SID:一个典型的SID:S-1-5-21-1683771068-12213551888-624655398-1001.它遵循的模式是:S
-R-IA-SA-SA-RID。下面是具体解释:
1、字母S指明这是一个SID标识符,它将数字标记为一个SID。
2、R代表Revision(修订),Windows生成的所有SID都使用修订级别 1.
3、IA代表颁发机构。在Widnwos中,几乎所有SID都指定NT机构作为颁发机构,它的ID编号为5.但 是,代表已知组和账户的SID例外。
4、SA代表一个子机构。SA指定特殊的组或职能。例如、21表明SID由一个域控制器或者一台单机颁 发。随后的一长串数字(1683771068-12213551888-624655398)就是颁发SID的那个域或机器的SA。
5、RID是指相对ID(RID)、是SA所指派的一个惟一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组)
新的已知SID:在经典NT和windows2000中,Local System账户SID S-1-5-18为几乎所有服务提供了安全上下文,该账户具有很大的特权。Windows2003则引入了另外两个“已知SID”来为服务提供一个安全上 下文、即LocalService和NetworkService。
部分已知SID及功能见Microsoft KB243330
已 知RID:指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来、表示在每个
Windows计算机和域中通用的账户和 组,它们称为“已知RID”有些已知RID会附加到一个域SID上,从而构成一个惟一的标识符。另一些则附加到Builtin SID(S-1-5-32)上,指出它们是可能具有特权的Builtin账户--特权要么是硬编码到操作系统中的,要么是在安全数据库中指派的。
想要知道详细的 我们请看下边这一篇文章
安全标识符 | Microsoft Learn
1.3提权的常用方法
windows的常用提权方法,主要分为漏洞提权、windwos特性提权、第三方组件提权,数据库提权 ftp
提权 等。
1.4提权的常用指令
systeminfo | findstr OS #获取系统版本信息
systeminfo&&wmic product get name,version&&wmic nic where PhysicalAdapter=True get MACAddress,Name&&wmic NICCONFIG WHERE IPEnabled=true GET IPAddress #检测系统软件包
hostname #获取主机名称
whoami /all #获取当前用户的详细信息
whoami /priv #显示当前用户的安全特权
net start #查看服务
quser or query user #获取在线用户
netstat -ano | findstr 3389 #获取rdp连接来源IP
dir c:\programdata\ #分析安装杀软
wmic qfe get Caption,Description,HotFixID,InstalledOn #列出已安装的补丁
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber #获取远程端口
tasklist /svc | find "TermService" #获取服务pid
netstat -ano | find "pid" #获取远程端口
1.5 windows提权辅助脚本
检测系统补丁脚本
https://github.com/SecWiki/windows-kernel-exploits/tree/master/win-exp-suggester
查 看 补 丁
https://github.com/chroblert/WindowsVulnScan
windows 内核提权exp
https://github.com/SecWiki/windows-kernel-exploits
在线提权利用查询
LOLBAS
提权辅助网页
http://bugs.hacking8.com/tiquan/ (不能访问了 我也不清楚为啥)
潮影在线免杀平台
线性数据结构)
