⓫⁄₄ ⟦ OSCP ⬖ 研记 ⟧ Windows权限提升 ➱ 搜索Windows的敏感信息
郑重声明:本文所涉安全技术仅限用于合法研究与学习目的,严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任,本人概不负责。任何形式的转载均须明确标注原文出处,且不得用于商业目的。
???? 点赞 | 能量注入 ❤️ 关注 | 信号锁定 ???? 收藏 | 数据归档 ⭐️ 评论 | 保持连接????
???? 立即前往 ????晖度丨安全视界????
▶ 信息收集 ➢ Windows权限提升 ➢ 搜索Windows的敏感信息 ????????????
▶ 漏洞检测
▶ 初始立足点
▶ 权限提升
▶ 横向移动
▶ 报告/分析
▶ 教训/修复
目录
1.Windows权限提升
1.1 枚举Windows:搜索主机的敏感信息
1.1.1 搜索应用程序的敏感文件
1.1.1.1 搜索 KeePass 数据库文件
1.1.1.2 搜索 XAMPP 的配置文件
1.搜索XMAPP的敏感文件
2.分析发现的敏感文件
1.1.2 搜索用户dave的主目录的敏感文件
1.1.2.1 搜索用户主目录下的敏感文件
1.1.2.2 查看发现的敏感文件内容
1.1.3 搜索新发现的用户steve的敏感信息
1.1.3.1 枚举用户 steve的信息
1.1.3.2 以用户steve的身份远程到目标主机
1.1.3.3 以用户steve身份重新查看敏感信息
1.1.4 获取特权用户backupadmin的访问权限
1.1.4.1 了解用户backupadmin所属的组
1.1.4.2 核心发现与后续策略
1.1.4.3 使用 Runas 临时切换至 backupadmin 身份
1.什么是 Runas?
2.以 backupadmin 身份启动 CMD
1.1.5 攻击路径总结:通过敏感信息搜索实现权限提升
欢迎❤️ 点赞 | ???? 关注 | ⭐️ 收藏 | ???? 评论
1.Windows权限提升
在渗透测试中,我们通常以非特权用户身份获得初始立足点。但为了深入探测(如搜索敏感信息、提取密码哈希等),往往需要提升至管理员权限(比如:使用Mimikatz提取密码哈希),这个过程就是特权提升。
???? 权限提升三大路径:本文继续进行windows枚举:搜索目标主机上的敏感信息。
| 阶段 | 目标 | 关键方法 |
|---|---|---|
| 1. 枚举Windows | 获取系统情报 | 手动搜索 + 自动化工具 |
| 2. 利用Windows服务 | 攻击服务漏洞 | 服务配置缺陷、权限滥用 |
| 3. 利用其他组件 | 扩大攻击面 | 计划任务、系统漏洞利用 |
1.1 枚举Windows:搜索主机的敏感信息
在前文中的系统安装程序的枚举中,我们发现在 CLIENTWK220 主机上,用户使用 KeePass 密码管理器。然而,在安全评估中绝不能低估用户的“懒惰”行为——过去人们可能将密码写在便利贴上并贴在键盘下,如今则可能将敏感信息直接存放在桌面上的 文本文件、会议记录、配置文件甚至入职文档中。这些都可能成为特权升级的突破口。
因此,我们在用户主目录或公共可访问的文件夹中浏览时,应重点关注可能泄露的敏感信息,并尝试利用这些信息进行下一步渗透。
1.1.1 搜索应用程序的敏感文件
我们已确认目标系统上安装了 KeePass 和 XAMPP 等应用程序。接下来,我们将尝试搜索这些应用可能留下的敏感文件(如数据库文件、配置文件等),以寻找可利用的线索。
1.1.1.1 搜索 KeePass 数据库文件
我们再次连接到CLIENTWK220主机绑定的 shell,并执行以下 PowerShell 命令进行搜索:
> Get-ChildItem -Path C: -Include *.kdbx -File -Recurse -ErrorAction SilentlyContinue命令说明:
| 参数 | 说明 |
|---|---|
-Path C: |
从 C 盘根目录 开始搜索 |
-Include *.kdbx |
筛选扩展名为 .kdbx 的文件(KeePass 数据库格式) |
-File |
仅搜索文件,排除文件夹 |
-Recurse |
递归搜索所有子目录 |
-ErrorAction SilentlyContinue |
遇到错误时不显示报错信息,保持输出整洁 |
执行结果:
搜索完成后,未发现任何 KeePass 数据库文件(.kdbx 格式)。
虽然本次针对 KeePass 数据库文件 的搜索没有立即获得结果,但这并不意味着系统中不存在其他形式的敏感信息。在后续操作中,应:
-
继续检查 桌面、文档、下载目录 等用户常用位置
-
关注 配置文件、日志文件、临时文件 中是否包含密码或密钥
-
留意用户可能使用的 其他存储方式,如文本文件、Excel 表格等
保持警惕:用户的“便捷”习惯往往是安全体系中最薄弱的环节。
1.1.1.2 搜索 XAMPP 的配置文件
1.搜索XMAPP的敏感文件
接下来,我们将针对系统中安装的 XAMPP 应用程序进行敏感文件搜索。XAMPP 作为常见的Web服务器套件,其配置文件中往往包含数据库密码、服务端口等关键信息。使用以下 PowerShell 命令进行搜索:
> Get-ChildItem -Path C:
mpp -Include *.txt,*.ini -File -Recurse - ErrorAction SilentlyContinue命令解析:
| 参数 | 说明 |
|---|---|
-Path C:
mpp |
在 XAMPP 安装目录 下进行搜索 |
-Include *.txt,*.ini |
同时搜索 文本文件 和 配置文件(常见扩展名) |
-File |
仅搜索文件类型 |
-Recurse |
递归搜索所有子文件夹 |
-ErrorAction SilentlyContinue |
静默处理错误,避免干扰输出 |
执行结果:
搜索结果显示发现 两个潜在敏感文件:
| 文件 | 类型 | 包含内容 | 安全风险 |
|---|---|---|---|
my.ini |
MySQL配置文件 | 数据库服务配置参数 | ???? 高风险:可能包含数据库连接凭据 |
passwords.txt |
密码记录文件 | XAMPP各组件默认密码 | ???? 中风险:若未修改默认设置可被利用 |
2.分析发现的敏感文件
我们立即对这两个文件进行了分析:
详细分析:
-
passwords.txt文件检查
经查看,该文件仅包含 未经修改的XAMPP默认密码。这些是公开的已知密码,在安全评估中价值有限。 -
my.ini文件访问尝试
遗憾的是,当前权限无法查看my.ini文件内容。这表明该文件可能受到系统访问控制保护。
