1. 轉(zhuǎn)儲SAM文件

1.1. 轉(zhuǎn)儲SAM文件是黑客在受攻擊的Windows系統(tǒng)上使用的一種技術(shù)，以獲得管理員權(quán)限

1.2. 被利用的主要弱點(diǎn)是將口令作為LAN Manager(LM)散列存儲在硬盤上

• 1.2.1. 這些口令可能用于普通用戶賬戶以及本地管理員和域管理員憑據(jù)

1.3. 一個(gè)常用的命令行工具是HoboCopy，它可以很容易地獲取硬盤上的安全賬戶管理器(Security Accounts Manager，SAM)文件

1.4. SAM文件非常敏感，因?yàn)樗鼈儼?jīng)過散列處理和部分加密的用戶口令

1.5. 訪問SAM文件的另一種方法是使用命令提示符手動找到它，然后將其復(fù)制到易于訪問的文件夾中

1.6. 一旦這些文件被轉(zhuǎn)儲，下一步就需要使用可以破解NTLM或LM散列的工具來破解它們

• 1.6.1. Cain&Abel工具通常在這個(gè)階段使用，它可以破解散列并以純文本形式給出憑據(jù)

• 1.6.2. 使用純文本憑據(jù)，黑客只需簡單地登錄到高權(quán)限的賬戶，如本地管理員或域管理員，就可以成功提升權(quán)限

2. 對Android系統(tǒng)進(jìn)行root操作

2.1. 出于安全原因，Android設(shè)備的功能有限

2.2. 人們可以通過對手機(jī)進(jìn)行root操作，訪問所有保留給特權(quán)用戶（如制造商）的高級設(shè)置

2.3. 對手機(jī)進(jìn)行root操作后，普通用戶就有了對Android系統(tǒng)的超級用戶權(quán)限

2.4. 這種級別的訪問權(quán)限可以用來突破制造商設(shè)置的限制，將操作系統(tǒng)改為另一種Android系統(tǒng)的變體，對啟動動畫進(jìn)行更改，并刪除預(yù)裝軟件，以及其他許多事情

3. 使用/etc/passwd文件

3.1. 在UNIX系統(tǒng)中，/etc/passwd文件被用來保存賬戶信息

• 3.1.1. 這些信息包括登錄到計(jì)算機(jī)的不同用戶的用戶名和口令組合

• 3.1.2. 該文件是經(jīng)過嚴(yán)格加密的，所以正常用戶通常可以訪問該文件而不必?fù)?dān)心安全問題

  • 3.1.2.1. 因?yàn)榧词褂脩艨梢栽L問它，他們也不能閱讀它

  • 3.1.2.2. 管理員用戶可以改變賬戶口令或測試一些證書是否有效，但他們也不能查看這些證書

  • 3.1.2.3. 有一些遠(yuǎn)程訪問工具(RAT)和口令破解軟件可以用來利用暴露的口令文件

3.2. 當(dāng)UNIX系統(tǒng)失陷后，黑客可以訪問/etc/passwd文件并將其轉(zhuǎn)移到另一個(gè)位置

• 3.2.1. 使用諸如Crack（使用字典攻擊）之類的密碼破解工具查找與/etc/passwd文件中密碼等效的明文密碼

• 3.2.2. 由于用戶的基本安全控制意識不足，一些用戶的密碼很容易被猜到

• 3.2.3. 字典攻擊能夠發(fā)現(xiàn)這樣的密碼，并將它們以明文的形式提供給黑客

  • 3.2.3.1. 黑客可以使用此信息登錄到具有root權(quán)限的用戶賬戶

4. 附加窗口內(nèi)存注入

4.1. 在Windows中，當(dāng)創(chuàng)建新窗口時(shí)，會指定一個(gè)窗口類來規(guī)定窗口的外觀和功能

• 4.1.1. 通常可以包括一個(gè)40字節(jié)的額外窗口內(nèi)存(Extra Window Memory，EWM)，它將被附加到類的每個(gè)實(shí)例的內(nèi)存中

• 4.1.2. 這40個(gè)字節(jié)用于存儲關(guān)于每個(gè)特定窗口的數(shù)據(jù)

• 4.1.3. EWM有一個(gè)API，用于設(shè)置/獲得它的值

4.2. EWM有足夠大的存儲空間來存放指向窗口過程的指針，這是黑客通常會利用的方法

• 4.2.1. 可以編寫共享特定進(jìn)程內(nèi)存的某些部分的代碼，然后在EWM中放置指向非法過程的指針

• 4.2.2. 可能會讓黑客訪問進(jìn)程的內(nèi)存，或者有機(jī)會以受害應(yīng)用程序提升后的權(quán)限運(yùn)行

4.3. 這種權(quán)限提升方法是最難檢測的，因?yàn)樗龅囊磺卸际菫E用系統(tǒng)功能

• 4.3.1. 檢測它的唯一方式是通過監(jiān)視可用于EWM注入的API調(diào)用，如GetWindowLong、SendNotifyMessage或其他可用于觸發(fā)窗口過程的技術(shù)

5. 掛鉤

5.1. 在基于Windows的操作系統(tǒng)中，進(jìn)程在訪問可重用的系統(tǒng)資源時(shí)使用API

• 5.1.1. API是作為導(dǎo)出函數(shù)存儲在DLL中的函數(shù)

• 5.1.2. 黑客可以通過重定向?qū)@些函數(shù)的調(diào)用來利用Windows系統(tǒng)

5.2. 用于在另一個(gè)進(jìn)程的特權(quán)上下文中加載惡意代碼的方式

• 5.2.1. 鉤子過程：攔截和響應(yīng)I/O事件（如擊鍵）?

• 5.2.2. 導(dǎo)入地址表掛鉤：可以修改保存API函數(shù)的進(jìn)程地址表

• 5.2.3. 內(nèi)聯(lián)掛鉤：可以修改API函數(shù)

• 5.2.4. 代碼將以更高的權(quán)限執(zhí)行

5.3. 掛鉤技術(shù)可能具有長期影響，因?yàn)樗鼈兛赡茉谛薷暮蟮腁PI函數(shù)被其他進(jìn)程調(diào)用時(shí)被調(diào)用

5.4. 黑客通常通過Rootkit執(zhí)行這些掛鉤技術(shù)，Rootkit可以隱藏反病毒系統(tǒng)能夠檢測到的惡意軟件行為

6. 計(jì)劃任務(wù)

6.1. Windows有一個(gè)任務(wù)計(jì)劃程序，可以在某個(gè)預(yù)定的時(shí)間段執(zhí)行一些程序或腳本

6.2. 如果提供了正確的身份驗(yàn)證，那么任務(wù)計(jì)劃程序?qū)⒔邮苓h(yuǎn)程系統(tǒng)計(jì)劃的任務(wù)

6.3. 在正常情況下，用戶需要擁有管理權(quán)限才能進(jìn)行遠(yuǎn)程執(zhí)行

• 6.3.1. 黑客通過使用此功能可以在入侵計(jì)算機(jī)后的特定時(shí)間執(zhí)行惡意程序或腳本

• 6.3.2. 可能會濫用計(jì)劃任務(wù)的遠(yuǎn)程執(zhí)行來運(yùn)行特定賬戶上的程序

• 6.3.3. 可以使用這些憑據(jù)來計(jì)劃擊鍵捕獲程序，使其在高級管理人員計(jì)算機(jī)上的某個(gè)特定時(shí)間運(yùn)行

  • 6.3.3.1. 將允許他們收集更有價(jià)值的登錄憑據(jù)，以訪問高級管理人員使用的系統(tǒng)

7. 新服務(wù)

7.1. 在啟動過程中，Windows操作系統(tǒng)會啟動一些執(zhí)行操作系統(tǒng)基本功能的服務(wù)

• 7.1.1. 通常是硬盤上的可執(zhí)行文件，它們的路徑通常存儲在注冊表中

7.2. 黑客已經(jīng)能夠創(chuàng)建自己的非法服務(wù)，并將其路徑放在注冊表中

• 7.2.1. 為防止被發(fā)現(xiàn)，黑客通常會偽裝服務(wù)的名稱，使其與合法的Windows服務(wù)名相似

• 7.2.2. 在大多數(shù)情況下，Windows以系統(tǒng)權(quán)限執(zhí)行這些服務(wù)

• 7.2.3. 黑客可以使用這些服務(wù)將管理權(quán)限提升為系統(tǒng)權(quán)限

8. 啟動項(xiàng)

8.1. 在蘋果計(jì)算機(jī)上，啟動項(xiàng)會在啟動期間執(zhí)行

• 8.1.1. 它們通常有配置信息，通知macOS使用哪個(gè)執(zhí)行順序

8.2. 保存啟動項(xiàng)的文件夾不能保證在較新版本的macOS中存在

• 8.2.1. 黑客仍然可以利用這一已被棄用的特性，因?yàn)樗麄兛梢栽趍acOS的啟動項(xiàng)目錄中創(chuàng)建必要的文

• 8.2.2. 該目錄是/library/startupitems，通常不受寫保護(hù)

8.3. 在啟動期間，操作系統(tǒng)將讀取啟動項(xiàng)文件夾并運(yùn)行列出的啟動項(xiàng)

• 8.3.1. 這些項(xiàng)將以root權(quán)限運(yùn)行，從而授予黑客未經(jīng)過濾的系統(tǒng)訪問權(quán)限

9. Sudo緩存

9.1. 在Linux系統(tǒng)上，管理員使用sudo命令將權(quán)限授予普通用戶，以便以root權(quán)限運(yùn)行命令

9.2. 通常引用/var/db/sudo文件來檢查最后一次sudo命令的時(shí)間戳和預(yù)期超時(shí)，以確定是否可以在不請求密碼的情況下執(zhí)行命令

9.3. 黑客可以利用sudo命令允許用戶發(fā)出命令而無須重新輸入密碼的時(shí)間量，他們通常在/var/db/sudo監(jiān)視每個(gè)sudo命令的時(shí)間戳

• 9.3.1. 允許他們確定時(shí)間戳是否仍在超時(shí)范圍內(nèi)

• 9.3.2. 在發(fā)現(xiàn)sudo沒有超時(shí)的情況下，他們可以執(zhí)行更多sudo命令，而不必重新輸入密碼

• 9.3.3. 這種類型的權(quán)限提升對時(shí)間敏感，而黑客可能沒有時(shí)間手動運(yùn)行它，因此通常會將其編碼為惡意軟件

• 9.3.4. 惡意軟件會不斷檢查/var/db/sudo目錄中sudo命令的時(shí)間戳

• 9.3.5. 在任何情況下，在已經(jīng)執(zhí)行sudo命令并且終端只要保持打開狀態(tài)時(shí)，惡意軟件就可以執(zhí)行黑客提供的命令，而且這些命令會以root權(quán)限執(zhí)行

10. 其他權(quán)限提升工具

10.1. 0xsp Mongoose v1.7

• 10.1.1. 使用0xsp Mongoose，你可以從收集信息階段開始，直到通過0xsp Web應(yīng)用程序API報(bào)告信息為止，掃描目標(biāo)操作系統(tǒng)是否存在權(quán)限提升攻擊

• 10.1.2. Privilege Escalation Enumeration Toolkit可用于Windows以及Linux(64/32)系統(tǒng)，而且速度很快

10.2. 0xsp Mongoose RED

• 10.2.1. 0xsp Mongoose RED版本同樣是厲害的工具，用于Windows

• 10.2.2. 0xsp Mongoose RED將能夠?qū)徍四繕?biāo)Windows操作系統(tǒng)的系統(tǒng)漏洞、錯(cuò)誤配置和權(quán)限提升攻擊，并復(fù)制網(wǎng)絡(luò)中高級對手的戰(zhàn)術(shù)和技術(shù)

• 10.2.3. 一旦安裝并執(zhí)行，該代理就可以通過使用Windows更新API(windows update api)和漏洞利用數(shù)據(jù)庫定義模塊(exploit database definition)幫助用戶發(fā)現(xiàn)和檢測Windows漏洞

10.3. Hot Potato

• 10.3.1. 一個(gè)權(quán)限提升工具，適用于Windows7/8/10和Server 2012/2016

• 10.3.2. 該工具利用已知的Windows問題來獲得默認(rèn)配置下的本地權(quán)限提升，即NTLM中繼和NBS欺騙

• 10.3.3. 將一個(gè)用戶從較低的級別提升到NT AUTHORITY\SYSTEM