如何利用弱NTFS权限

弱NTFS权限可以在目标环境中允许多种不同的攻击。这可能包括：

• 访问敏感信息
• 修改系统二进制文件和配置文件
• DLL劫持

这些是渗透测试人员通常可能会考虑的事情。然而，还有其他机会测试人员应该寻找，特别是当我们只有有限权限并希望在环境中提升或扩展该访问权限时。

以下方法在由于补偿控制而导致权限提升或横向移动受限的环境中非常有用。建议在使用此方法之前，先耗尽诸如密码喷洒和使用PowerUp等工具进行主机评估等技术。

了解了限制之后，我们在环境中寻找什么样的访问权限？在这种情况下，我们感兴趣的是能够写入可能让另一个用户（或扫描器）执行内容的位置。

通常，我们将寻找用于诸如漫游配置文件、文件夹重定向或用户主目录等解决方案的共享。对于前者，管理员配置这些解决方案是为了便于访问、备份个人用户内容以及支持远程访问和虚拟化。文件夹重定向可以使用组策略进行配置。如果您不熟悉，可以在以下URL找到更多详细信息：https://technet.microsoft.com/en-us/library/cc732275(v=ws.11).aspx

类似地，漫游配置文件可以在用户的Active Directory帐户设置中设置。通常指定一个网络共享，其中将存储所有用户的配置文件信息（而不是单个文件夹）。

再次，对于不熟悉的人，可以在以下URL找到更多详细信息：https://technet.microsoft.com/en-us/library/jj649079(v=ws.11).aspx

在同一个对话框中，我们可以看到指定用户主文件夹的字段。通常，这也是一个共享位置。然而，主文件夹可能不包含我们在下面概述的攻击中要针对的项目（快捷方式或互联网收藏夹），但如果我们有写入权限，它仍然是一个有价值的位置。

那么，一旦我们进入环境，如何找到这些敏感位置呢？“配置文件路径”和“主文件夹”属性可以由标准用户使用PowerView的Get-UserProperties命令进行查询，如HarmJ0y的这篇博客文章所述。

识别用于支持文件夹重定向的共享文件夹要困难一些。为了定位这些文件夹，必须搜索SYSVOL共享以查找文件夹重定向策略。也就是说，除非您使用的用户帐户应用了文件夹重定向。在这种情况下，您可以检查本文中描述的INI文件以确定文件夹重定向目标。

一旦在网络上识别出目标位置，可以使用PowerView的Invoke-ShareFinder命令或类似工具（使用CheckShareAccess开关）来确定可访问文件夹存在的位置。Invoke-ShareFinder的用法可以在HarmJ0y的以下博客文章中找到。

http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/ https://www.veil-framework.com/hunting-sensitive-data-veil-framework/

现在我们已经（希望）找到了可写位置，我们可以执行什么样的攻击？一些明显的攻击包括修改“我的文档”文件夹中常用访问的文件。这可能包括添加恶意宏，例如来自unicorn.py的PowerShell宏。

或者，我们可以使用像msfvenom这样的工具后门现有的可执行文件，如下所述。 https://www.offensive-security.com/metasploit-unleashed/backdooring-exe-files/

在这两种情况下，我们都希望用户执行内容，从而在环境中获得额外的会话和扩展的访问权限。

我们将探索一种不同的选项，而不是使用这些方法之一。此方法涉及使用Metasploit auxiliary/server/capture/smb模块。此模块用于通过恶意SMB服务器收集哈希以进行破解。模块的选项如下所示。

此Metasploit模块将在攻击者控制的主机上运行。IP地址和端口可以分别通过SRVHOST和SRVPORT选项设置。此外，模块可以配置为以Cain&Abel或John the Ripper格式的输出文件记录捕获的挑战响应事务，以供这两个工具之一使用。

设置模块选项后，攻击者必须执行run命令以启动服务器。然后，SMB服务器将在后台侦听，并在收到smb哈希并将其记录到指定的输出文件之一时报告。模块的执行和运行作业的显示如下所示。

最后，攻击者可以修改可写目录中的快捷方式或收藏夹，以使用户进行连接并将哈希传递给等待的Metasploit模块。例如，检查用户的收藏夹可能会显示类似下面的内容。

攻击者将正确的URL（http://www.bing.com）替换为攻击者的IP地址和适当的协议（file://172.16.189.131/）。然后，当目标用户执行选定的快捷方式或收藏夹时，他们的计算机自动尝试与服务器执行挑战响应身份验证。Metasploit在控制台显示这些尝试并将其记录到指定的输出文件。捕获输出如下所示：

然后，可以将生成的哈希传输到密码破解器以恢复用户的凭据。

应该注意的是，修改后的快捷方式将不再正常工作。然而，最终用户可能会忽略这一点。此外，修改后的文件可能会从执行经过身份验证的漏洞扫描的计划扫描器中捕获凭据。扫描帐户可能具有管理员权限，如果未使用强密码，则可能导致快速成功。