如何利用薄弱的NTFS权限

薄弱的NTFS权限可能导致目标环境中多种攻击，包括：

这些是渗透测试人员通常会考虑的攻击方式。然而，当我们只有有限权限时，还有其他机会可以寻找，尤其是在权限提升或横向移动受到限制的环境中。

方法适用场景

该方法适用于因补偿控制而导致权限提升或横向移动受限的环境。建议在使用此方法前，先尝试密码喷洒和使用PowerUp等工具进行主机评估。

我们需要在环境中寻找哪些类型的访问权限？在这种情况下，我们关注的是能够写入可能让其他用户（或扫描器）执行内容的位置。

通常，我们会寻找用于漫游配置文件、文件夹重定向或用户主目录的共享。管理员配置这些解决方案是为了便于访问、备份个人用户内容以及支持远程访问和虚拟化。

文件夹重定向可以通过组策略配置。更多详情可参考：微软Technet文档

漫游配置文件可以在用户的Active Directory账户设置中配置。通常会指定一个网络共享来存储所有用户的配置文件信息。

更多详情可参考：微软Technet文档

在同一对话框中，我们可以看到指定用户主文件夹的字段。主文件夹通常也是一个共享位置，但可能不包含我们攻击目标中的项目（如快捷方式或收藏夹），但如果具有写入权限，仍然是一个有价值的位置。

一旦进入环境，如何找到这些敏感位置？可以使用PowerView的Get-UserProperties命令来查询"Profile Path"和"Home Folder"属性。

定位用于文件夹重定向的共享文件夹更为困难。需要搜索SYSVOL共享以查找文件夹重定向策略，除非使用的用户账户已应用文件夹重定向。此时，可以检查相关INI文件以确定文件夹重定向目标。

使用PowerView的Invoke-ShareFinder命令（带CheckShareAccess开关）或类似工具可以确定可访问文件夹的位置。使用方法可参考以下博客：

找到可写位置后，可以执行哪些攻击？一些明显的攻击包括修改"My Documents"文件夹中的常用文件，例如添加恶意宏（如unicorn.py生成的PowerShell宏）。

或者，可以使用msfvenom等工具后门现有可执行文件，如Offensive Security文档所述。

这两种方法都希望用户执行内容，从而在环境中获得额外的会话和扩展访问权限。

我们将探索另一种方法：使用Metasploit的auxiliary/server/capture/smb模块。该模块用于通过恶意SMB服务器收集哈希以进行破解。

模块选项包括：

设置模块选项后，执行run命令启动服务器。SMB服务器将在后台监听，并在收到SMB哈希时报告并将其记录到指定的输出文件。

攻击者可以修改可写目录中的快捷方式或收藏夹，使用户连接到恶意服务器并传递哈希。例如，检查用户的收藏夹可能会发现类似以下内容：

攻击者将正确的URL（如http://www.bing.com）替换为攻击者的IP地址和适当协议（如file://172.16.189.131/）。当目标用户执行修改后的快捷方式或收藏夹时，计算机会自动尝试与服务器进行挑战响应身份验证。

Metasploit会在控制台显示这些尝试并将其记录到指定的输出文件。捕获的哈希可以传输到密码破解工具以恢复用户凭据。

修改后的快捷方式将无法正常工作，但这可能会被最终用户忽略。此外，修改后的文件可能会从执行认证漏洞扫描的扫描账户捕获凭据。如果扫描账户具有管理员权限且未使用强密码，可能会快速获得成功。