利用phpStudy绕过UAC提权

admin

101400
文章

87
评论

2021年5月14日02:55:42评论166 views字数 1448阅读4分49秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言

这篇文章主要记录的是笔者在一次实战测试中发现的一个小问题，就是可以直接利用目标主机已安装的phpStudy软件来绕过Windows10的UAC限制实现权限提升，事后也在本地机器和朋友@sin的机器上做了复现测试，都是可以成功利用的。

其他更多可用于绕过UAC的常用第三方软件和相关服务还有待挖掘，这应该也算是一种绕过思路吧！

本地测试环境信息：

操作系统：Windows 10教育版17134软件版本：phpStudy2018phpStudy安装路径：D:phpStudyphpStudy进程名：phpStudy.exe、httpd.exe、nginx.exe、mysql.exe等

0x02 绕过原理分析

因为管理员运行phpStudy.exe时已经在Windows UAC弹窗中允许执行了，httpd.exe自然也就继承了相应权限，就是说php环境是在已过UAC状态下运行的，所以也就不用再去绕过了，其实就与以管理员身份运行cmd.exe是一样的。

这里笔者用Everything软件来进一步验证，打开Everything时会先出现一个UAC弹窗，直接点击允许执行。

然后搜索cmd.exe文件并直接打开，无需以管理员身份运行，然后执行添加管理员用户命令时发现不会再出现“发生系统错误 5。拒绝访问。”。

0x03 模拟实战测试

(1) 通过钓鱼或者其他方式得到一些个人PC主机权限，但由于开启Windows UAC，目前暂时没办法得到SYSTEM权限，更不用说抓取目标主机明文密码和添加管理员用户了。

(2) 信息搜集时在返回的进程列表中看到有phpStudy.exe、httpd.exe进程，而且都不是以当前Shadow9用户运行的，这就说明它们的运行权限可能要高于Shadow9，如果是以当前登录用户运行的phpStudy.exe、httpd.exe进程时可能就不能利用了。

(3) 如果phpStudy.exe是以“非服务模式”运行的Apache和MySQL，那就不能用sc qc命令来查找路径，因为UAC权限问题也不能用wmic命令来查找进程路径，不过我们还可以用dir命令来列出phpStudy目录下httpd.exe、nginx.exe、mysql.exe等文件的所在路径。

wmic process where name="phpStudy.exe" get processid,name,executablepathfsutil fsinfo drivesdir D:httpd.exe /b/s

利用phpStudy绕过UAC提权

(4) 找到phpStudy路径后我们接着写一个php一句话木马进去，注意尖括号处的转义，然后中国菜刀连接后即可在虚拟终端内添加管理员用户，全程再无UAC拦截弹窗。

(5) 利用MSF中的hta_server模块成功得到目标会话，再使用Incognito扩展命令查看当前可用令牌中已有SYSTEM，这时再用getsystem命令即可将当前会话权限提升至SYSTEM。

只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频，“1120”领取安全参考等安全杂志PDF电子版，“1208”领取一份常用高效爆破字典，还在等什么？

推荐阅读

本文始发于微信公众号（潇湘信安）：利用phpStudy绕过UAC提权

左青龙
微信扫一扫

右白虎
微信扫一扫

利用phpStudy绕过UAC提权

PentestDB各种数据库的利用姿势

干货 | 支付金额类漏洞挖掘技巧总结

记一次价格500rmb的短信轰炸

【相关分享】内网信息收集

如何构建自己的自定义 C2 框架

如何使用CsWhispers向C#项目添加DInvoke和间接系统调用方法

深信服防火墙AF策略路由如何配置？

【OSCP】gigachad

CVE-2024-0015复现 (DubheCTF DayDream)

《生成式人工智能服务安全基本要求》原文参阅

发表评论

在线咨询

微信