利用phpStudy绕过UAC提权

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

这篇文章主要记录的是笔者在一次实战测试中发现的一个小问题,就是可以直接利用目标主机已安装的phpStudy软件来绕过Windows10的UAC限制实现权限提升,事后也在本地机器和朋友@sin的机器上做了复现测试,都是可以成功利用的。


其他更多可用于绕过UAC的常用第三方软件和相关服务还有待挖掘,这应该也算是一种绕过思路吧!

本地测试环境信息:
操作系统:Windows 10教育版17134软件版本:phpStudy2018phpStudy安装路径:D:phpStudyphpStudy进程名:phpStudy.exehttpd.exenginx.exemysql.exe

0x02 绕过原理分析

因为管理员运行phpStudy.exe时已经在Windows UAC弹窗中允许执行了,httpd.exe自然也就继承了相应权限,就是说php环境是在已过UAC状态下运行的,所以也就不用再去绕过了,其实就与以管理员身份运行cmd.exe是一样的。
利用phpStudy绕过UAC提权

这里笔者用Everything软件来进一步验证,打开Everything时会先出现一个UAC弹窗,直接点击允许执行。
利用phpStudy绕过UAC提权

然后搜索cmd.exe文件并直接打开,无需以管理员身份运行,然后执行添加管理员用户命令时发现不会再出现“发生系统错误 5。拒绝访问。”
利用phpStudy绕过UAC提权

0x03 模拟实战测试

(1) 通过钓鱼或者其他方式得到一些个人PC主机权限,但由于开启Windows UAC,目前暂时没办法得到SYSTEM权限,更不用说抓取目标主机明文密码和添加管理员用户了

利用phpStudy绕过UAC提权


(2) 信息搜集时在返回的进程列表中看到有phpStudy.exe、httpd.exe进程,而且都不是以当前Shadow9用户运行的,这就说明它们的运行权限可能要高于Shadow9,如果是以当前登录用户运行的phpStudy.exe、httpd.exe进程时可能就不能利用了。
利用phpStudy绕过UAC提权

(3) 如果phpStudy.exe是以“非服务模式”运行的Apache和MySQL,那就不能用sc qc命令来查找路径,因为UAC权限问题也不能用wmic命令来查找进程路径,不过我们还可以用dir命令来列出phpStudy目录下httpd.exe、nginx.exe、mysql.exe等文件的所在路径。
wmic process where name="phpStudy.exe" get processid,name,executablepathfsutil fsinfo drivesdir D:httpd.exe /b/s

利用phpStudy绕过UAC提权


(4) 找到phpStudy路径后我们接着写一个php一句话木马进去,注意尖括号处的转义,然后中国菜刀连接后即可在虚拟终端内添加管理员用户,全程再无UAC拦截弹窗。
利用phpStudy绕过UAC提权


(5) 利用MSF中的hta_server模块成功得到目标会话,再使用Incognito扩展命令查看当前可用令牌中已有SYSTEM,这时再用getsystem命令即可将当前会话权限提升至SYSTEM。

利用phpStudy绕过UAC提权




只需在公众号回复“9527”即可领取一套HTB靶场学习文档和视频,1120领取安全参考等安全杂志PDF电子版1208领取一份常用高效爆破字典还在等什么?


推 荐 阅 读




利用phpStudy绕过UAC提权
利用phpStudy绕过UAC提权
利用phpStudy绕过UAC提权
利用phpStudy绕过UAC提权

本文始发于微信公众号(潇湘信安):利用phpStudy绕过UAC提权

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: