利用Windows RpcSs服务进行提权

admin
admin
admin
138635
文章
114
评论
2021年4月13日21:00:50评论206 views字数 1600阅读5分20秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

这种提权方式在2020年8-9月时@sailay1996在他的Github就放出了EXP,当时测试这个EXP时发现只能用于本地测试,无法在实战场景中应用(能力有限,不会编写),网上的复现文章也都是在本地测试的。

昨天好友@Arenid给我投稿了这种提权方式的复现文章,又花了点时间重新看了一遍,根据他的文章补充了在实战场景中的

0x02 RpcSs服务简介

服务名称:RpcSs;
显示名称:Remote Procedure Call (RPC);
启动类型:默认为自动开启状态
服务描述:RPCSS服务是COM和DCOM服务器的服务控制管理器。它执行COM和DCOM服务器的对象激活请求、对象导出程序解析和分布式垃圾回收。如果此服务被停用或禁用,则使用COM或DCOM的程序将无法正常工作。强烈建议你运行RPCSS服务。

利用Windows RpcSs服务进行提权


0x03 EXP本地测试

这个提权EXP可以将当前Network Service/Administrator权限提升为SYSTEM权限。


将下载EXP里的exe和dll文件放在同一目录下执行即可,exe会加载dll中的payload进行攻击得到SYSTEM。


EXP下载地址:

https://github.com/sailay1996/RpcSsImpersonator
利用Windows RpcSs服务进行提权


这个EXP在实战中无法直接利用,因为在Network Service的Webshell下执行这个EXP时是没有任何回显的,也并不是交互的问题,尝试了在交互式cmd/powershell执行,结果都是一样的。

利用Windows RpcSs服务进行提权


0x04 实战场景应用

通过谷歌搜索相关资料得知Metasploit已将@sailay1996提到的RpcSsImpersonator权限提升技术移植到了getsystem命令中,具体详情可查看底部的参考链接。
利用Windows RpcSs服务进行提权
0 : All techniques available                  //所有可用技术1 : Named Pipe Impersonation(In Memory/Admin) //命名管道模拟(在内存/管理员中)2 : Named Pipe Impersonation(Dropper/Admin)   //命名管道模拟(Dropper/Admin)3 : Token Duplication(In Memory/Admin)        //令牌复制(在内存/管理员中)4 : Named Pipe Impersonation(RPCSS variant)   //命名管道模拟(RPCSS变体)
利用Windows RpcSs服务进行提权

由于利用过程过于简单就不再详细写了,大致测试环境和权限如下:

  • 测试系统:Windows Server 2012/2016

  • 当前权限:nt authoritynetwork service


首先我们先利用Metasploit攻击载荷得到network service权限会话,然后直接执行getsystem命令即可得到SYSTEM权限。

利用Windows RpcSs服务进行提权

0x05 参考链接

http://batcmd.com/windows/10/services/rpcss/

https://github.com/rapid7/metasploit-payloads/pull/431

https://github.com/rapid7/metasploit-framework/pull/14030



只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频,1120”获取安全参考等安全杂志PDF电子版,1208”获取个人常用高效爆破字典0221”获取2020年酒仙桥文章打包还在等什么?赶紧关注学习吧!

推 荐 阅 读




利用Windows RpcSs服务进行提权
利用Windows RpcSs服务进行提权
利用Windows RpcSs服务进行提权

欢 迎 私 下 骚 扰



利用Windows RpcSs服务进行提权

本文始发于微信公众号(潇湘信安):利用Windows RpcSs服务进行提权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月13日21:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用Windows RpcSs服务进行提权https://cn-sec.com/archives/333273.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息