内网渗透第四天!!!冲冲冲!!怎么绕过uac以及你会dll劫持???不安全的服务路径以及服务权限,你会吗???

已于 2024-07-05 18:59:10 修改
阅读量1.1k 收藏 19
点赞数 39
分类专栏: 权限提升 文章标签: 安全 学习 web安全 网络安全 权限提升 黑客 内网渗透
于 2024-07-02 22:38:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloKittywz/article/details/140134408
版权

在第三天我们简单的说了一下绕过uac,但是我们使用的msf模块ask要对方管理员跟我们一起来进行操作,才可以进行提权的操作,这点就限制住了我们。我们今天来讲一下不用钓鱼的绕过的操作。

绕过uac:

使用uacme项目和msf联动来进行绕过,项目绕过的模块更多。

要使用vs studio进行编译才可以使用。下面主要演示的使用msf内置模块进行绕过的操作。

我们不一定要使用msf的ask模块,因为它实现的要求比较的严格了,msf里面内置了比较的多的模块,我们下面可以使用下面的2种模块来进行绕过的操作:

use exploit/windows/local/bypassuac_sluihijack

use exploit/windows/local/bypassuac_silentcleanup

然后我们来看看我本地实现的例子:还是win10 IP 192.168.163.135

然后kail  ip  192.168.163.131

前面的生成木马我们就不演示了,然后我们这个情况是在取得了webshell权限的,或者取得了对方的普通用户的权限的情况下,进行的权限提升操作。

 

这里开启了监听的功能,然后我们在等待上线。然后我们在看看现在是什么权限

然后我们在直接使用提权看看可以不???

现在发现不能进行提权的操作,然后我们使用模块bypass也是绕不过的。我们在使用上面说的2个模块来进行操作,我下面就演示其中一种的操作:

上面的模块没有成功我们换一个来进行操作:下面这点也是成功了,我们在来进行验证的操作

 

dll劫持:

 dll是什么??说简单一点就是windows的动态链接库,也就是你一个程序要执行的时候,它会给你去找其他的文件一起来执行。

dll文件在Windows中是动态链接库的文件,然后在liunx中是.so文件

在mysql的udf提权的时候就使用到了dll文件,我们利用msf来进行写入dll文件到lib/public文件夹下面去

 然后我们要找第三方软件的来的来进行操作:

我们在win10上面来看看先生成了一下dll文件

然后我们在进行下一步操作,找我们要更换的文件看看

找了半天看到这个来试试看行不行

现在已经换成了我们的后门文件我们先来监听看看行不行

这点我换了这个dll文件程序就跑不起来了,我也不知道换什么文件可以进行,大概原理就是这样,我们在进行测试的时候,自己在本地下一个与我们目标机器一样的版本或者相近的,然后在本地测试然后可以使用过后的上传到目标机器进行操作。我这就不演示了。

 不安全的服务路径:

什么是不安全的服务路径,也就是说我们的路径里面的地址在服务中没有被双引号包含并且有空格,这点就是不安全的服务路径。我们没有被包含的话,我们系统会把空格之前的当作程序进行执行,然后后面的就相当于是参数。

然后我们就需要把我们的后门程序换成空格之前的一样的名字就行了,然后在把原来的文件进行上传,换成我们的后门程序来进行操作。我们可以使用命令也可以使用powershell脚本

来进行找,如果靠我们自己来查看的话,就太麻烦了。

wmic service get name,displayname,pathname,startmode |findstr /i "Auto"|findstr /i /v "C:\Windows\\" |findstr /i /v """这个是windows自带的命令来进行操作的。看你会因为权限问题导致执行不了

或者使用github上面的项目jaws来进行操作

这里就找到了我们要的服务。然后在自己手工判断一下是不是没有空格

使用脚本来得到的也是一样的

然后我们找到了我们符合我们条件的服务路径过后,我们在进行下一步的操作。

我举一个例子:

比如说

c:/cheshi /mysql/index.exe这个路径的话

我们就可以构造一个

cheshi.exe的后门文件  然后把当前目录的cheshi给删除掉,在上传我们的后门文件进行替换

这样我们在进行服务重启的就可以执行我们的后门文件,我们就可以得到system的权限了。

使用jaws脚本来看看有没有不安全的服务路径来进行的操作:

我们在根据服务的路径更换我们想要的程序名字然后放在当前的文件中去。

虚拟机里面跑出来是没有不安全的路径的,现在我先写完大概的流程。后面可以实现了我在进行修改文章的操作。现在就不给大家看提权的操作了,大概的流程就是我说的那样来进行提权的操作。

下面我们来看看最后一个提权的方法:

不安全的服务权限:

我们先来解释一下这2个的区别:

上面的那个是不能进行修改服务的路径的

而不安全的服务权限是可以修改服务路径的,这样一说大家就知道了,我们该怎么办了吧。

就是修改一个服务的路径,改为我们服务程序的路径,然后重启服务,这样我们就进行了提权的操作,不知道大家有没有明白我说的这个情况。一个是不能修改路径一个是可以修改路径我们把服务路径改成自己的后面服务路径,这样就可以提权操作了。

大家要搞清楚这2者之间的区别。

使用命令如下: 

更改路径的操作命令

sc config "名字" binpatch="路径"

sc start 名字 启动服务来进行操作

 然后我们就进行监听就可以看见权限得到了提升的操作。

helloKittywz
关注
  • 39
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win7下绕过UAC代码
12-07
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM); void RefreshProcs(HWND hWnd); int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { g_hInstance = hInstance; UNREFERENCED_PARAMETER(hPrevInstance); UNREFERENCED_PARAMETER(lpCmdLine); // Init base Windows services etc. { INITCOMMONCONTROLSEX icce = {0}; icce.dwSize = sizeof(icce); icce.dwICC = ICC_STANDARD_CLASSES; if (!InitCommonControlsEx(&icce)) { MessageBox(NULL, L"InitCommonControlsEx failed", L"Win7Elevate", MB_OK | MB_ICONERROR); return 0; }
UACWhitelistTool::page_with_curl:UAC白名单小工具!
02-04
如果您为了安全而不想完全关闭UAC,但是又觉得每次运行一些必须以管理员身份运行的软件时UAC提示很烦,那么你就可以用UAC白名单小工具把这些软件添加到UAC白名单中。下次运行这些软件时,就不提示UAC了,而且软件...
关于父进程和子进程的关系(UAC 绕过思路)
weixin_34288121的博客
04-14 930
      表面上看。在windows中。假设是a进程创建了b进程,那么a进程就是b进程的父进程。反之,假设是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序员们都证实的,可是在在win Vista后面有了一个新安全消息机制。UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全...
UAC学习之路
weixin_42282189的博客
12-31 633
作者: Crlt_TT豆 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 什么是uacUAC 用于允许管理员用户不对每个执行的进程授予管理员权限这是作为管理员UAC提升执行,如果成功完成,特权令牌用于创建进程。 这里为了区分低权限权限的进程,微软使用了强制性完整性控制MIC MIC介绍 查看自己当前的完整性级别 whoami /groups 接下来我们以该级别创建一个文件 现在我们以管理员cmd给予test.txt最高的系统权限 可以看见我们对该文件是有.
绕过UAC提权
weixin_45007073的博客
05-31 1056
UAC提权简介UAC授权操作UAC的设置要求bypassuac模块RunAs模块Invoke-PsUACme模块 简介 UAC是微软为提高系统安全性中引入的技术。UAC要求用户在执行可能影响计算机运行的操作或者在进行可能影响其他用户的设置之前,拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证,以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行修改。 微软设置的安全控制策略,分为高、中、低三个等级。高等级的进程有管理员权限;中等级的进程有普通管理员权限;低等
UacBypass:一个演示使用IFileOperation和dll劫持绕过Windows 10默认UAC配置的演示
05-16
一个演示使用IFileOperation和dll劫持绕过Windows 10默认UAC配置的演示。 除非您完全了解代码的用途,否则请勿使用此功能 要求 启用了UAC的管理员帐户。 UAC级别设置为默认值。 已在Windows 10.10240(英语)x86 ...
DccwBypassUAC:Windows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
02-06
《DccwBypassUAC:Windows 8.1与10 UAC绕过技术解析——基于"dccw.exe"的WinSxS利用》 在网络安全领域,了解并掌握系统漏洞利用技术至关重要,尤其是针对操作系统核心组件的利用。本文将深入探讨一个名为...
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,
08-21
本知识分享主要探讨了如何进行内网安全的攻防,特别是如何绕过用户账户控制(UAC)进行提权操作,以及相应的防范措施。 首先,用户账户控制(UAC)是Windows操作系统中的一个重要安全特性,它的主要目的是限制非...
内网渗透讲义
03-22
### 内网渗透讲义知识点解析 #### 0x00 概述 - **内网定义**: 内网指的是局域网(Local Area Network, LAN),由多台计算机通过网络互连而成,覆盖范围通常在几千米以内。它可以提供文件管理、应用软件共享、打印机...
64位下绕过UAC源代码
04-28
64位下绕过UAC源代码,32位下可以自己调整工程设置
可以绕过 Windows UAC
langshanglibie的专栏
01-31 1582
Windows 系统安全机制并非固若金汤。通过 COM 提升名称方法,程序可以绕过其核心安全机制 UAC 而获取到系统管理员权限
BypassUAC------巧用COM接口IARPUninstallStringLauncher绕过UAC
moonhillcity的博客
10-20 880
参考freebuf文章: http://www.freebuf.com/articles/system/116611.html
matesploit提权绕过UAC
简单查找漏洞
10-17 706
学习matesploit的过程,遇到很多问题,一些问题花了好长时间,看了许多的大佬的文章才得到解决,唯恐以后自己忘记,同时希望有遇到同样问题的朋友碰巧看到而得到解决。(大佬搬运工) 1 启动postgresql数据库,然后启动msf 2 制作windows后门payload,msfvenom -p windows/meterpreter/reverse_tcp lhost=本机ip lport...
域普通用户下安全允许的软件绕过UAC的办法
时节米的博客
08-14 7853
起因: 原来域组策略中测试设置了。 用户帐户控制: 以管理员批准模式运行所有管理员 已启用 用户帐户控制: 管理员批准模式中管理员的提升权限提示行为不提示,直接提升 测试多次,可以满足,公司所有软件正常运行。需安装软件、修改系统设置时跳出输入凭证框。如图(注意看此图是需要输入用户名及密码的,跟下面的图有不同之处): 某天修改组策略,以允许域普通用户或以自行添加打印机及加载打印机驱动。修改完成后,然...
UAC 实现原理及绕过方法
子曰小玖的博客
08-14 3045
0x00 UAC 工作流程 UAC 是微软在 Windows Vista 以后版本引入的一种安全机制, 通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 https://msdn.microsoft.com/en-us/library/bb384608.aspx 从图上可以看到,如果要获取管理员权限,通过的路径有以下几条: 1,进程已经拥有管理权限控制; 2
权限提升-Win系统权限提升篇&计算机用户&UAC绕过&DLL劫持&未引号路径
最新发布
siu~
03-27 906
1、计算机用户到System-入口点和应用点 2、计算机用户到System-UAC绕过&DLL劫持&未引号服务 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
内网安全攻防:UAC提权分析与防范
然而,UAC并不是不可绕过的,攻击者可能寻找漏洞来规避这一控制。 在教程中,通过nmap工具扫描发现并利用MS08-067漏洞,攻击者可以在目标系统上获得初步的shell权限。接着,通过Runas模块和bypassuac模块,攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值