windows常用提权

windows常用提权：

本文主要讲解通过systeminfo信息的补丁查询，列出可用的exp，在webshell里使用提权exp对服务器进行提权，本次实验环境靶场来自于暗月(moonsec)师傅，文中内容全由个人理解编制，若有错处，大佬勿喷，个人学艺不精；本文中提到的任何技术都源自于靶场练习，仅供学习参考，请勿利用文章内的相关技术从事非法测试，如因产生的一切不良后果与文章作者无关。
使用systeminfo获取补丁信息：

/c systeminfo

将systeminfo信息复制到在线补丁信息查询网站：

知道了补丁情况，则可以使用对应的exp来进行提权，不过在此之前我们需要知道webshell可执行目录有哪些？
我们可以使用wt.aspx或wt.asp来进行检测：


知道可执行目录后，将exp文件下载放到可执行目录进行提权操作：
windows提权exp有很多，这里就只是讲解常用的三种，其余的exp，小伙伴们可自行尝试，方法大致相同。

CVE-2016-3225（MS16-075）提权

漏洞描述：
当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时，Microsoft 服务器消息块(SMB) 中存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。
若要利用此漏洞，攻击者首先必须登录系统。然后，攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序，从而控制受影响的系统。此更新通过更正 Windows 服务器消息块 (SMB) 服务器处理凭据转发请求的方式来修复此漏洞。
注：烂土豆(Rotten Potato)提权是一个本地提权，是针对本地用户的，不能用于域用户
下载文件链接：JuicyPotato
上传到webshell的可执行目录:

/c c:\windows\debug\WIA\JuicyPotato_x64.exe whoami

从这里可以看出已提升至管理员组权限，在此之前我们可以看出权限为iis组权限:

已是管理员组权限，同样就可以利用此文件来创建用户并提升至管理员组：

/c c:\windows\debug\WIA\JuicyPotato_x64.exe -a "net user Longwa 123456 /add && net localgroup administrators Longwa /add"

我们通过远程连接上此用户：

CVE-2014-4113 (MS14-058)提权

漏洞描述：
Microsoft Windows下的 win32k.sys是Windows子系统的内核部分，是一个内核模式设备驱动程序，它包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处理内存中的对象，则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序；查看、更改或删除数据；或者创建拥有完全管理权限的新帐户。
影响版本：
该漏洞影响所有Windows x64，包括Windows 7 和 Windows Server 2008 R2 及以下版本。
所以这里切换成windows2008R2主机来进行提权操作:

/c C:\windows\debug\WIA\win64.exe whoami

同样的可以利用此文件创建账号并提升管理员组：

CVE-2020-0787 本地提权

漏洞描述：
当Windows Background Intelligent Transfer Service (BITS)未能正确地处理符号链接时，存在权限提升漏洞。成功利用此漏洞的攻击者可以覆盖导致提升状态的目标文件。要利用此漏洞，攻击者首先必须登录到系统。然后，攻击者可以运行巧尽心思构建的应用程序，利用此漏洞并控制受影响的系统。
下载地址 :
CVE-2020-0787-EXP
漏洞复现：
因为此提权方法，需要弹出新的CMD窗口，无法在webshell上进行操作，故只能本地提权。
创建普通权限用户Long并切换登录：