系列文章
操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权
操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权
操作系统权限提升(九)之系统错误配置-泄露敏感信息提权
操作系统权限提升(十)之系统错误配置-计划任务提权
注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!
启动项提权
启动项提权原理
windows启动项目录下的脚本可以开机自启,利用这一个特性向上述的目录传入恶意的脚本达到提权的目的,前提是你当前的用户有对启动项目录或者启动项注册表的更改权限
提权环境
启动项文件夹如下
启动文件夹
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
然后对于启动项文件夹对用户赋予完全控制权限
启动注册表如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Run\ServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run\Oncel\Setup
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\Current\Version\Run\Once\Setup
HKEY_LOCAL_MACHINE\SOFT\WAREMicrosoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunOnce
HKEY_CURRENT_USER\SoftwarelMicrosoft\Windows\Current\Version\Run
HKEY_LOCAL_MACHINE\SOFT\WARE\Microsoft\Windows\Current\Version\Run
启动项提权实战
首先获取一个MSF或者CS的shell
查询文件夹权限
shell accesschk.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
发现我们普通用户组对该文件夹有RW权限
将恶意文件进行复制
shell copy 1.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
//copy 恶意文件 目标目录
等待管理员电脑重启获取SHELL,提权成功
