windows提权

news2024/11/18 4:27:08

权限提升概述

1、提权介绍

权限提升:攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制,提权至高权限的管理员用户,从而获取对整个系统的控制权

windows:user --> system/administrator

linux:user --> root

2、提权分类

本地提权:在一个地权限用户下,通过一些条件(应用程序漏洞、系统漏洞等)直接提升到系统最高权限。

远程提权:攻击者通过漏洞利用程序直接获取远程服务器的权限

操作系统提权:

windows:ms06-067、ms10-084、ms11-014、ms11-05等等

linux:cve-2017-7308、cve-2017-6074、cve-2017-5123等等

应用程序提权:Seru-u、SQL server、Mysql、Qracle、Java、IE

3、提权条件

拥有webshell,普通用户权限

拥有某些软件的账号密码

本地或远程服务器上存在漏洞

拥有漏洞利用工具代码

4、windows提权思路

前期信息搜集

meterpreter提权

windows系统内核漏洞

windows服务漏洞

windows注册表

windows提权信息收集

提权工具脚本:

PottenPato:将服务账户本地提权至SYSTEM

Origin Potato:

https://github.com/foxglovesec/Potato

RottenPotato & JuicyPotato:

GitHub - ohpe/juicy-potato: A sugared version of RottenPotatoNG, with a bit of juice, i.e. another Local Privilege Escalation tool, from a Windows Service Accounts to NT AUTHORITY\SYSTEM.

RoguePotato:

GitHub - antonioCoco/RoguePotato: Another Windows Local Privilege Escalation from Service Account to System

SweetPotato:

GitHub - CCob/SweetPotato: Local Service to SYSTEM privilege escalation from Windows 7 to Windows 10 / Server 2019

得到最高权限我们可以使用令牌攻击:

内网渗透之Token令牌窃取_Mauro_K的博客-CSDN博客

可能有些人会有这样的疑问

窃取token有什么用呢,我都已经使system权限了为什么还要窃取?

窃取 token 的主要目的是为了获取访问受限资源的权限。即使您已经使用了系统权限,但有些敏感操作可能仍需要特定的 API 或操作权限才能完成,例如访问某些加密的数据、进行特定的系统配置和管理等。

windows系统内核漏洞提权

检查windows版本是否有任何以知的漏洞

systeminfo 
wmic qfe get Caption,Description,HotFixID,InstalledOn

列出所有补丁:

Get-WmiObject -Class "Win32_QuickFixEngineering" | Select-Object "Description", "HotFixID", "InstalledOn"

msf利用:

post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester

windows内核提权脚本汇集:

https://github.com/SecWiki/windows-kernel-exploits/

提权辅助网站:

提权辅助网页 Windows提权辅助

windows系统服务漏洞提权

可信任服务路径:

存在缺陷的服务程序利用属于可执行文件的文件/文件夹权限,windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径的时候也会以系统权限进行解析。如果我们能利用这一特性就有机会提升权限。

例子:

C:\Program Files
C:\Program.exe

1、这是一个 Windows 命令行命令,用于列出在自动启动模式下运行的非 Windows 系统服务和应用程序

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

2、查找对有漏洞的目录是否有写入权限

icacls "C:\Windows\System32"

F=完全控制

Cl=容器继承–此标志指示从属容器将继承此ACE

OI = Object Inherit-这个标志表示从属文件将继承ACE

3、我们生成一个exe的反弹shell,找到有空格的路径,然后将其改为空格前的名称,例如上面的Program.exe

不安全服务权限:

Windows系统服务文件在操作系统启动时会加载执行,并且在后台调用可执行文件。

JAVA升级程序,每次重启系统时,JAVA升级程序会检测Oracle网站,是否有新版JAVA程序。

Windows系统服务文件在操作系统启动时会加载执行,并且在后台调用可执行文件。
JAVA升级程序,每次重启系统时,JAVA升级程序会检测Oracle网站,是否有新版JAVA程序。
而类似JAVA程序之类的系统服务程序加载时往往都是运行在系统权限上的。所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限,那么就可以将其替换成我们的恶意可执行文件,从而随着系统启动服务而获得系统权限。

1、利用accesschk工具检查易受攻击的服务:

accesschk64.exe -ucqv "Authenticated Users" * /accepteula
services_all_access

2、查看可完全控制的服务的属性

sc qc Acunetix

3、修改服务配置执行命令

BINARY_PATH_NAME参数指向了该服务的可执行程序的路径

不安全的注册表权限:

直接修改服务的"ImagePath"注册表值,而不是修改服务属性。

检查注册表项的权限:subinacl.exe

如果对注册表有写入权限,我们可以通过编辑ImagePath值来更改此服务的可执行路径,直接修改服务的"ImagePath"注册表值,而不是修改服务属性。

reg add ""

不安全的文件夹/文件夹权限

这与我们引用服务路径所做的非常相似。无引号的服务路径利用了"CreateProcess"功能的弱点,任务的可执行文件路径的文件夹权限。但是在这里我们将尝试直接替换可执行文件

icacls ""

Always Install Elevated

Alwaysinstallelevated是一个策略设置,当在系统中使用WindowsInstall安装任何程序时,该参数允许非特权用户以system权限运行MSI文件。如果目标系统上启用了这一设置,我们可以使用msf生成msi文件来以system权限执行任意payload。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/545416.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ASEMI代理Infineon英飞凌IPB072N15N3G原厂MOS管

编辑-Z IPB072N15N3G参数描述: 型号:IPB072N15N3G 持续漏极电流:100A 脉冲漏极电流:400A 雪崩能量,单脉冲:780 mJ 栅极-源极电压:20V 功率耗散:300W 操作和储存温度&#xf…

Voxformer代码 DataLoader 的编写

Stage 1: 目标是 使用QPN 生成 Occupancy Field 读取 需要读取 pseudo 的 vox_path 实际的 test 发生在 lmsnet.py 这个文件 input :25625632 的 pseudo point output: 12812816 的 Occupancy Grid 代码中 实际inference 的输入是 img_metas[0]["pseudo_pc"] 因此…

算法小课堂(十)随机化算法

目录 一、概述 1.1概念 1.2分类 二、数值随机化算法 2.1随机数 2.2用随机投点法计算Π值 2.3随机投点法计算定积分 三、舍伍德(Sherwood)型随机化算法 3.1随机洗牌算法 3.2随机快速排序:随机选择枢点的快速排序算法 3.3找出这n个元素…

STL——string类的模拟实现

0.关注博主有更多知识 C知识合集 目录 1.编码问题 2.string类概述 2.6习题练习 3.string类的模拟实现 3.1成员变量 3.2迭代器部分 3.3类的默认成员部分 3.4容量接口 3.5增删查改接口 3.6通用接口 3.7输入与输出 3.8完整代码 1.编码问题 实际上在我们接触C之前就…

SpringBoot入门(构建、打包、启动、起步依赖starter)

文章目录 1 SpringBoot快速入门1.1 开发步骤步骤1 创建新模块步骤2 创建 Controller步骤3 启动服务器步骤4 进行测试 1.2 对比1.3 官网构建工程步骤1 进入SpringBoot官网步骤2 选择依赖步骤3 生成工程 1.4 SpringBoot工程快速启动1.4.1 问题导入1.4.2 打包1.4.3 启动 2 SpringB…

OverTheWireBandit教程(1-10)

这个网站还挺好玩的于是我就抽点时间做了一下 OverTheWire的登录网址:OverTheWire: Bandit 本人用的是远程连接软件mobaxterm,windows自带的ssh版本不对用不了 Bandit Level 0 Level Goal The goal of this level is for you to log into the game usi…

使用ASM直接生成字节码的方法

ASM是一套java字节码分析/生成/修改的工具,它能够在java程序运行时直接修改java字节码文件,换句话说它能够直接修改java的二进制文件;也能够跳过编译直接生成字节码文件。所以ASM功能非常强大,对于代码性能提升、代码问题定位都非…

【技术】《Netty》从零开始学netty源码(六十)之ByteToMessageDecoder

ByteToMessageDecoder 在Netty中用于拆包的解码器都继承了抽象类ByteToMessageDecoder,它的类结构如下: 从中可以看出它其实就是一个handler,只要添加到pipeline中channel每次读取数据的时候都会得到解析,它的数据结构如下&#…

业绩涨,股价不涨,蓝思科技深陷「果链困局」

作者 | 辰纹 来源 | 洞见新研社 曾经的女首富,蓝思科技董事长周群飞很困惑,公司业绩明明还算不错,可股价却怎么也涨不起来,距离市值2000亿的顶点更是遥遥无望。 根据不久前(4月23日)蓝思科技发布的2022年…

Mybatis中处理特殊SQL处理逻辑

文章目录 0、前言1、模糊查询2、动态表名3、获取自增的组件4、批量删除 0、前言 在MyBatis中可能会有一些特殊的SQL需要去执行,一般就是模糊查询、批量删除、动态设置表名、添加功能获取自增的主键这几种,现在分别来进行说明。 为了方便演示 &#xff0…

强化学习路线规划之深度学习代码练习预备

前面已经练习过神经网络的相关代码,其实弄明白了你会发现深度学习其实是个黑盒,不论是TensorFlow还是pytorch都已经为我们封装好了,我们不需要理解深度学习如何实现,神经网络如何计算,这些都不用我们管,可能…

一看就懂之与栈结构(FILO)相对的——队列结构(FLFO)

文章目录 一、什么是队列,什么是FIFO二、使用C模拟实现以及解析队列1.结构体的定义2.队列的创建及销毁3.实现插入操作4.队列删除操作5.获取栈中有效元素个数以及头元素尾元素 源代码分享 一、什么是队列,什么是FIFO ​ 队列允许在一端进行插入操作&…

微服务之以nacos注册中心,以gateway路由转发服务调用实例(第一篇)

实现以nacos为注册中心,网关路由转发调用 项目版本汇总项目初始化新建仓库拉取仓库项目父工程pom初始化依赖版本选择pom文件如下 网关服务构建pom文件启动类配置文件YMLnacos启动新建命名空间配置网关yml(nacos)网关服务启动 用户服务构建pom文件启动类配置文件YML新增url接口配…

[网鼎杯 2020 青龙组]jocker 题解

32位无壳 堆栈有问题 先修堆栈在反编译 查看关键函数 对输入的字符串进行了加密 加密之后omg函数中与存储的字符串进行比较 我们先解密这个 提取数据 解密脚本 data[0x66,0x6b,0x63,0x64,0x7f,0x61,0x67,0x64,0x3b,0x56,0x6b,0x61,0x7b,0x26,0x3b,0x50,0x63,0x5f,0x4d,0x5…

javascript基础二:Javscript字符串的常用方法有哪些?

在日常开发中,我们对字符串也是操作蛮多,这里我们来整理下字符串的一下最常用的方法 一、操作方法 字符串常用的操作方法归纳为增、删、改、查 增 这里增的意思并不是说直接增添内容,而是创建字符串的一个副本,再进行操作 除了…

Python实战基础9-元组、字典、集合

一、元组 Python的元组与列表类似,不同职称在于元组的元素不能修改。元组使用(),列表使用[]。 Python的元组与列表类似,不同之处在于元组的元素不能修改(增删改), 元组使用小括号()…

VuePress 1.x 踩坑记录

文章目录 前言1.Node.js 版本问题2.侧边栏3.添加页面目录导航4.非首页 footer 不生效5.部署到 Github 的错误vuepress 的 docs 与 Github Pages 的 docs 目录冲突样式丢失 7.资源引用问题本地图片找不到引用 CSDN 图片报 403 错误 参考文献 前言 我的第二本开源电子书《后台开…

被问了100遍的 堆的基本功能如何实现? 绝了!!!

文章目录 堆的介绍堆的概念堆的结构 堆的向下调整算法建堆的时间复杂度 堆的向上调整算法堆的基本功能实现初始化堆打印堆堆的插入堆的删除获取堆顶的数据获取堆的数据个数堆的判空销毁堆 堆的介绍 堆的概念 堆:如果有一个关键码的集合K{k0,k1,k2,…,kn-1}&#x…

计算机图形学-GAMES101-9

前言 材质和光的相互作用很重要。VertexShader和FragmentShader。纹理贴图Texture mapping。 一、在三角形中插值 为什么要在三角形内部插值?虽然我们的操作很多是在三角形顶点上进行计算的,但是对于三角形内部我们也希望每个像素点能得到一个值&…

FLASH锁死,STLink烧程序烧完一次无法再烧?

ST烧程序烧完一次无法再烧,因为把烧录引脚占用,所以可以再配置一下。 (平时不勾PA13和PA14,也是会通过PA13和PA14烤录,勾上是为了防止锁死FLASH) 如果锁住,再烧烧不进去 卡点,按住复…