你的位置：即刻安全 > WEB安全 > 渗透测试技术之另类Windows提权

WEB安全 Eternal 6个月前 (02-07) 2020浏览

前言

如果你获得了一台机器的低权限Meterpreter会话，并且当你尝试了一些常用方法，仍然提权失败时，是不是就意味着没法提权呢？不必着急，你仍然可以试试很多其它的技术。下面我们就来列举出几种提权方法。

一、Windows服务路径没加双引号

通常，如果一个服务的可执行文件的路径没有用双引号封闭，并且包含空格，那么这个服务就是有漏洞的。

如果你想验证这个漏洞，你可以在你的试验环境中增加一个有漏洞的服务，自己测试一下，下面咱们添加名为“Vulnerable Service”的服务，可执行文件放在“C:Program Files (x86)Program FolderA Subfolder”目录中。

为了识别出没有加双引号的服务，你可以在Windows命令行中运行以下命令：

运行上面的命令后，所有没有加双引号的服务将会被列出来：

如果你从注册表中查看注册的服务，你会看到“ImagePath”的值是：

安全的值应该是：

当Windows尝试启动这个服务时，它会按照下面的顺序寻找可执行文件，并运行第一个找到的：

这个漏洞是由系统中的“CreateProcess”函数引起的，更多信息请看这里。

如果我们能成功的把恶意EXE程序放在这些路径下，当服务重新启动时，Windows就会以SYSTEM权限运行我们的EXE。当然，我们需要有进入其中一个目录的权限。

为了检查一个目录的权限，我们可以使用Windows内建的一个工具，icals，下面我们用这个工具检查“C:Program Files (x86)Program Folder”目录的权限。

好幸运呐，你可以看到，“Everyone”用户对这个文件有完全控制权。

“F”代表完全控制。“CI”代表从属容器将继承访问控制项。“OI”代表从属文件将继承访问控制项。

这意味着我们可以随意将文件写入这个文件夹。

从现在开始，你要做什么取决于你的想象力。我比较倾向于生成一个反弹shell载荷，并用SYSTEM权限运行。

这个工作可以使用msfvenom来完成：

然后将生成的载荷放到“C:Program Files (x86)Program Folder”文件夹：

然后，在下一步启动这个服务时，A.exe就会以SYSTEM权限运行，下面我们试着停止，并重启这个服务：

访问被拒绝了，因为我们没有停止或启动服务的权限。不过，这不是一个大问题，我们可以等，直到有人重启机器，或者我们自己用“shutdown”命令重启：

Tags：渗透(6)Windows(1)内网渗透(1)提权(1)WEB安全(1)

转载请标注：我爱技术网_SEO三人行——渗透测试技术之另类Windows提权 即刻安全