前言
依旧是提权的内容啦,上次讲的是利用漏洞来进行提权,今天我们主要讲的是利用Windows中的服务、进程等东西进行权限提升。
服务启动
首先要知道一点,就是windows中服务是以system权限运行的,假如我们创建一个运行后门的服务,那是不是会以system用户上线呢。
sc是用于与服务控制管理器和服务进行通信的命令行程序。
适用版本:windows 7、10、08、12、16、19、22,早期用at命令
sc Create wlw binPath= "C:\Users\31432\Desktop\1.exe"
可以在服务这里看到我们新建的服务。
使用下面的命令运行我们的服务,可以看到是以system的身份上线的。
sc start wlw
但是不知道为啥通讯不了,一直回连不过来。
这边显示服务没有及时响应,这里我是成功创建了服务的,而且路径也没错,我看网上别人都是用Windows server2008来搞的,我这里是Windows10和server2016,不知道是不是版本问题,有知道的师傅还请指点一二。
psexec
我们还可以利用 psexec 这个工具来进行提权,这个工具主要是用来远程命令执行的,执行下面的命令会生成一个System权限的cmd。
psexec.exe -accepteula -s -i -d cmd #调用运行cmd
用这个cmd运行后门就是以System的身份上线的。
进程注入
这个其实和服务启动差不多,在任务管理器这里可以看到有部分进程是SYSTEM用户来进行的,也就是说我们把后门的进程注入到以SYSTEM用户运行的进程中去,实现SYSTEM用户上线CS。
MSF
上线MSF之后找一个以SYSTEM运行的进程ID。
ps
migrate PID //迁移对应PID
CS
CS和MSF的操作是差不多的,首先查看进程。
接着注入进程即可。
inject PID //注入对应PID
图形化
这个更简单,在进程列表这里找到想要注入的进程,然后点击injetc即可。
令牌窃取
令牌是 Windows 内核中用于标识用户身份及权限的数据结构,一个进程的是由某个用户执行的,可以窃取该用户的令牌进行远程过程调用时请求提升权限,然后调用它从而生成特权安全令牌以执行特权操作。当系统允许令牌不仅用于进程本身,还用于原始请求进程时,漏洞就会出现。
MSF
use incognito
list_tokens -u //看下能窃取的用户
impersonate_token "NT AUTHORITY\SYSTEM"
CS
还是一样,PS查看进程。
我这里把所有SYSTEM的进程都试了,都是窃取不了,不知道为啥。
steal_token PID //窃取进程令牌
窃取成功后,直接上线就行。
spawnu PID //窃取进程令牌上线
图形化
自动化提权
下面这个命令是CS和MSF的自动化提权命令,其实就是把上面的方式自动化搞一遍而已。
getsystem
降权/提权
提权大家都能知道,因为有些操作要高权限才行,那为啥要降权呢?
首先我们要知道 Administrator 它只是本地用户的管理员,也就是说假如我们主机存在域内环境,Administrator用户执行 net user/domain 是看不到当前域内用户的!!!
如果想要查看当前的域内用户,要么就提权到SYSTEM,因为SYSTEM对计算机有着绝对的控制权,还有一个方法就是降权至普通的域用户,这就是降权的意义。
总结
好吧,有些CS的实验没成功,咱也不知道为啥,MSF没问题CS就不行,不管啦。
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
