Windows错误系统配置提权之系统服务权限配置错误 (二)

系统服务权限配置错误

PowerUP下的实战利用

Metasploit下的实战利用

系统服务权限配置错误

Windows系统服务文件在操作系统启动时会加载执行，并且在后台调用可执行文件。比如，JAVA升级程序，每次重启系统时，JAVA升级程序会检测Oracle网站，是否有新版JAVA程序。而类似JAVA程序之类的系统服务程序加载时往往都是运行在系统权限上的。所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限，那么就可以将其替换成我们的恶意可执行文件，从而随着系统启动服务而获得系统权限。

windows服务是以system权限运行的，其文件夹、文件和注册表key-value都是受强制访问控制保护的。但是在某些情况下，操作系统中依然存在一些没有得到有效保护的服务

系统服务权限配置错误（可写目录漏洞）有如下两种可能：

服务未运行：攻击者会使用任意服务来替换原来的服务，然后重启服务。
服务正在运行且无法被终止：这种情况符合绝大多数的漏洞利用情景，攻击者通常会利用DLL劫持技术并尝试重启服务来提权。

PowerUP下的实战利用

Powerup通过直接替换可执行文件本身来实现权限的提升

1. 检测目标主机是否存在该漏洞。

Powerup可以帮助我们寻找服务器错误的系统配置和漏洞从而实现提权的目的。

下载：https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp

powershell.exe -exec bypass -Command "&{Import-Module .\PowerUp.ps1; Invoke-AllChecks}"

可以看出，Powerup列出了可能存在问题的所有服务，并在AbuseFunction中直接给出了利用方式。第一部分通过Get-ServiceUnquoted模块检测出了未加引号的服务路径。第二部分，检查服务可执行文件和参数权限，检测出当前用户可以在“vulns”服务的目录写入相关联的可执行文件，并且通过这些文件来进行提权。

这里我们还是可以使用icacls来验证下PowerUp脚本检测是否正确

icacls "C:\Program Files\admin Data\Vuln Service\file.exe"

可以看到我们对file.exe文件是有完全控制权的，这里我们可以直接将file.exe替换成我们的MSF反弹木马，当服务重启时，就会给我们返回一个system权限的meterpreter。

powershell -nop -exec bypass IEX (New-ObjectNet.WebClient).DownloadString('c:/PowerUp.ps1');Install-ServiceBinary-ServiceName 'vulns' -UserName shuteer -Password Password123!

但是我这里报错了，先跳过吧~~

ps: Install-ServiceBinary模块，通过Write-ServiceBinary写一个C#的服务用来添加用户。

Metasploit下的实战利用

use windows/local/service_permissions

设置好参数，但是也失败了，呜呜

参考：Metasploit、powershell之Windows错误系统配置漏洞实战提权 - 云+社区 - 腾讯云