實戰(zhàn)ms16-075提權(quán)Windows Server 2012

大多數(shù)碰到的都是Serverv 2008，這次遇到Server 2012來學(xué)習(xí)一下提權(quán)。網(wǎng)上有相關(guān)的文章。但，實踐才是真理不是嗎？

專注于為中小企業(yè)提供成都網(wǎng)站制作、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)東光免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上1000+企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

在通過文件上傳webshell之后開始提權(quán)。

先收集一下信息

信息為：IIS權(quán)限、無殺毒、內(nèi)網(wǎng)（能上外網(wǎng)）、內(nèi)網(wǎng)開放3389

選擇使用上傳msf馬來反彈shell。

參考我之前的一篇文章

geshell后的進一步利用

上傳msf馬直接反彈。

選擇Windows-Exploit-Suggeste提權(quán)輔助工具

Windows-Exploit-Suggeste

命令很簡單

可以看到可能存在ms16-075漏洞。試試吧

上傳ms16-075邪惡土豆potato.exe至靶機

果然沒有殺毒就是爽

激活guest用戶

mimikatz讀取hash時，無法以明文顯示。

后翻看資料才知道Server 2012

默認(rèn)情況下是禁用了在內(nèi)存緩存中存儲系統(tǒng)用戶明文密碼，此時使用mimikatz去抓取密碼，會顯示null。

抓取windows server 2012明文密碼

只會修改注冊表等待管理員重啟啦

【W(wǎng)indows】自帶提權(quán)的bat腳本

Windows下的開發(fā)不可避免的會用到bat腳本來做一些重復(fù)的工作，尤其是需要注冊的插件dll這塊?，F(xiàn)在大家的開發(fā)機一般都是win7或win10，為了和用戶環(huán)境比較一致，一般都不會關(guān)掉UAC的功能。

雙擊bat腳本執(zhí)行自動注冊或自動運行服務(wù)會很方便開發(fā)，但是在vista以上的系統(tǒng)經(jīng)常需要以管理員權(quán)限來啟動這個腳本，一般都是右鍵選擇管理員權(quán)限運行，要是分發(fā)給其他人員測試的時候還要特地叮囑下，要是bat能實現(xiàn)自動檢測需要管理員權(quán)限，然后彈出這個提權(quán)的申請框，在提權(quán)完成之后再進行工作就好了。

抱著這個需求，找到了stackoverflow，果然不負(fù)眾望，有人給出了一個 解決方案 ，這里把這個bat腳本貼出來，給有需要的人士。

Windows 7中怎么在CMD下提權(quán)（以管理員權(quán)限運行）？

Windows 7中在CMD下提權(quán)（以管理員權(quán)限運行）的步驟如下：

1.首先用快捷鍵，windows+R打開如下界面。輸入cmd,回車打開。

2.在黑窗口中輸入，cd\ 進入根目錄。

3.接著輸入net user admin lovechina /add，回車。你會看到命令成功。這里的admin，可以隨便更改成別的你想設(shè)置的用戶名。

4.命令成功后，你會在計算機管理里面的。本地用戶組中看到，你新建的用戶。

5.接著我們回到cmd下輸入net localgroup Administrators admin /add，將我們建立的admin用戶加入管理員組去。

6.這是我們?nèi)dministrator用戶組下查看，我們看到admin賬號進入了管理員組了。這說明這個賬號已經(jīng)有管理權(quán)限了，可是還別高興。因為這個賬號還沒有激活，所以還是無法使用的。

7.這是我們再回到cmd下，輸入net user admin /active:yes。激活我們新建的賬號，到這里建立賬號和提權(quán)都完成了?，F(xiàn)在重啟電腦后，你可以用剛才添加的賬號登陸你的系統(tǒng)了。這樣就解決了Windows 7中在CMD下提權(quán)（以管理員權(quán)限運行）的問題了。