gpt4 book ai didi

白-权限提升和漏洞利用技巧

转载 作者:我是一只小鸟 更新时间:2023-03-08 22:31:56 30 4
gpt4 key购买 nike

Windows服务

1.不安全的服务文件权限或路径

基本原理

Windows服务是一种在后台运行的计算机程序,它在概念上类似于Unix守护进程.

每个Windows服务都将其可执行文件的路径存储在称为 BINARY_PATH_NAME 的变量中。当启动服务时,会检查此变量并执行其下设置的 .exe 文件.

步骤

前提条件:Windows服务必须启用第3点权限,并且当前用户有启动或停止服务权限,否则必须等待系统重启才能执行恶意攻击载荷.

  • 1.检查目标系统中的所有服务
  • 2.枚举服务的所有权限集
  • 3.查找 SERVICE_ALL_ACCESS SERVICE_CHANGE_CONFIG 是否已启用(这些权限允许用户修改服务配置和 bin 路径)
  • 4.查询该服务以检查该服务是否以更高的权限运行
  • 5.可使用命令或恶意文件更改服务的 BINARY_PATH_NAME (binpath)
  • 6.刷新或启动服务并获得更高权限shell

实操

使用 PowerUp 脚本查找错误配置,枚举机器服务寻找打开了 binpath 的服务.

                        
                          <#返回当前用户可以写入服务的路径或其配置的服务#>
powershell -ep bypass

.\powerup.ps

Get-ModifiableServiceFile

                        
                      

找到了一个名为“daclsvc”的服务,为避免工具误报,可使用 Accesschk工具 再次检查此服务以确认它确实设置了 SERVICE_ALL_ACCESS 或 SERVICE_CHANGE_CONFIG 权限.

不难看出,有启动 (service_start)权限 、停止权限,也有权更改服务“daclsvc”的可执行文件路径的权限 。

进一步查看一下该服务以何种权限运行 。

注意:大多数情况下,Windows会以 SYSTEM 或管理员权限运行所有服务 。


以本地系统权限运行

利用这个错误配置,可以使用 sc 或 service control (默认安装)来更改此服务的可执行文件路径 。

可将其设置为反弹shell的可执行文件路径。再次使用 sc 查询以检查设置的新路径是否正确 。

配置无误后,使用 net (默认安装)启动此服务即可获得 SYSTEM 权限的shell 。

服务已运行 。

2.不安全的服务文件

基本原理

可执行文件是包含可以由操作系统执行的机器码指令构成的文件,可以是特定于平台的,也可以是跨平台 。

步骤

前提条件:服务的 .exe(二进制文件)权限是可写的或启用 FILE_ALL_ACCESS 权限以及启动/停止服务的权限 。

  • 1.枚举所有服务以检查全部原始 .exe (二进制文件)是否可写
  • 2.使用恶意文件替换或更改原始二进制文件
  • 3.刷新或启动该服务,该服务将执行其 .exe 并以 SYSTEM 权限运行上面写入的任何内容

实操

使用 winPEAS 来枚举所有可执行文件权限配置错误的服务.

在 winpeas 探测结果中,我们可以看到 filepermsvc 服务的原始 .exe 为任意用户设置了 AllAccess 权限。简单来说就是“系统上的所有用户都可以对该文件进行任何操作(r、w、x)”,再次使用 accesschk 工具确认,这些自动化工具在加固的系统运行时可能触发告警 。

利用错误配置,只需修改脚本,或者在这里用恶意文件覆盖原始的 .exe 。

最后只需启动服务即可 。

注意:即使服务以 localSystem 权限运行,我们也有启动和停止服务的权限 。

最后此篇关于白-权限提升和漏洞利用技巧的文章就讲到这里了,如果你想了解更多关于白-权限提升和漏洞利用技巧的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com