在渗透测试中,提升权限是一个常见的问题。通常情况下,最容易获取的权限是通过webshell,特别是当网站部署在windows系统上时。此外,在进行横向渗透时,如果收集到可以远程连接桌面的账号,也需要提升权限。实际操作中,提权是经常需要的,本系列文章将详细介绍各种提权方式。
提权基础在进行提权之前,首要任务是对目标系统的操作系统进行信息收集。关于信息收集的具体内容,请参阅之前的文章《Windows环境下的信息收集》。这里简要提及几个关键命令:
溢出提权是提权过程中最常见的方法,但其关键在于目标系统的安全补丁更新不及时,这才为攻击者提供了机会。以下是一些较新的溢出exp示例。
由于运营者的错误配置,有时可以为我们提供提权的便利,从而提高提权成功率。下面将简单介绍这方面的提权方法。
可信任服务路径漏洞(Trusted Service Paths)是由系统中的“CreateProcess”函数引起的,利用了Windows文件路径解析的特性,并涉及了服务路径的文件/文件夹权限。存在缺陷的服务程序利用了属于可执行文件的文件/文件夹权限。如果权限合适,我们可以上传恶意可执行文件。简单来说,就是查找系统服务文件中存在非引用路径。如果一个服务调用可执行文件时,未正确处理引用的全路径名,就可以利用这个漏洞。Metasploit集成了trusted_service_path(https://www.php.cn/link/f3af38a9500cfc72614a7cb788e5a56b。
Windows服务通常以System权限运行,因此系统在解析服务的二进制文件路径中的空格时也会以系统权限进行解析。如果我们能利用这一特性,就有机会进行权限提升。例如,有如下文件路径:
对于上述文件路径中的每一个空格,Windows都会尝试寻找并执行名称与空格前的部分匹配的程序。操作系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。以上的例子中,Windows会依次尝试确定和执行以下程序:
因此,如果我们能上传一个适当命名的恶意可执行程序到受影响的目录,服务一旦重启,我们的恶意程序就会以system权限运行(大多数情况下)。
利用步骤如下:
-
检测目标主机是否存在该漏洞
如果存在以下结果,则表示存在漏洞:
FABS - Helping agent for MAGIX media database FabsC:Program Files (x86)Common FilesMAGIX ServicesDatabasebinFABS.exe /DisableUI Auto
登录后复制
文章来自互联网,不代表电脑知识网立场。发布者:,转载请注明出处:https://www.pcxun.com/n/624721.html
