metasploit之Windows Services漏洞提权实战

本文讲的是metasploit之Windows Services漏洞提权实战

0×01引言

在获得目标机器基本权限以后,面临我们最大的问题就是如何从普通用户提升为管理员用户。众所周知,Windows服务是以SYSTEM权限运行的,因此,它们的文件夹、文件和注册的键值,都是受到强访问控制保护的。但在某些情况下,会有一些没有受到有效保护的服务。

0×02 Windows服务漏洞介绍

windows服务漏洞。Windows系统服务运行在后端,由操作系统通过SCM(服务控制管理)控制,它负责处理所有发送给windows服务的命令,接收windows服务的更新。如果我们能够修改一个服务的二进制文件路径属性,在重启服务的时候,我们可以让服务以system权限替我们启动一个命令。

0×03 Windows服务漏洞的实战利用

同样此时假设我们通过一系列前期渗透,已经成功获得了目标机的meterpreter shell(过程略),当前权限为administrator,我们想获取系统的system权限,但是尝试了各类提权方法后失败。

1.  先检测目标主机是否存在该漏洞。

我们将检查大量的访问权限,最简单的方法时使用AccessChk(SysInterals套件中的一个工具)。这个工具是由Mark Russinovich写的用于在Windows上进行一些系统或程序的高级查询、管理和故障排除。在进行渗透测试的时候鉴于反病毒软件的检测等原因我们应该尽量少的接触目标磁盘,由于AccessChk是微软官方工具,所以基本不会引起杀毒软件的报警。

中文版下载地址:http://technet.microsoft.com/ZH-cn/sysinternals/bb664922 。

首先我们Metasploit下使用upload命令将AccessChk上传至目标机下,如图1所示。

然后我们到目标机CMD下就可以使用如下的命令来判断到底哪个服务可以被认证的用户修改,不论用户的权限级别。如图2所示。

accesschk.exe -uwcqv "Authenticated Users" * /accepteula

Authenticated Users 是指Windows系统中所有使用用户名、密码登录并通过身份验证的账户,不包括来宾账户Guest。运行后我们看到有一个可以修改的服务PFNet,SERVICE_ALL_ACCESS意思我们对PFNet的属性拥有完全控制权。正常情况下未授权的用户是不应该有这些Windows服务权限的,但由于管理员甚至是第三方开发人员错误的配置才可能导致这种漏洞的出现。

知识点:几个有用的accesschk命令

第一次执行sysinternals工具包里的工具时,会弹出一个许可协议弹框,这里可以添加一个参数“/accepteula”去自动接受许可协议

accesschk.exe/accepteula

找出某个驱动器下所有权限配置有缺陷的文件夹路径

accesschk.exe–uwdqsUsersc:
accesschk.exe–uwdqs"AuthenticatedUsers"c:

找出某个驱动器下所有权限配置有缺陷的文件路径

accesschk.exe–uwqsUsersc:*.*
accesschk.exe–uwqs"AuthenticatedUsers"c:*.*

接着使用SC命令来查看PFNet服务的配置也可以用来管理Windows服务,见图3所示。

BINARY_PATH_NAME值指向了该服务的可执行程序(Executable.exe)路径,如果如果我们将这个值修改成任何命令,那意味着这个命令在该服务下一次启动时,将会以SYSTEM权限运行。(确保SERVICE_START_NAME被指向了LocalSystem)。

2.Metasploi下设置模块参数

Metasploit中有对应的利用模块service_permissions,我们还是把当前的meterpreter shell转为后台执行。然后使用该模块,并设置相应参数。如图4所示。

3.攻击

输入run命令,可以看到自动反弹了一个新的meterpreter,我们在此meterpreter shell下输入getuid 发现是system 权限,如图5所示。证明我们已经提权成功了。

我们输入sessions可以看到多了一个ID为5的就是新反弹回来的,如图6所示。

该模块尝试使用两种方法来提升到system权限。第一种,如果Meterpreter session正以管理员权限运行,该模块会尝试创建并运行一个新的服务。如果当前账户权限不允许创建服务,该模块会判断哪些服务的文件或者文件夹权限有问题,并允许对其进行劫持。

当创建新的服务或者劫持已经存在的服务时,该模块会创建一个可执行程序,其文件名和安装的文件路径是随机生成的。使用该模块的AGGRESSIVE选项会利用目标机上每一个有缺陷的服务。当该选项被禁止的时候,该模块在第一次权限提升成功后就会停下来。

原文发布时间为:2017年4月10日

本文作者:shuteer

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-08-01 06:51:34

metasploit之Windows Services漏洞提权实战的相关文章

Windows 提权实录技巧

这篇文章中我会讲Windows上一般提权的方法,并演示如何手动进行提权和其对应的Metasploit模块.当我们把权限从本地管理员提升到系统后更容易执行一些操作,而不适当的系统配置则可以使低权限的用户将自己的权限提升到高权限. Note:本文中我们主要关注于不依赖内核漏洞的提权,例如:KiTrap0d(Meterpreter getsystem提权的四种方法之一) Trusted Service Paths 这个漏洞存在于二进制服务文件路径中Windows错误解释空格.这些服务通常都是以系统权限

Windows内网渗透提权的几个实用命令

这不是一篇渗透测试指导,而是简单介绍了几个Windows内网提权的实用命令,以供我等菜鸟学习观摩,还望大牛包涵指导. 1.获取操作系统信息 识别操作系统名称及版本: C:\Users\thel3l> systeminfo | findstr /B /C:"OS Name" /C:"OS Version"   OS Name: Microsoft Windows 10 Pro  OS Version: 10.0.14393 N/A Build 14393  当然

Linux提权:从入门到放弃

日站就要日个彻底.往往我们能拿下服务器的web服务,却被更新地比西方记者还快的管理员把内网渗透的种子扼杀在提权的萌芽里面.Linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置.一下是我总结的一些提权方法. 几点前提 已经拿到低权shell 被入侵的机器上面有nc,python,perl等linux非常常见的工具 有权限上传文件和下载文件 内核漏洞提权 提到脏牛,运维流下两行眼泪,我们留下两行鼻血.内核漏洞是我们几乎最先想到的提权方法.通杀的内核漏洞是十分少见的,因而我们应该先对系统相关

本月补丁星期二活动已修复Google发现的Windows 10提权漏洞

在本月的补丁星期二活动中,微软如约修复了此前Google公开的安全漏洞.在本月活动中,该漏洞补丁被标记为"重要",主要内容为修复了多个提权漏洞,此外还公布了6个关键级别漏洞和8个其他"重要"级别漏洞,包括IE浏览器和Edge浏览器的累积更新. Windows部门总负责人Myerson承认来自Google的两名安全研究人员找到该漏洞,不过Windows 10周年更新用户不受这个缺陷影响.此外他还表示俄罗斯黑客团队Strontium已经利用Google公开的漏洞对特定目

Windows 7/8/8.1/10 发现提权漏洞

Foxglove Security的安全研究人员发现,几乎所有的Windows版本都容易受到提权漏洞的影响.通过组合已知的漏洞,研究人员找到了方法突 破运行Windows 7/8/8.1/10 和Windows Server 2008/2010的系统.研究人员将该漏洞取名为 Hot Potato,利用了三种不同类型的漏洞,其中一种是在2000年发现的,但Windows至今没有修复,微软解释说补丁会破坏兼容性.通过以链式的方式 利用漏洞,攻击者可以将一个低权限的应用程序提升到系统级权限,远程获得系

CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散

本文讲的是CVE-2017-7494紧急预警:Samba蠕虫级提权漏洞,攻击代码已在网上扩散,昨天晚上,开源软件Samba官方发布安全公告,称刚刚修复了软件内一个已有七年之久的严重漏洞(CVE-2017-7494),可允许攻击者远程控制受影响的Linux和Unix机器. Samba是什么 Samba是计算设备的基石级协议SMB的开源实现,被广泛应用在Linux.Unix.IBM System 390.OpenVMS等各类操作系统中,提供文件共享和打印服务. 漏洞影响范围 自2010年3月1日后发

Intel安装框架爆出带本地提权的任意代码执行漏洞CVE-2017-5688

Intel发布安全公告 ,执行使用Intel安装框架的可执行安装文件,例如Intel SSD Toolbox - v3.4.3.exe,就会出现两个漏洞,都会导致任意代码执行并提权. 受影响产品 Intel Solid State Drive Toolbox  3.4.5之前所有版本 缓解建议:Intel建议所有用户尽快将受影响产品升级到 Intel Solid State Drive Toolbox version 3.4.5 及以上版本 https://downloadcenter.inte

Skype爆严重缓冲区溢出漏洞,可提权于无形之中

本文讲的是Skype爆严重缓冲区溢出漏洞,可提权于无形之中,近日,微软旗下非常流行的免费网络短信和语音呼叫服务Skype被发现了一个严重的漏洞,该漏洞可以让黑客远程执行恶意代码或者导致系统崩溃.  Skype是一种免费的在线服务,允许用户之间通过互联网进行语音,视频和即时消息进行通信.由于其在全球具有很高的知名度,该服务于2011年5月被微软公司以85亿美元收购.  这枚未知的堆栈缓冲区溢出漏洞(CVE-2017-9948)位于Skype Web的消息和通话服务中,该漏洞是来自德国based s

绿盟科技网络安全威胁周报2017.08 关注Linux本地提权漏洞 CVE-2017-6074

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-08,绿盟科技漏洞库本周新增42条,其中高危22条.本次周报建议大家关注 Linux本地提权漏洞 CVE-2017-6074 .目前漏洞修复补丁已出,强烈建议用户对受影响的系统进行更新.. 焦点漏洞 Linux本地提权漏洞 NSFOCUS ID  35977 CVE ID  CVE-2017-6074 受影响版本 Redhat.Debian.OpenSUSE和Ubuntu等主流Linux发行版本 漏洞点评 Linux内核的DCCP协议实现