首页 > 系统相关 >Windows提权2

Windows提权2

时间:2023-12-01 12:13:51浏览次数:45  
标签:Files 服务 Windows 空格 提权 Program 权限

本次学习Windows信任服务路径漏洞,劫持服务启动来进行提权

实验原理

Windows 服务运行时,如果服务路径和快捷方式路径具有一个或多个空格并且没有用引号括起来,Windows 会对每一个空格尝试寻找名字与空格前的名字相匹配的程序执行,这样会很容易受到路径拦载,然后造成 Trusted Service Paths 漏洞利用。

换句话说,服务路径如果没有引号且存在空格,操作系统把空格后面内容当做参数执行,这个时候如果利用空格前的“名字”伪造一个恶意程序,服务在启动执行过程中会被劫持去执行恶意程序。

实验过程

首先获取一个webshell,但权限只是一个低权限的web用户

 

 查找服务路径没有引号且存在空格的服务,发现everything服务存在问题

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\"|findstr /i /v """

 再查一下Everything服务的权限,以system权限运行,且启动方式是自启

sc qc Everything

 这个时候的思路就是,在C:\目录下创建恶意Program.exe或者C:\Program Files\创建恶意Common.exe

 查一下当前用户对对应文件夹的操作权限

icacls "C:\"
icacls "C:\Program Files"

 发现可以操作C:\Program Files   ( F 为完全访问权限,M 为修改权限),那此时就要去创建恶意Common.exe程序,并上传到此目录下面

 把上次实验创建管理员用户的程序再次生成,并上传到C:\Program Files目录

 

现在尝试重启Everything服务

sc stop 服务名
sc start 服务名

 

 但是当前用户无权限关闭和启动服务,为了演示提权效果,直接在目标服务器重启

 重启前目标服务器用户

  重启后成功添加管理员用户

 

标签:Files,服务,Windows,空格,提权,Program,权限
From: https://www.cnblogs.com/byzd/p/17869413.html

相关文章

  • windows10 Java环境变量配置后不生效
    一、问题从jdk8升级到jdk11,配置JAVA_HOME后,不生效。(备注:jdk8是安装版,jdk11是解压版。)二、解决办法在环境变量Path中,删除下面的配置:C:\ProgramFiles(x86)\CommonFiles\Oracle\Java\javapath验证:三、原因因为使用安装版本的JDK程序时(一般是1.7版本以上),在安装结束后会自......
  • Windows10使用Zephir开发PHP8.1扩展
    参考https://github.com/zephir-lang/zephir(zephir官方库)https://github.com/zephir-lang/zephir/blob/development/WINDOWS.md(zephirwindows说明)chatgpthttps://www.80shihua.com/archives/2535(linux下使用Zephir开发扩展)https://zhuanlan.zhihu.com/p/24611638(在......
  • windows定时自动关机
    最近在测试pos机,要求下班前要自动关闭pos机,否则扣绩效,因此研究了一下windows的自动关机脚本。编写此文作为记录 步骤:1、在Windows10桌面,右键点击此电脑图标,在弹出菜单中选择“管理”菜单项。2、然后在打开的计算机管理窗口中,找到“任务计划程序”菜单项。3、接下来依次点击......
  • Windows下编译sqlcipher4的shell版本
    越来越多的应用开始接入SQLCipher4了,虽然在Windows上有工具可以打开,但是没法使用脚本解密,也就不能实现自动化。在网上找了很久都没有找到4的编译版本,因此自己找资料编译一下。准备安装openssl,并配置环境变量OPENSSSL_CONFIG,值为C:\ProgramFiles\OpenSSL-Win64\bin\openssl.c......
  • [Jenkins]在windows slave上执行svn命令报错
    jenkins在windowsslave上执行svn命令报错"svn:E170001:Can'tgetusernameorpassword"原文:https://jianghaitao1221.github.io/2016/08/16/jenkins-windows-svn-name-pwd-not-fount/现象#jenkins上执行svn命令svnup报错如下:svn:E170013:Unabletoconnectt......
  • Windows10 Linux子系统迁移到非系统盘
    默认情况下,Windows安装了Linux子系统后,默认安装位置是在C盘,会导致C盘内存不足,因此需要迁移到非系统盘。以Ubuntu20.04为例:默认安装位置在%UserProfile%\AppData\Local\Packages\目录下一、通过wsl命令迁移、备份Linux分发#查看Ubuntu版本wsl--list--all--verbose......
  • windows 上 cmake 添加 vcpkg 选项
    使用cmake编写相关的工程时,工程有时会使用vcpkg添加的第三方库,比如zip库查看一些案例后,我发现有些回答不太准确,遂记录下现在,我们需要在工程中使用 zip_open函数执行压缩命令,这个函数是zip.h里的,所以我们先要添加zip库打开cmd,输入vcpkginstalllibzip:x86-window......
  • windows提权1
    本次学习利用Windows环境变量配置错误进行提权实验原理系统在执行用户命令时,若用户未给出绝对路径,则首先在当前目录下寻找相应的可执行文件、批处理文件等。若找不到,再依次在PATH保存的这些路径中寻找相应的可执行程序文件(windows环境变量的查找顺序是按照文件的录入顺序从前往......
  • Linux提权5
    本次学习Linuxsudo提权实验原理sudo是Linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具。换句话说通过此命令可以让非root的用户运行只有root才有权限执行的命令。sudo使一般用户不需要知道超级用户的密码即可获得权限。首先超级用户将普通......
  • Windows平台的prometheus和Grafana的学习与使用
    Windows平台的prometheus和Grafana的学习与使用背景最近没有了linux机器突然想捯饬一下Windows平台的监控与使用所以总结一一下.第一步下载https://prometheus.io/download/https://grafana.com/grafana/download注意需要下载windows平台的安装介质建议是选择zip包.zip包......