技術(shù)博客從權(quán)限切換到s3gstudent good in study attitude and health_第1頁
技術(shù)博客從權(quán)限切換到s3gstudent good in study attitude and health_第2頁
技術(shù)博客從權(quán)限切換到s3gstudent good in study attitude and health_第3頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、3gstudentGood in study, attitude and healthBlog About滲透技巧從Admin權(quán)限切換到System權(quán)限0x00 前言在滲透測試中,某些情況下需要用到system權(quán)限,例如操作 表HKEY_LOCAL_MACHINESAMSAM恰巧最近看到了一篇文章介紹了幾種獲得system權(quán)限的方法,于是決定結(jié)合 的經(jīng)驗對這方面的技巧做系統(tǒng)整理當然,前提是已經(jīng)獲得系統(tǒng)的管理員權(quán)限學(xué)習(xí) :0x01 簡介本文將要介紹以下內(nèi)容:通過創(chuàng)建服務(wù)獲得System權(quán)限的方法利用MSIExec獲得System權(quán)限的方法利用token 獲得System權(quán)限的方法0x02 通過創(chuàng)

2、建服務(wù)獲得System權(quán)限1、通過sc命令實現(xiàn)sc Create TestService1 binPath= "cmd /c start" type= own ty sc start TestService1該方法在XP系統(tǒng)可以使用Win7下使用時 臺提示:警告: 服務(wù) TestService1 被配置為交互式服務(wù),其支持正受到抨擊。該服務(wù)可能無法正常起作用。服務(wù)啟動時彈框,需要點擊查看消息才能執(zhí)行代碼,如下圖Win8下 臺提示錯誤,無法使用該方法2、通過計劃任務(wù)使用at命令:at 7:50 notepad.exe默認以system權(quán)限啟動,適用于Win7 從Win8開始不

3、再支持at命令使用schtasks命令:創(chuàng)建服務(wù),以system權(quán)限啟動:schtasks /Create / estService2 /SC DAILY /ST 00:36 /TR notepad.exe /RU SYSTEM查看服務(wù)狀態(tài):schtasks /Query / estService2刪除服務(wù):schtasks /Delete / estService2 /F注:使用schtasks創(chuàng)建服務(wù)后記得手動刪除schtasks命令支持Win7-Win103、利用psexec使用psexec會創(chuàng)建PSEXESVC服務(wù),產(chǎn)生日志Event 4697、Event 7045、Event 462

4、4和Event 4652以system權(quán)限啟動:psexec.exe -accepteula -s -d notepad.exe默認情況下,system權(quán)限的進程 在用戶桌面顯示,如果需要顯示進程界面,可以加/i參數(shù),命令如下:psexec.exe -accepteula -s -i -d notepad.exe如下圖4、Meterpreter參考Meterpreter的方法:創(chuàng)建system權(quán)限的服務(wù),提供一個命名管道創(chuàng)建進程,連接到該命名管道可供參考的代碼:需要getsystem-offline.exe和getsystem_service.exe 測試如下圖注:vs2012直接編譯存在bu

5、g,可將函數(shù)snprintf替換為_snprintf0x03 利用MSIExec獲得System權(quán)限我曾在之前的文章滲透測試中的msiexec介紹過利用Advanced Installer制作msi文件的方法,這里不再贅述本節(jié)對XPN提到的方法做復(fù)現(xiàn),使用wix3制作msi文件wix3 地址:msigen.wix的代碼可參考如下地址:編譯命令如下:candle.exe msigen.wix torch.exe msigen.wixobj我對XPN的代碼做了修改,將payload替換為執(zhí)行calc.exe,細節(jié)上做了部分修改,代碼 如下:<?xml version="1.0&qu

6、ot;?><Wix xmlns=""><Product Id="*" UpgradeCode="12345678-1234-1234-1234-1111 Name" Version="0.0.1" Manufacturer="_xpn_" Language="1033"<Package InstallerVersion="200" Compressed="yes" Commen<Media Id=&q

7、uot;1" /><Directory Id="TARGETDIR" Name="SourceDir"><Directory Id="ProgramFilesFolder"><Directory Id="INSTALLLOCATION" Name="Example"><Component Id="ApplicationFiles" Guid="12345678-1</Component></

8、Directory></Directory></Directory><Feature Id="DefaultFeature" Level="1"><ComponentRef Id="ApplicationFiles"/></Feature><Property Id="cmdline">calc.exe</Property><CustomAction Id="SystemShell" Execute=&

9、quot;deferred" Direc ExeCommand='cmdline' Return="ignore" Im ate="no"/><CustomAction Id="FailInstall" Execute="deferred" Scrip invalid vbs to fail install</CustomAction><InstallExecuteSequence><Custom Action="SystemShell&

10、quot; After="InstallInitialize<Custom Action="FailInstall" Before="InstallFiles"></</InstallExecuteSequence></Product>經(jīng)過 測試,使用torch.exe將msigen.wixobj編譯成msigen.msi文件會報錯,如下圖使用light.exe能夠 生成msigen.msi,如下圖雖然報錯,但不影響文件的生成和功能的執(zhí)行也就是說,完整編譯命令如下:直接雙擊執(zhí)行msigen.msi會彈框

11、,啟動的calc.exe為system權(quán)限命令行下執(zhí)行:msiexec /q /i msigen.msi啟動的calc.exe為high權(quán)限0x04 利用token 獲得System權(quán)限candle.exe msigen.wix light.exe msigen.wixobj</Wix>可參考之前的文章:滲透技巧Token竊取與利用通過 system權(quán)限的token,使進程獲得system權(quán)限,常用工具如下:1、incognitoincognito.exe execute -c "NT AUTHORITYSYSTEM" cmd.exe地址:2、Invoke-TokenManipulation.ps1Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authoritysystem"地址:TokenManipulation.ps13、SelectMyParentSelectMyParent.exe cmd.exe 504參考地址:authority/blob/master/SelectMyParent.cppAuthor

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論