操作系统权限提升(十一)之系统错误配置-启动项提权

系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权
操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权
操作系统权限提升(九)之系统错误配置-泄露敏感信息提权
操作系统权限提升(十)之系统错误配置-计划任务提权

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！！

启动项提权

启动项提权原理

windows启动项目录下的脚本可以开机自启，利用这一个特性向上述的目录传入恶意的脚本达到提权的目的，前提是你当前的用户有对启动项目录或者启动项注册表的更改权限

提权环境

启动项文件夹如下

启动文件夹
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

然后对于启动项文件夹对用户赋予完全控制权限

启动注册表如下

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Run\ServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run\Oncel\Setup
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\Current\Version\Run\Once\Setup
HKEY_LOCAL_MACHINE\SOFT\WAREMicrosoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunOnce
HKEY_CURRENT_USER\SoftwarelMicrosoft\Windows\Current\Version\Run
HKEY_LOCAL_MACHINE\SOFT\WARE\Microsoft\Windows\Current\Version\Run

启动项提权实战

首先获取一个MSF或者CS的shell

查询文件夹权限

shell accesschk.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"

发现我们普通用户组对该文件夹有RW权限

将恶意文件进行复制

shell copy 1.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
//copy 恶意文件 目标目录

等待管理员电脑重启获取SHELL,提权成功