操作系统权限提升(十)之系统错误配置-计划任务提权

系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权
操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权
操作系统权限提升(九)之系统错误配置-泄露敏感信息提权

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！！

计划任务提权

计划任务提权原理

计划任务提权的原理非常的简单，就是在设置计划任务的时候配置不当，导致我们可以更改计划任务执行的文件，我们可以进行劫持然后替换成自己的恶意文件达到提权的目的

提权环境

配置一个计划任务，是一个bat或者exe都行

配置计划任务名称为test，并以最高权限运行

设置触发器选项

新建任务

触发器设置如下

进入操作选项

点击新建

操作设置如下

设置完成点击确定

或者我们也可以用命令行的形式来设置计划任务

schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f

然后将我们test目录的文件可执行权限设置成普通用户组完全执行，这样普通用户组就对该文件夹有完全控制权限了

点击确定

计划任务提权实战

拥有一个MSF或者CS的shell

使用命令查询计划任务的运行情况（一般权限低的用户是查询不了高权限的计划任务的）

schtasks /query /fo LIST /v

如果提示无法加载资源就要更改编码

 chcp 437

此时我们假设查找到了一个名为test的计划任务，该计划任务的内容是每隔一分钟执行C盘目录下的test文件夹中的1.exe程序

使用accesschk工具查询权限

accesschk apache C:\

发现当前用户对test文件有RW权限，而test文件又刚刚好在执行计划任务

此时我们就可以将test文件夹中计划任务执行的程序替换为自己的程序

这里我们将我们的恶意程序copy到test文件夹内

copy C:\Users\apache\Desktop\1.exe c:\test\1.exe

此时的程序已经被我们替换成了恶意文件

然后等待计划任务定时运行，机器上线就行了