在一次测试中,通过rce漏洞获得了目标主机meterpreter会话,尝试进行一些提权实验。
过程中两台机子都不通外网,本文记录一下获得会话并提权过程。
生成一个exe载荷,看情况免杀:
在准备让目标机执行我们的载荷前,先使用脚本(通过msfpc来生成)来快速监听会话,并进行一些自动进程迁移的工作:
脚本内容如下:
参数的具体含义可以在设置了payload后执行show advanced查看:
开始监听:
目标机上执行生成的exe,获取会话:
看了下目标已经是管理员权限了,如果要抓密码的话,得拿到system,准备试试。先ps看一下进程,发现有杀软,不过没关系,没有外网战力-50%:
假装getsystem一下,whoami /priv?查看一下权限:
localexploitsuggester 模块失败
试试自带的模块来检查提取漏洞:
发现有了一些漏洞,然后就加载对应的利用模块来进行尝试:
柳暗花明 (enum_services利用)
差不多模块都试了一下,因为有杀软的原因,都失败了。这时候想着找点新的exp来用用,但是 *** 不太方便,就先看看主机上的情况,先看了下主机上启动的服务情况:
发现了一个在D盘的服务(wpscloudsvr LocalSystem "D:\Program Files\WPS Office\wpscloudsvr.exe" LocalService):
这里我们知道, 在C盘Windows,Program Files等目录下的文件都会被系统权限保护,而这个wpscloudsvr服务的可执行文件放在了D盘 (这也是个很正常的事,总不能啥软件都往C盘装吧)如果软件开放过程中未对这种类似服务的文件进行权限限制同时可以对服务进行重启动,那么就可以利用替换该服务文件的 *** 来获得权限提升。接下来通过
cacls wpscloudsvr.exe
查看文件权限,发现权限设置不当,标准用户可以对其更改 (图找不到了,大概结果就像下面这样),同时也可以直接使用net命令对服务进行启动和停止:
现在条件都满足了,生成个马给这个文件替换了,重新启动服务不就完成提权了吗?快速操作中...1、使用msfvenom生成一个exe-service类型的载荷:
2、上传并启动服务,并获得了会话:
这里就拿到了system权限的会话了:?
后面就是上远程桌面看看,加个管理员账户什么的:
1、使用metasploit脚本进行自动化设置
2、metasploit本地提权漏洞扫描、利用,相关信息收集模块使用;
3、服务可执行文件权限设置不当的cacls检查、exe-service载荷生成、替换执行提权。
https://blog.csdn.net/l1028386804/article/details/86669614
才高八斗 南朝宋国有谢灵运,是我国古代著名的山水诗作家。他政治上的失意,从而寄情于山水,写有大量山水诗,与文章冠绝当时的另一个文人颜延之齐名,并称为"江东第一"。他的诗,大都描写会(kuài)稽、永...
广东省,位于南海之滨,中国经济实力第一省,辖21个地级市(其中2个副省级城市 ),面积17.97万平方公里,人口11169万人,2017年GDP高达8.99万亿元。经济实力很强的广东,高等教育实力如何...
有哪些高智商的电影可推荐? 《猜火车》是一部非常考验观众智力和观察力的电影,也是一部非常值得一看的电影。观影步骤 保持高度的注意力和思考能力。注意电影中的各种线索。推理出事件的真相。《万能钥匙》年轻的...
运转find和set指令,咱们能够发现一些信息。 在您的体系上运转Anevicon的最简略办法是从现有版别下载预编译的二进制文件,这不需求任何外部软件(与之前的两种办法不同)。 if ($_SERV...
什么是网络黑客?黑客常用的攻击方法有哪些? 入侵攻击 入侵攻击就是黑客通过网络通道进入受害者的电脑或服务器,然后在其中安装致命程序,控制目标系统的行为。黑客使用这种攻击方式能够获取受害者的机密信息,比...
win10是微软公司公布的一款简易实用的实际操作系统软件,适用电子计算机和平板电脑电脑上,许多盆友都将电脑升级为win10系统软件了。那麼win10系统软件下的电脑上系统启动项怎么设置呢?今日,我也教...