核心内容摘要
亚洲潮涌:探寻东方智慧与未来脉搏
郑重声明本文所涉安全技术仅限用于合法研究与学习目的严禁任何形式的非法利用。
因不当使用所导致的一切法律与经济责任本人概不负责。
任何形式的转载均须明确标注原文出处且不得用于商业目的。
点赞| 能量注入 ❤️关注| 信号锁定 收藏| 数据归档 ⭐️评论| 保持连接立即前往晖度丨安全视界▶ 信息收集▶ 漏洞检测▶初始立足点▶权限提升➢ Windows权限提升 ➢ 滥用Windows服务提权上 ▶横向移动▶ 报告/分析▶ 教训/修复目录
Windows权限提升
1 滥用Windows服务提权
1.
1 Windows服务简介
1.
1.
1 Windows程序 vs. Windows服务
普通桌面程序非服务
Windows服务后台服务
3.
常见问题
1.
1.
2 三种服务滥用攻击方式
1.
2 劫持服务二进制文件攻击实战
1.
1.
1 攻击场景
攻击链流程
攻击步骤详解
攻击利用的关键要点
攻击实操流程图
1.
1.
2 服务侦察与发现
获取服务列表
XAMPP服务路径异常安全分析
1.
1.
3 枚举服务二进制权限欢迎❤️ 点赞 | 关注 | ⭐️ 收藏 | 评论
Windows权限提升在渗透测试中我们通常以非特权用户身份获得初始立足点。
但为了深入探测如搜索敏感信息、提取密码哈希等往往需要提升至管理员权限比如使用Mimikatz提取密码哈希这个过程就是特权提升。
权限提升三大路径本文开始介绍利用windows服务漏洞进行权限提升。
阶段目标关键方法
枚举Windows获取系统情报手动搜索 自动化工具
滥用Windows服务攻击服务漏洞服务配置缺陷、权限滥用
利用其他组件扩大攻击面计划任务、系统漏洞利用
1 滥用Windows服务提权
1.
1 Windows服务简介Windows服务是在后台长期运行的程序由服务控制管理器SCM统一管理类似于Unix/Linux系统中的守护进程。
特性描述管理方式服务管理工具、PowerShell、sc.exe命令行等工具进行管理。
运行账户使用LocalSystemNT AUTHORITY\SYSTEM 、BUILTIN\Administrators、Network Service、Local Service、自定义账户等来运行其自身的服务。
安全重要性滥用Windows服务可用于权限提升攻击
1.
1.
1Windows程序 vs. Windows服务类型运行账户选择说明普通Windows程序使用当前登录用户的权限启动时无需选择服务账户直接继承启动它的用户权限Windows服务必须配置特定的服务账户安装时必须指定运行账户独立于登录用户 详细解释
普通桌面程序非服务当在Windows上双击一个.exe文件或从开始菜单启动程序时✅不选择服务账户✅自动使用当前登录用户的身份和权限运行✅ 如果当前用户是标准用户程序就是标准权限✅ 如果当前用户是管理员程序可以请求提升权限UAC弹窗例如您以用户Alice登录启动记事本记事本就以Alice的权限运行。
Windows服务后台服务服务是一种特殊的程序由服务控制管理器SCM管理✅必须预先配置运行账户✅ 配置在服务安装时设置存储在注册表中✅独立于任何登录用户即使无人登录也能运行✅ 常见的服务账户选项服务账户类型权限级别典型用途LocalSystem 最高SYSTEM系统核心服务Local Service 较低本地受限不需要网络访问的服务Network Service 中等网络受限需要网络通信的服务自定义用户账户 按账户权限特定业务应用类比理解普通程序 像您亲手做的任务用您自己的权限Windows服务 像您雇佣的工人可以指定他使用哪种工作证账户安全意义正是因为服务可以配置为高权限账户运行如SYSTEM而且长期后台运行才使得我们之前讨论的服务漏洞如二进制劫持如此危险——攻击者只需替换文件下次服务重启就会以高权限执行恶意代码。
3.
常见问题Q我可以用管理员权限运行普通程序吗A可以通过“以管理员身份运行”但这只是临时提升权限与服务账户是不同概念。
Q普通程序能像服务一样在后台运行吗A技术上可以如使用计划任务但这不是标准的“Windows服务”也不使用服务账户体系。
Q为什么我的程序不能直接选择“以SYSTEM运行”ASYSTEM是受保护的内置账户只有通过服务机制或特殊漏洞利用才能获得此权限。
简单说只有Windows服务才需要预先配置服务账户普通桌面程序直接使用当前用户权限运行。
这个区别是理解Windows权限提升攻击的关键基础
1.
1.
2 三种服务滥用攻击方式本系列文章主要介绍其中三种通过滥用服务来提权。
攻击类型核心原理关键条件劫持服务二进制文件替换可执行文件对服务二进制文件有写入权限劫持服务DLL文件替换依赖的DLLDLL加载路径不安全利用未加引号的服务路径路径解析漏洞服务路径未用引号包裹且存在空格
1.
2 劫持服务二进制文件攻击实战
1.
1.
1 攻击场景软件开发人员安装服务时权限配置不当使普通用户Users组对服务二进制文件拥有完全控制权读写权限。
攻击链流程
攻击步骤详解侦察阶段攻击者发现某个服务的二进制文件权限设置存在漏洞替换阶段将原始服务程序替换为恶意程序触发阶段手动重启服务或等待系统重启若服务设置为自动启动提权阶段恶意程序以服务账户通常是LocalSystem权限执行
攻击利用的关键要点权限配置错误是根本原因服务重启机制是攻击触发器LocalSystem账户提供最高权限执行环境
攻击实操流程图
1.
1.
2 服务侦察与发现我们的目标攻击主机是CLIENTWK220我们先通过RDP远程桌面连接输入用户名dave和密码到这台主机开始获取本主机“所有已安装的Windows服务的列表”。
获取服务列表可选择各种方法如①GUI中的services. msc如下图②Get-Service使用PowerShell查询③Get-CimInstance取代Get-WmiObject使用PowerShell查询这里使用此方法。
# 查询所有运行中的服务 Get-CimInstance -ClassName win32_service | Select Name,State,PathName | Where-Object {$_.State -likeRunning}命令组件作用备注Get-CimInstance查询WMI对象替代Get-WmiObjectwin32_service服务信息类包含服务的详细数据Select选择关键字段列Name、State、PathNameWhere-Object过滤条件只显示Running状态 关键发现XAMPP服务异常路径Apache和MySQL安装在C:\xampp\而非C:\Windows\System32风险提示用户自己安装的服务往往权限配置不当易成为攻击目标⚠️注意非交互式登录如WinRM或绑定shell来查询服务时使用Get-CimInstance和Get-Service查询非管理员用户的服务时会出现“权限被拒绝”的错误。
使用交互式登录如RDP可以解决这个问题。
XAMPP服务路径异常安全分析发现XAMPP服务异常路径用户自定义安装的服务往往权限配置不当易成为攻击目标。
对比维度标准安全情况当前风险情况安装路径C:\Windows\System32\系统受保护目录C:\xampp\用户自定义目录安装类型系统级标准安装用户级自定义安装权限控制严格系统ACL保护依赖用户设置的松散权限管理责任操作系统厂商软件开发/部署人员 攻击链条简化非标准安装路径 → 宽松权限配置 → 二进制文件可被替换 → 服务重启执行恶意代码 → 系统权限沦陷️ 关键安全启示对于系统管理员 监控非标准路径服务定期审查不在System32下的服务二进制 严格权限审核确保服务文件仅有必要的最小权限 建立软件安装规范限制用户自定义安装高权限服务对于开发人员⚙️ 遵循最小权限原则服务账户避免使用SYSTEM等高权限 使用受保护目录或将自定义目录纳入安全监控范围 明确权限需求精准配置所需权限避免“完全控制”
总结要点“非常规路径 宽松权限 高危攻击面”
1.
1.
3 枚举服务二进制权限接下来枚举这两个服务二进制文件的权限。
可选择传统的icacls程序PowerShell的Get-ACL。
在这个例子中将使用icacls它既可在PowerShell中使用也可在Windows命令行中使用。
权限对比对比维度Apache httpd.exeMySQL mysqld.exe文件路径C:\xampp\apache\bin\httpd.exeC:\xampp\mysql\bin\mysqld.exe关键用户组以dave登录BUILTIN\UsersBUILTIN\Users权限状态读取和执行 (RX)完全控制 (F)权限含义- R读取文件内容- X执行文件- F完全控制- R读取- W写入/修改- X执行- D删除继承标记未明确可能为默认无(I)标记手动设置攻击可行性❌不可行无法替换文件✅完全可行可直接替换为恶意程序风险等级 低风险 高危风险安全影响用户仅能运行合法程序用户可植入任意恶意代码 关键权限说明F完全控制读、写、执行、删除RX读取和执行(I)继承标记本例中无此标记说明权限是手动设置的在 icacls 的输出中权限被标记为 I 时表示该权限是继承的但 I 并不是一个权限掩码只是一个表示继承状态的标记。
欢迎❤️ 点赞 | 关注 | ⭐️ 收藏 | 评论每一份支持都是我持续输出的光。