文章目录

• 提权方式
• Windows本地系统提权
• 实验环境：
• 模拟实验：
• • Windows 2003
  • • 1、安装IIS服务器、假设已拿下网站getshell
    • 2、利用没打补丁的漏洞提权
    • 3、利用提升的权限连接远程桌面
  • Windows 2008
  • • 1、安装IIS服务器、假设已拿下网站getshell
    • 2、利用没打补丁的漏洞提权
    • 3、利用提升的权限连接远程桌面
• 总结

提权目的
有时候，通过某些方式（如上传Webshell）获取执行命令的shell，但是会因为权限限制而无法执行某些命令。这时候为了“扩大战果”就需要利用提权，来让原本的低权限（如只允许列目录）–>高权限（拥有修改文件的能力）。

提权方式

• 本地漏洞提权
  1、本地服务提权漏洞
  iis6 iis5 （https://docs.microsoft/zh-cn/security-updates/Securitybulletins/2009/ms09-020）
  ftp（需要本身的ftp服务权限就很高，ftp，serv-u ftp，g6ftp等）
  smb（MS17-010）—在msf框架下成功很高，可以正常放回cmdshell
  rpc（ms08-067）
  2、系统内核提权漏洞
• 数据库提权
• 第三方软件提权

Windows本地系统提权

systeminfo收集补丁信息

实验环境：

• Windows Server 2008 R2 x64
• Windows Server 2003
• 浏览器
• 大马
• windows-kernel-exploits
• kai3389.exe

模拟实验：

Windows 2003

1、安装IIS服务器、假设已拿下网站getshell

将大马直接拖入C:\inetpub\wwwroot中

查看IP，用浏览器连接，密碼：xiaowang520

执行whoani命令，查看当前用户

2、利用没打补丁的漏洞提权

执行systeminfo命令查看系统补丁信息，对照漏洞补丁表发现目前已有的漏洞都没有补丁

找到C盘的RECYCLER文件夹

选择一个漏洞执行程序进行提权，选择上传到RECYCLER文件夹里

执行成功，复制路径加文件名在CMD命令中执行

如：C:\RECYCLER\ms15-051.exe whoami 执行成功，权限已更改

创建一个用户并加到管理员组中

查看管理组添加成功

3、利用提升的权限连接远程桌面

查看开启的端口，发现只有80开着

上传执行kai3389.exe开启3389端口

再次查看端口，3389已开启

輸入创建的账号

成功连接

Windows 2008

1、安装IIS服务器、假设已拿下网站getshell

将大马直接拖入C:\inetpub\wwwroot中

查看IP，用浏览器连接，密碼：xiaowang520

执行whoani命令，查看当前用户

2、利用没打补丁的漏洞提权

执行systeminfo命令查看系统补丁信息，对照漏洞补丁表发现目前已有的漏洞都没有补丁

找到C:\Windows\Temp\文件夹，将ms15-051的漏洞exp上传到此目录下

执行C:\Windows\Temp\ms15-051x64.exe whoami拿到了system的权限

创建zs用户并添加到管理员组

成功添加

3、利用提升的权限连接远程桌面

查看端口只有80开启

在刚才的目录上传kai3389.bat内容为REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
执行/c C:\Windows\Temp\ms15-051x64.exe C:\Windows\Temp\kai3389.bat开启3389端口

查看端口已开启

使用zs用户成功连接

总结

每个Windows版本都要使用正确的漏洞，否则可能导致服务器瘫痪，切记不能在物理机中使用这些漏洞exp，否则可能造成严重后果

文章目录

• 提权方式
• Windows本地系统提权
• 实验环境：
• 模拟实验：
• • Windows 2003
  • • 1、安装IIS服务器、假设已拿下网站getshell
    • 2、利用没打补丁的漏洞提权
    • 3、利用提升的权限连接远程桌面
  • Windows 2008
  • • 1、安装IIS服务器、假设已拿下网站getshell
    • 2、利用没打补丁的漏洞提权
    • 3、利用提升的权限连接远程桌面
• 总结

提权目的
有时候，通过某些方式（如上传Webshell）获取执行命令的shell，但是会因为权限限制而无法执行某些命令。这时候为了“扩大战果”就需要利用提权，来让原本的低权限（如只允许列目录）–>高权限（拥有修改文件的能力）。

提权方式

• 本地漏洞提权
  1、本地服务提权漏洞
  iis6 iis5 （https://docs.microsoft/zh-cn/security-updates/Securitybulletins/2009/ms09-020）
  ftp（需要本身的ftp服务权限就很高，ftp，serv-u ftp，g6ftp等）
  smb（MS17-010）—在msf框架下成功很高，可以正常放回cmdshell
  rpc（ms08-067）
  2、系统内核提权漏洞
• 数据库提权
• 第三方软件提权

Windows本地系统提权

systeminfo收集补丁信息

实验环境：

• Windows Server 2008 R2 x64
• Windows Server 2003
• 浏览器
• 大马
• windows-kernel-exploits
• kai3389.exe

模拟实验：

Windows 2003

1、安装IIS服务器、假设已拿下网站getshell

将大马直接拖入C:\inetpub\wwwroot中

查看IP，用浏览器连接，密碼：xiaowang520

执行whoani命令，查看当前用户

2、利用没打补丁的漏洞提权

执行systeminfo命令查看系统补丁信息，对照漏洞补丁表发现目前已有的漏洞都没有补丁

找到C盘的RECYCLER文件夹

选择一个漏洞执行程序进行提权，选择上传到RECYCLER文件夹里

执行成功，复制路径加文件名在CMD命令中执行

如：C:\RECYCLER\ms15-051.exe whoami 执行成功，权限已更改

创建一个用户并加到管理员组中

查看管理组添加成功

3、利用提升的权限连接远程桌面

查看开启的端口，发现只有80开着

上传执行kai3389.exe开启3389端口

再次查看端口，3389已开启

輸入创建的账号

成功连接

Windows 2008

1、安装IIS服务器、假设已拿下网站getshell

将大马直接拖入C:\inetpub\wwwroot中

查看IP，用浏览器连接，密碼：xiaowang520

执行whoani命令，查看当前用户

2、利用没打补丁的漏洞提权

执行systeminfo命令查看系统补丁信息，对照漏洞补丁表发现目前已有的漏洞都没有补丁

找到C:\Windows\Temp\文件夹，将ms15-051的漏洞exp上传到此目录下

执行C:\Windows\Temp\ms15-051x64.exe whoami拿到了system的权限

创建zs用户并添加到管理员组

成功添加

3、利用提升的权限连接远程桌面

查看端口只有80开启

在刚才的目录上传kai3389.bat内容为REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
执行/c C:\Windows\Temp\ms15-051x64.exe C:\Windows\Temp\kai3389.bat开启3389端口

查看端口已开启

使用zs用户成功连接

总结

每个Windows版本都要使用正确的漏洞，否则可能导致服务器瘫痪，切记不能在物理机中使用这些漏洞exp，否则可能造成严重后果