操作系统权限提升(十一)之系统错误配置-启动项提权
2023-09-14 09:16:26 时间
系列文章
操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权
操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权
操作系统权限提升(九)之系统错误配置-泄露敏感信息提权
操作系统权限提升(十)之系统错误配置-计划任务提权
注:阅读本编文章前,请先阅读系列文章,以免造成看不懂的情况!!
启动项提权
启动项提权原理
windows启动项目录下的脚本可以开机自启,利用这一个特性向上述的目录传入恶意的脚本达到提权的目的,前提是你当前的用户有对启动项目录或者启动项注册表的更改权限
提权环境
启动项文件夹如下
启动文件夹
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C: \Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
然后对于启动项文件夹对用户赋予完全控制权限
启动注册表如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Run\ServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Services
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run\Oncel\Setup
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\Current\Version\Run\Once\Setup
HKEY_LOCAL_MACHINE\SOFT\WAREMicrosoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\RunOnce
HKEY_CURRENT_USER\SoftwarelMicrosoft\Windows\Current\Version\Run
HKEY_LOCAL_MACHINE\SOFT\WARE\Microsoft\Windows\Current\Version\Run
启动项提权实战
首先获取一个MSF或者CS的shell
查询文件夹权限
shell accesschk.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
发现我们普通用户组对该文件夹有RW权限
将恶意文件进行复制
shell copy 1.exe "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"
//copy 恶意文件 目标目录
等待管理员电脑重启获取SHELL,提权成功
相关文章
- PyTorch JIT 模型部署常见错误
- rpc服务器不可用 dcom 无法使用任何配置的协议与计算机,如何修复Windows上的“RPC服务器不可用”错误?…
- 共享打印机无法连接到打印机0x00000bcb_共享打印机错误为0X0000011b
- 【错误记录】Android 应用配置第三方 so 动态库 ( /data/app/comxxx==/base.apk/lib/arm64-v8a]couldn‘t find “libx.so“ )
- 【错误记录】Android Studio 中 Gradle 配置报错 ( Can‘t determine type for tag ‘<item name=““ type=“String“>)
- SQLServer 错误 1204 SQL Server 数据库引擎的实例此时无法获得 LOCK 资源。 请在活动用户较少时重新运行该语句。 请询问数据库管理员,检查此实例的锁定和内存配置,或检查是否有长时间运行的事务。 故障 处理 修复 支持远程
- SQLServer 错误 21899 重定向发布服务器“%s”中的查询失败,该查询用于确定原始发布服务器“%s”的订阅服务器是否存在 sysserver 条目,失败时错误为“%d”,错误消息为“%s”。 故障 处理 修复 支持远程
- SQLServer 错误 30089 全文筛选器后台程序宿主(FDHost)进程已异常停止。 如果在执行全文检索或查询处理期间配置错误或工作不正常的语言组件(如断字器、词干分析器或筛选器)造成了无法恢复的错误,则会出现这种情况。 该进程将自动重新启动。 故障 处理 修复 支持远程
- PHP error_log():错误日志的配置和使用方法
- oracle 11g配置 解决启动连接数据库出现的ora错误
- 错误
- 启动Eclipse 弹出”Failed to load the JNI shared library jvm.dll”错误详解程序员
- js,java,浮点数运算错误及应对方法详解编程语言
- 错误解决MySQL配置时的用户名错误(mysql配置时的用户名)
- 解决Oracle异常错误的方法汇总(oracle异常错误)
- SQLServer配置防止除零错误(sqlserver 除零)
- 错误安装oracle时遇到错误内置帐号安装失败(oracle内置帐号安装)
- IIS配置与错误提示解决方法
- 由于扩展配置问题而无法提供您请求的页面错误解决方法