思维导图

webshell权限

③执行后门

④单纯令牌窃取

在刚才的test的基础之上，再执行potato.exe

进程调试

运行软件，使用火绒剑进行进程分析，查看调用了那些dll文件

找到dll文件

启动软件

msf启动监听，服务器运行flashfxp软件程序，成功监听到会话。

补充说明

• dll劫持提权需要特定软件应用的控制权限及启用配合，复杂鸡肋
• AlwaysInstallElevated提权默认禁用配置，利用成功机会很少

案例 3：Win2012-不安全的服务权限配合 MSF-本地权限

原理

即使正确引用了服务路径，也可能存在其他漏洞。由于管理配置错误，用户可能对服务拥有过多的权限。

例如，可以直接修改它导致重定向执行文件。

提权过程

检测服务权限配置———->制作文件并上传———->更改服务路径指向———->调用后成功

检测服务权限配置

AccessChk – Windows Sysinternals | Microsoft Docs

执行命令，检测当前用户所在组的服务权限（实战中一般都不是administrators组，这里仅做测试用），列出的都是当前用户可以操作的服务。

制作文件并上传

执行命令更改路径指向

监听会话

但是，如果服务的二进制路径未包含在引 中，则操作系统将会执行找到的空格分隔的服务路径的第一个实例。

比如:

有一个服务a.exe，他的可执行文件的路径是“C:Program Filesa.exe”，路径被包含在引 中，则系统会正常解释并执行它，但是如果可执行文件的路径是C:Program Filesa.exe，未被包含在引 中，则操作系统会执行空格之前的C:Program，而将空格之后的 Filesa.exe当做参数，导致出错，

如下图

启用服务或重启

启动服务。可以在webshell中或者本地启动服务。但是测试时，webshell中启动不了，所以不带引 服务路径提权方法还是多用于本地提权。

演示为手动

服务停止或者崩溃，权限也就没了。

涉及资源

https://github.com/tennc/webshell
https://www.sdbeta.com/wg/2020/0628/235361.html
https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075