kali 权限提升之本地提权

作者：喀拉峻

2022 年 1 月 22 日
本文字数：1794 字
阅读完需：约 6 分钟

系统账号之间权限隔离

　　操作系统的安全基础

　　用户空间

　　内核空间

系统账号：

　　用户账号登陆时候获取权限令牌

　　服务账号无需用户登录已在后台启动服务

windows 用户全权限划分:

　　Users:普通用户组,Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料

　　Administrators:管理员组，默认情况下，Administrators 中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制　

　　System:拥有和 Administrators 一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在查看用户组的时候，它也不会被显示出来，它就是 SYSTEM 组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。

Linux 系统用户权限划分:

　　Users：普通用户

　　Root：管理员账号

管理员权限提升为 System 权限

1.at 实现管理员权限提升为 system 权限 #只能在 XP 与 2003 的系统上使用

1.1at 16:53 /interactive cmd #xp 或者 win2003

1.2 使用 taskmgr 命令打开任务管理器，杀死现用户桌面进程(explorer.exe)，新建 explorer.exe，则整个界面都在管理员（因为当前的 explorer 进程实在 system 权限运行的）

1.3 此时在重新打开 cmd,当前用户就变成 system 了

1.4 在 win7 使用 at 17：26 /interactive cmd 运行命令提示被限制

2.sc 实现把 administrator 提升为 system 可在 xp、win2003、win7、win8 等上使用

2.1sc create yycmd binPath= "cmd /k start" type= own type= interact #注意“=”之后有空格创建服务

sc start yycmd 启动创建的服务

2.2 在 win7 测试，可以看到提示警告信息，但是还是以交互式模式打开了一个 system 权限的终端(需要点击下图的“查看消息”)　

2.3 点击上图的查看消息之后，就出现一个以 system 权限运行的终端　

2.4 使用 taskmgr 命令打开任务管理器，杀死现用户桌面进程(explorer.exe)，新建 explorer.exe，则整个界面都在管理员（因为当前的 explorer 进程实在 system 权限运行的）

3.PsExec 实现把 administrator 提升为 system #可以在 xp、win2003、win7 等系统使用以有限的使用者权限执行处理程序

windows 系统有提供一个套件:https://docs.microsoft.com/zh-cn/sysinternals/downloads/

切换到 Psexec 所在目录然后执行 Psexec -I -s cmd #-i 交互模式，-s 使用 system 账号

4.Pinjecter 注入进程提权 #只能在 xp、win2003 中用

4.1 切换到 Pinjecter 所在目录,查看所有进程的 ID，找到要注入的进程 #选择 system 权限的进程

4.2 注入进程

4.3 在 kali 中用 nc 连接注入的进程的端口

4.4 在 win7 测试，当前是管理员然后运行程序提示拒绝访问

fgdump 【一个 windows 下的应用程序，kali 集成】

fgdump(kali /usr/share/windows-binaries) ，从 SAM 文件中获取账户信息

1.以 system 权限运行 fgdump(可以先把 administrator 提权为 system，然后结束 explorer.exe 进程，创建新的 explorer.exe,此时当前的整个系统都是 system 账户运行 r 然后双击 fgdump 或者把 administrator 提权为 system，然后在具有 system 的终端中运行 fgdump)，然后可以看到生成三个文件 #如果不以 system 权限运行 fgdump 的话，再打开 pwdump 里面是没有账户信息的