這篇文章記錄一下Windows中利用PsExec提權成超越administrator權限,成為更高權限system的方法。
教學與PoC
工具直接去微軟官網下載就好
https://docs.microsoft.com/en-us/sysinternals/downloads/psexec
把下載好的PSTools.zip解壓縮到一個資料夾下
以系統管理員身分執行CMD(命令提示字元)
然後切換目錄到剛剛解壓縮的該目錄下
譬如
cd C:\Users\XXXX\Downloads\PSTools\執行指令
psexec.exe -s -i cmd.exeCode language: CSS (css)應該就會彈出另一個視窗
成功拿到 systemroot 的cmd.exe
可以下指令whoami確認,身分會是nt authority\system
你就成功取得了傳說中的最高system權限
超越administrator的權限
如果上面指令失敗了
顯示存取被拒
有個可能是你的CMD執行的權限不夠
必須要用上面的方法來以系統管理員身分執行CMD才行
一般在視窗路徑輸入CMD的方法,權限很可能不夠高
其他 PsExec 指令
來源: https://blog.yowko.com/psexec/
用法
psexec [\\ computer [,computer2 [,...] | @file]] [ - u user [-p psswd] [ - ns] [ - r servicename] [ - h] [ - l] [ - s | -e] c [-f | -v]] [ - w directory] [ - d] [ - <priority>] [ - an,n,...]
Code language: HTML, XML (xml)參數
| 參數 | 說明 |
|---|---|
| -a | 指定特定處理器執行應用程式 (For example, 指定 cpu 2 及 cpu 4 來執行程式 : “-a 2, |
| -c | 將指定執行的程式複製至目標電腦上執行;如果未使用這個參數,需確保程式存在目標電腦上的環境變數 |
| -d | 不等執行程序終止 (非互動性). |
| -e | 不載入特定帳戶的個人資料. |
| -f | 目標電腦上已存在要執行的檔案,仍然複製 |
| -i | 在目標電腦上建立專屬的 session 來執行程式.未指定會在 console session 下執行 |
| -h | 如果目標系統是 Vista 之後,在允許的情況下會提高帳戶安全性層級來執行程式 |
| -l | 以受限使用者來執行(取消管理者群組權限,只允許指定使用者群組的權限)。 Vista 會使用低完整 |
| -n | 指定連線至目標電腦連線逾期的時間(單位:秒) |
| -p | 指定帳號的密碼.如果未使用這個參數提供,會跳出視窗要求密碼 |
| -r | 指定目標電腦上的 service –> 這我測不出用途 |
| -s | 在目標電腦的系統帳戶下執行程式 |
| -u | 指定登入目標電腦的使用者帳號 |
| -v | 需執行的檔案比目標電腦新才複製檔案 |
| -w | 設定執行的工作目錄 (對於目標電腦而言). –> 這我測不出用途 |
| -x | Display the UI on the Winlogon secure desktop (local system only). |
| -priority | 指定不同的優先程式來執行程式: -low, -belownormal, -abovenormal, -high or -realtime. Vista 可以使用 -background 來降低 memory 跟 I/O . |
| computer | 指定 PsExec 執行指令的目標電腦.如果未指定電腦名稱就會直接在本機執行; 如果使用 (*) 來指定執行目標,發動電腦及目標電腦需在同一個網域中 |
| @file | 執行指令的目標對象清單檔案 |
| cmd | 想要執行的應用程式名稱 |
| arguments | 執行應用程式的參數(檔案路徑需是目標電腦上的絕對路行). |
| -accepteula | 隱藏授權視窗 |
其他工具PsTools列表
| 工具 | 描述 |
|---|---|
| PsExec | 可讓您在任何使用者內容中執行處理序。 |
| PsFile | 顯示系統上以遠端方式開啟的檔案。 |
| PsGetSid | 顯示電腦或使用者的 Windows 安全性識別碼 (SID)。 |
| PsInfo | 列出有關 Windows 系統的資訊。 |
| PsKill | 根據名稱或處理序識別碼刪除處理序。 |
| PsList | 列出有關執行中處理序的詳細資訊。 |
| PsLoggedOn | 顯示所有本機登入使用者,以及遠端資源共用使用者。 |
| PsLogList | 傾印 Windows 事件記錄檔記錄。 |
| PsPasswd | 變更使用者帳戶密碼。 |
| PsService | 檢視和控制 Windows 服務。 |
| PsShutdown | 讓電腦關閉、重新啟動、休眠或暫止。 |
| PsSuspend | 暫止執行中的處理序。 |
第二章圖片好像誤植成第四張圖片了,內容應該是下cd指令的畫面才對。
感謝提醒! 原本第二章圖片是放錯了, 我已經移除掉它了
也抱歉因為被垃圾留言淹沒的緣故,隔了一個月才看到與回覆你的留言XD