系列文章

操作系统权限提升(一)之操作系统权限介绍
操作系统权限提升(二)之常见提权的环境介绍
操作系统权限提升(三)之Windows系统内核溢出漏洞提权
操作系统权限提升(四)之系统错误配置-Tusted Service Paths提权
操作系统权限提升(五)之系统错误配置-PATH环境变量提权
操作系统权限提升(六)之系统错误配置-不安全的服务提权
操作系统权限提升(七)之系统错误配置-不安全注册表提权
操作系统权限提升(八)之系统错误配置-注册表键AlwaysInstall提权
操作系统权限提升(九)之系统错误配置-泄露敏感信息提权

注阅读本编文章前请先阅读系列文章以免造成看不懂的情况

计划任务提权

计划任务提权原理

计划任务提权的原理非常的简单就是在设置计划任务的时候配置不当导致我们可以更改计划任务执行的文件我们可以进行劫持然后替换成自己的恶意文件达到提权的目的

提权环境

配置一个计划任务是一个bat或者exe都行

配置计划任务名称为test并以最高权限运行

设置触发器选项

新建任务

触发器设置如下

进入操作选项

点击新建

操作设置如下

设置完成点击确定

或者我们也可以用命令行的形式来设置计划任务

schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f

然后将我们test目录的文件可执行权限设置成普通用户组完全执行这样普通用户组就对该文件夹有完全控制权限了

点击确定

计划任务提权实战

拥有一个MSF或者CS的shell

使用命令查询计划任务的运行情况一般权限低的用户是查询不了高权限的计划任务的

schtasks /query /fo LIST /v

如果提示无法加载资源就要更改编码

 chcp 437

此时我们假设查找到了一个名为test的计划任务该计划任务的内容是每隔一分钟执行C盘目录下的test文件夹中的1.exe程序

使用accesschk工具查询权限

accesschk apache C:\

发现当前用户对test文件有RW权限而test文件又刚刚好在执行计划任务

此时我们就可以将test文件夹中计划任务执行的程序替换为自己的程序

这里我们将我们的恶意程序copy到test文件夹内

copy C:\Users\apache\Desktop\1.exe c:\test\1.exe

此时的程序已经被我们替换成了恶意文件

然后等待计划任务定时运行机器上线就行了