web-dev-qa-db-fra.com

Système d'escalade de privilège Windows Shell meurt rapidement

J'ai une coquille restreinte par l'utilisateur et j'ai utilisé un hôte UPnPN Exploit qui me donne un accès root à nc.exe. Je suis capable d'obtenir une coquille comme système, mais cela décède après 30 secondes en raison du service non reconnu puis de se terminer. Dans ce temps, que puis-je faire pour récupérer une autre coquille système.

J'ai essayé d'ajouter un autre utilisateur en tant qu'administrateur mais ne sait pas comment passer à cet utilisateur. Je veux aussi éviter de faire mon utilisateur actuel comme administrateur que d'autres personnes attaquent la même boîte

Je peux utiliser Metrepiter pour migrer vers un autre processus, mais je voudrais le faire plus à la fois et je cherche une solution plus simple

penetration-testprivilege-escalationmicrosoft
5
Anderson

Si je lis cela correctement, vous avez changé de service Windows, UPnHost, d'utiliser un exécutable différent de celui-ci, non? Si tel est le cas, le processus meurt car il ne répond pas correctement à l'hôte de tâche, il est donc tué par le système.

J'ai essayé d'ajouter un autre utilisateur en tant qu'administrateur mais ne sait pas comment passer à cet utilisateur.

Vous pouvez basculer à l'aide de votre bureau à distance. Tout ce qui est généré par nc.exe sera probablement tué immédiatement à côté de cela.

Je présume que c'est ainsi que vous avez ajouté le nouvel utilisateur en tant qu'administrateur?

Net User anderson cooper /add && net localgroup administrators anderson /add

Méthode 1: Bureau à distance

Essayez de RDP dans la machine avec le nom d'utilisateur anderson et le mot de passe cooper. Si RDP n'est pas ouvert, activez-le:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Méthode 2: Migration de compteur

Alternativement, vous pouvez télécharger une coquille de compteur et utiliser cela au lieu de NCL NC, puis rapidement migrer vers un autre processus afin que la coque continue de fonctionner.

4
Mark Buffalo

J'ai trouvé à l'occasion à l'occasion de la coque inverse pour exécuter une autre enveloppe inverse NC.EXE à votre boîte d'attaque avant que les matrices de service ne conservent le service initial de se bloquer. Ensuite, utilisez la deuxième enveloppe inverse pour continuer. J'espère que cela fonctionne pour vous, bonne chance!

3
countrhack