網安學習-Windows權限提升1具體有哪些權限需要了解？Win溢出漏洞及AT&SC&PS提權

具體有哪些權限需要了解？

背景權限、網站權限、資料庫權限、接口權限、系統權限、域控權限等

背景權限：（通過爆破、弱密碼、注入猜解等）一般網站或者應用背景智能操作應用的界面内容、資料圖檔等資訊，無法操作程式的源代碼或伺服器上的資源檔案（如背景功能存在檔案操作的話也是可以操作檔案資料的）

網站權限：(獲得方式:以上三種思路擷取)檢視或修改(還要看有沒有鎖權)程式源代碼,可以進行網站或應用的配置檔案讀取(接口配置資訊、資料庫配置資訊等),還能收集伺服器作業系統等相關的資訊,為後續系統提權做準備。

資料庫權限：操作資料庫的權限,資料庫的增删改查等,源碼或配置檔案洩露,也可能是網站權限(webshell)進行的資料庫配置檔案讀取獲得。

接口權限：(郵件、短信、支付等)

背景或網站權限後的擷取途徑:背景(修改配置資訊功能點),網站權限(檢視配置檔案擷取)

Win溢出漏洞及AT&SC&PS提權

普通權限

預設情況下，系統為使用者分了7個組，并給每個組賦予不同的操作權限，管理者組(Administrators)、高權限使用者組(PowerUsers)、普通使用者組(Users)、備份操作組(Backup Operators)、檔案複制組(Replicator)、來賓使用者組(Guests)，身份驗證使用者組(Authenticated users)其中備份操作組和檔案複制組為維護系統而設定，平時不會被使用。

管理者組擁有大部分的計算機操作權限(并不是全部)，能夠随意修改删除所有檔案和修改系統設定隻有程式信任組（特殊權限)。再往下就是高權限使用者組，這一部分使用者也能做大部分事情，但是不能修改系統設定，不能運作一些涉及系統管理的程式。普通使用者組則被系統拴在了自己的地盤裡，不能處理其他使用者的檔案和運作涉及管理的程式等。來賓使用者組的檔案操作權限和普通使用者組一樣，但是無法執行更多的程式。身份驗證使用者組(Authenticated users)經過ms驗證程式登入的使用者均屬于此組。

特殊權限

除了上面提到的7個預設權限分組，系統還存在一些特殊權限成員，這些成員是為了特殊用途而設定，分别是:SYSTEM(系統)、Trustedinstaller(信任程式子產品)、Everyone(所有人)、CREATOR OWNER(建立者)等，這些特殊成員不被任何内置使用者組吸納，屬于完全獨立出來的賬戶。

真正擁有"完全通路權""的隻有一個成員:SYSTEM。這個成員是系統産生的，真正擁有整台計算機管理權限的賬戶，一般的操作是無法擷取與它等價的權限的。

“所有人"權限與普通使用者組權限差不多，它的存在是為了讓使用者能通路被标記為"公有"的檔案，這也是一些程式正常運作需要的通路權限——任何人都能正常通路被賦予""Everyone”權限的檔案，包括來賓組成員。

被标記為"建立者"權限的檔案隻有建立檔案的那個使用者才能通路，做到了一定程度的隐私保護。

但是，所有的檔案通路權限均可以被管理者組使用者和SYSTEM成員忽略，除非使用者使用了NTFS加密。

無論是普通權限還是特殊權限，它們都可以"疊加"使用，“疊加"就是指多個權限共同使用，例如一個賬戶原本屬于Users組，而後我們把他加入Administrators組在加入Trustedinstaller等權限提升，那麼現在這個賬戶便同時擁有兩個或多個權限身份，而不是用管理者權限去覆寫原來身份。權限疊加并不是沒有意義的，在一些需要特定身份通路的場合，使用者隻有為自己設定了指定的身份才能通路，這個時候"疊加"的使用就能減輕一部分勞動量了。

常見指令

        指令                                                                        描述

       system                                                                列印系統資訊

       whoami                                                               擷取目前使用者名

       whoami/priv                                                        目前使用者權限

       ipconfig                                                               網絡配置資訊

       ipconfig/displaydns                                             顯示DNS緩存

       route print                                                           列印出路由表

       arp -a                                                                  列印arp表

       hostname                                                            主機名

       net user                                                               列出使用者

       net user UserName                                             關于使用者的資訊

       net user \SMBPATH Pa$$w0rd /u:username      連接配接SMB

       net localgroup                                                      列出所有組

       net localgroup GROUP                                        關于指定組的資訊

       net view\127.0.0.1                                               會話打開到目前計算機

       net session                                                          開放給其他計算機

       netsh firewall show config                                    顯示防火牆配置

       DRIVERQUERY                                                   列出安裝的驅動

       tasklist /svc                                                           列出服務任務

       dir /s foo                                                                在目錄中搜尋包含指定字元的項

       dir /s foo == bar                                                     同上

       sc query                                                                 列出所有服務

       sc qc ServiceName                                               找到指定服務的路徑

       shutdown /r /t 0                                                     立刻重新開機

       type file.txt                                                             列印出内容

       icacls "C:\Example"                                               列出權限

條件有限，xd老師上課的實驗無法測試了，可以去看一下xd老師的課。隻做單純的知識點的記錄

AT&SC&PS提權

AT

cmd界面中執行at 15:13 /interactive cmd.exe，那麼就會在本地時間15.13的時候，啟動一個cmd指令，那麼執行whoami便可以看到是system權限。

SC

sc Create syscmd binPath="cmd /k start" typr= own type interact 建立指定的服務syscmd

sc start syscmd

同樣會彈出cmd程式，執行whoami之後便是system的權限。

PC

psexec.exe -accepteula -s -i -d cmd.exe（需要提前下載下傳号PSTools工具）

同樣也是system權限。