Windows 权限提升攻击中,滥用 Windows 服务是常见路径。讲解如何通过枚举系统服务、分析服务二进制文件权限来识别潜在漏洞。重点演示了 XAMPP 服务因安装在非标准路径且权限配置不当,导致普通用户可修改服务程序的情况。通过 icacls 命令检查 Apache 和 MySQL 服务的访问控制列表,发现 MySQL 进程对 mysqld.exe 拥有完全控制权,存在被替换为恶意程序的风险。当服务重启时,恶意代码将以 LocalSystem 高权限执行,从而实现权限提升。此过程强调了监控非标准路径服务及严格审核文件权限的重要性。
在渗透测试中,我们通常以非特权用户身份获得初始立足点。但为了深入探测(如搜索敏感信息、提取密码哈希等),往往需要提升至管理员权限(比如:使用 Mimikatz 提取密码哈希),这个过程就是特权提升。
**权限提升三大路径:**本文开始介绍:利用 windows 服务漏洞进行权限提升。
| 阶段 | 目标 | 关键方法 |
|---|---|---|
| 1. 枚举 Windows | 获取系统情报 | 手动搜索 + 自动化工具 |
| 2. 滥用 Windows 服务 | 攻击服务漏洞 | 服务配置缺陷、权限滥用 |
| 3. 利用其他组件 | 扩大攻击面 | 计划任务、系统漏洞利用 |
**Windows 服务:**是在后台长期运行的程序,由服务控制管理器(SCM)统一管理,类似于 Unix/Linux 系统中的守护进程。
| 特性 | 描述 |
|---|---|
| 管理方式 | 服务管理工具、PowerShell、sc.exe 命令行等工具进行管理。 |
| 运行账户 | 使用 LocalSystem(NT AUTHORITY\SYSTEM、BUILTIN\Administrators)、Network Service、Local Service、自定义账户等来运行其自身的服务。 |
| 安全重要性 | 滥用 Windows 服务可用于权限提升攻击 |
| 类型 | 运行账户选择 | 说明 |
|---|---|---|
| 普通 Windows 程序 | 使用当前登录用户的权限 | 启动时无需选择服务账户,直接继承启动它的用户权限 |
| Windows 服务 | 必须配置特定的服务账户 | 安装时必须指定运行账户,独立于登录用户 |
详细解释:
当在 Windows 上双击一个 .exe 文件或从开始菜单启动程序时:
**例如:**您以用户 Alice 登录,启动记事本,记事本就以 Alice 的权限运行。
服务是一种特殊的程序,由服务控制管理器(SCM)管理:
| 服务账户类型 | 权限级别 | 典型用途 |
|---|---|---|
| LocalSystem | 🟥 最高(SYSTEM) | 系统核心服务 |
| Local Service | 🟨 较低(本地受限) | 不需要网络访问的服务 |
| Network Service | 🟧 中等(网络受限) | 需要网络通信的服务 |
| 自定义用户账户 | 🟩 按账户权限 | 特定业务应用 |
类比理解:
安全意义:
正是因为服务可以配置为高权限账户运行(如 SYSTEM),而且长期后台运行,才使得我们之前讨论的服务漏洞(如二进制劫持)如此危险——攻击者只需替换文件,下次服务重启就会以高权限执行恶意代码。
Q:我可以用管理员权限运行普通程序吗?
**A:**可以,通过'以管理员身份运行',但这只是临时提升权限,与服务账户是不同概念。
Q:普通程序能像服务一样在后台运行吗?
**A:**技术上可以(如使用计划任务),但这不是标准的'Windows 服务',也不使用服务账户体系。
Q:为什么我的程序不能直接选择'以 SYSTEM 运行'?
**A:**SYSTEM 是受保护的内置账户,只有通过服务机制或特殊漏洞利用才能获得此权限。
简单说:**只有 Windows 服务才需要预先配置服务账户,普通桌面程序直接使用当前用户权限运行。**这个区别是理解 Windows 权限提升攻击的关键基础!
本系列文章主要介绍其中三种通过滥用服务来提权。
| 攻击类型 | 核心原理 | 关键条件 |
|---|---|---|
| 劫持服务二进制文件 | 替换可执行文件 | 对服务二进制文件有写入权限 |
| 劫持服务 DLL 文件 | 替换依赖的 DLL | DLL 加载路径不安全 |
| 利用未加引号的服务路径 | 路径解析漏洞 | 服务路径未用引号包裹且存在空格 |
软件开发人员安装服务时权限配置不当,使普通用户(Users 组)对服务二进制文件拥有完全控制权(读写权限)。
我们的目标攻击主机是 CLIENTWK220,我们先通过 RDP 远程桌面连接(输入用户名 dave 和密码)到这台主机,开始获取本主机'所有已安装的 Windows 服务的列表'。
可选择各种方法,如:
① GUI 中的 services.msc,如下图:
② Get-Service:使用 PowerShell 查询
③ Get-CimInstance(取代 Get-WmiObject):使用 PowerShell 查询,这里使用此方法。
# 🎯 查询所有运行中的服务: > Get-CimInstance -ClassName win32_service | Select Name,State,PathName | Where-Object {$_.State -like 'Running'}
| 命令组件 | 作用 | 备注 |
|---|---|---|
| Get-CimInstance | 查询 WMI 对象 | 替代 Get-WmiObject |
| win32_service | 服务信息类 | 包含服务的详细数据 |
| Select | 选择关键字段列 | Name、State、PathName |
| Where-Object | 过滤条件 | 只显示"Running"状态 |
关键发现:
C:\xampp\而非 C:\Windows\System32⚠️ 注意:非交互式登录(如 WinRM)或绑定 shell来查询服务时,使用 Get-CimInstance 和 Get-Service 查询非管理员用户的服务时会出现**'权限被拒绝'的错误**。使用交互式登录如RDP,可以解决这个问题。
发现 XAMPP 服务异常路径,用户自定义安装的服务往往权限配置不当,易成为攻击目标。
| 对比维度 | 标准安全情况 | 当前风险情况 |
|---|---|---|
| 安装路径 | C:\Windows\System32\(系统受保护目录) | C:\xampp\(用户自定义目录) |
| 安装类型 | 系统级标准安装 | 用户级自定义安装 |
| 权限控制 | 严格系统 ACL 保护 | 依赖用户设置的松散权限 |
| 管理责任 | 操作系统厂商 | 软件开发/部署人员 |
攻击链条简化
非标准安装路径 → 宽松权限配置 → 二进制文件可被替换 → 服务重启执行恶意代码 → 系统权限沦陷
关键安全启示:
对于系统管理员:
对于开发人员:
总结要点
'非常规路径 + 宽松权限 = 高危攻击面'
接下来,枚举这两个服务二进制文件的权限。可选择:
在这个例子中将使用 icacls,它既可在 PowerShell 中使用,也可在 Windows 命令行中使用。
权限对比:
| 对比维度 | Apache httpd.exe | MySQL mysqld.exe |
|---|---|---|
| 文件路径 | C:\xampp\apache\bin\httpd.exe | C:\xampp\mysql\bin\mysqld.exe |
| 关键用户组(以 dave 登录) | BUILTIN\Users | BUILTIN\Users |
| 权限状态 | 🔒 读取和执行 (RX) | 🚨 完全控制 (F) |
| 权限含义 | - R:读取文件内容 - X:执行文件 | - F:完全控制 - R:读取 - W:写入/修改 - X:执行 - D:删除 |
| 继承标记 | 未明确(可能为默认) | 无 (I) 标记(手动设置) |
| 攻击可行性 | ❌ 不可行(无法替换文件) | ✅ 完全可行(可直接替换为恶意程序) |
| 风险等级 | 🟢 低风险 | 🔴 高危风险 |
| 安全影响 | 用户仅能运行合法程序 | 用户可植入任意恶意代码 |
关键权限说明
在 icacls 的输出中,权限被标记为 I 时:表示该权限是继承的,但 I 并不是一个权限掩码,只是一个表示继承状态的标记。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online