在第三天我们简单的说了一下绕过uac，但是我们使用的msf模块ask要对方管理员跟我们一起来进行操作，才可以进行提权的操作，这点就限制住了我们。我们今天来讲一下不用钓鱼的绕过的操作。

绕过uac：

使用uacme项目和msf联动来进行绕过，项目绕过的模块更多。

要使用vs studio进行编译才可以使用。下面主要演示的使用msf内置模块进行绕过的操作。

我们不一定要使用msf的ask模块，因为它实现的要求比较的严格了，msf里面内置了比较的多的模块，我们下面可以使用下面的2种模块来进行绕过的操作：

use exploit/windows/local/bypassuac_sluihijack

use exploit/windows/local/bypassuac_silentcleanup

然后我们来看看我本地实现的例子：还是win10 IP 192.168.163.135

然后kail  ip  192.168.163.131

前面的生成木马我们就不演示了，然后我们这个情况是在取得了webshell权限的，或者取得了对方的普通用户的权限的情况下，进行的权限提升操作。

 

这里开启了监听的功能，然后我们在等待上线。然后我们在看看现在是什么权限

然后我们在直接使用提权看看可以不？？？

现在发现不能进行提权的操作，然后我们使用模块bypass也是绕不过的。我们在使用上面说的2个模块来进行操作，我下面就演示其中一种的操作：

上面的模块没有成功我们换一个来进行操作：下面这点也是成功了，我们在来进行验证的操作

 

dll劫持：

 dll是什么？？说简单一点就是windows的动态链接库，也就是你一个程序要执行的时候，它会给你去找其他的文件一起来执行。

dll文件在Windows中是动态链接库的文件，然后在liunx中是.so文件

在mysql的udf提权的时候就使用到了dll文件，我们利用msf来进行写入dll文件到lib/public文件夹下面去

 然后我们要找第三方软件的来的来进行操作：

我们在win10上面来看看先生成了一下dll文件

然后我们在进行下一步操作，找我们要更换的文件看看

找了半天看到这个来试试看行不行

现在已经换成了我们的后门文件我们先来监听看看行不行

这点我换了这个dll文件程序就跑不起来了，我也不知道换什么文件可以进行，大概原理就是这样，我们在进行测试的时候，自己在本地下一个与我们目标机器一样的版本或者相近的，然后在本地测试然后可以使用过后的上传到目标机器进行操作。我这就不演示了。

 不安全的服务路径：

什么是不安全的服务路径，也就是说我们的路径里面的地址在服务中没有被双引号包含并且有空格，这点就是不安全的服务路径。我们没有被包含的话，我们系统会把空格之前的当作程序进行执行，然后后面的就相当于是参数。

然后我们就需要把我们的后门程序换成空格之前的一样的名字就行了，然后在把原来的文件进行上传，换成我们的后门程序来进行操作。我们可以使用命令也可以使用powershell脚本

来进行找，如果靠我们自己来查看的话，就太麻烦了。

wmic service get name,displayname,pathname,startmode |findstr /i "Auto"|findstr /i /v "C:\Windows\\" |findstr /i /v """这个是windows自带的命令来进行操作的。看你会因为权限问题导致执行不了

或者使用github上面的项目jaws来进行操作

这里就找到了我们要的服务。然后在自己手工判断一下是不是没有空格

使用脚本来得到的也是一样的

然后我们找到了我们符合我们条件的服务路径过后，我们在进行下一步的操作。

我举一个例子：

比如说

c:/cheshi /mysql/index.exe这个路径的话

我们就可以构造一个

cheshi.exe的后门文件  然后把当前目录的cheshi给删除掉，在上传我们的后门文件进行替换

这样我们在进行服务重启的就可以执行我们的后门文件，我们就可以得到system的权限了。

使用jaws脚本来看看有没有不安全的服务路径来进行的操作：

我们在根据服务的路径更换我们想要的程序名字然后放在当前的文件中去。

虚拟机里面跑出来是没有不安全的路径的，现在我先写完大概的流程。后面可以实现了我在进行修改文章的操作。现在就不给大家看提权的操作了，大概的流程就是我说的那样来进行提权的操作。

下面我们来看看最后一个提权的方法：

不安全的服务权限：

我们先来解释一下这2个的区别：

上面的那个是不能进行修改服务的路径的

而不安全的服务权限是可以修改服务路径的，这样一说大家就知道了，我们该怎么办了吧。

就是修改一个服务的路径，改为我们服务程序的路径，然后重启服务，这样我们就进行了提权的操作，不知道大家有没有明白我说的这个情况。一个是不能修改路径一个是可以修改路径。我们把服务路径改成自己的后面服务路径，这样就可以提权操作了。

大家要搞清楚这2者之间的区别。

使用命令如下： 

更改路径的操作命令 sc config "名字" binpatch="路径"

sc start 名字 启动服务来进行操作

 然后我们就进行监听就可以看见权限得到了提升的操作。