Skip to main content

AlwaysInstallElevated提权

如果系统管理员在注册表以及主策略里配置了AlwaysInstallElevated,意味着任何用户可以在安装msi包裹的时候以SYSTEM权限执行,这无疑带来了一个提权路径。

image.png

image.png

我们可以通过命令 reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated 进行查询。提权工具也可以协助我们检查甚至加以利用。

image.png

但需要注意的是,PowerUp脚本生成的MSI包裹所使用的.NET版本过于陈旧,在较新的系统上不适用了,因此我们需要手动创建MSI包裹文件。Metasploit同样可以生成MSI类型的载荷,但很容易被AV/EDR所检测。

我们可以使用工具wix(https://github.com/wixtoolset/wix3)来将包含二进制文件或者任意命令的模板 (https://github.com/KINGSABRI/MSI-AlwaysInstallElevated)进行打包然后安装。

image.png

需要注意的是,有的情况下MSI需要被签名了才允许被安装。

Back to top