在Windows系统中,权限大概分为四中,分别是:

User:普通用户权限
Administrator:管理员权限,可以利用Windows机制提升为System权限
System:系统权限
TrustedInstaller:Windows中最高权限。有些文件,连System权限也无法修改,只能TrustedInstaller权限修改。

我们获得了一个Windows系统的普通用户权限,由于低权限用户的很多操作将受到限制。所以,我们会想法设法地将低权限用户提权到高权限用户。例如,从 Webshell(apache)、数据库权限——>系统普通用户权限——>Administrator权限——>System权限。反正,我们的最终目的就是拿到该主机的最高权限。

Windows内核溢出漏洞提权

Windows内核溢出漏洞提权通过系统本身存在的一些漏洞,未曾打相应的补丁而暴露出来的提权方法,依托可以提升权限的EXP和它们的补丁编号,进行提升权限
本地溢出提权首先要有服务器的一个普通用户权限,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出Administrator权限。
github上windows系统溢出漏洞提权的汇总:https://github.com/SecWiki/windows-kernel-exploits

实战中最常用的本地溢出提权有 CVE-2018-8120、MS16-032、MS15-051 和 MS14-058 。
在MSF中,最常用的提权模块是CVE-2018-8120;
在CobaltStrike中,最常用的提权模块的是 MS14-058。这四个提权,都有对应的exe程序。exe程序均支持32和64位的机器。

手工查找补丁情况

systeminfo
Wmic qfe get Caption,Description,HotFixID,InstalledOn
wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB4131188"  #直接找是否存在cve-2018-8120对应的KB4131188补丁

93946-jd5hufboy3.png

85039-qd0ieam1yaa.png

可以看到只安装了3个补丁

WMIC是Windows Management Instrumentation Command-line的简称,它是一款命令行管理工具,提供了从命令行接口到批命令脚本执行系统管理的支持,可以说是Windows平台下最有用的命令行工具。使用WMIC,我们不但可以管理本地计算机,还可以管理统一局域网内的所有远程计算机(需要必要的权限),而被管理的计算机不必事先安装WMIC

利用Metasploit发现缺失补丁
利用post/windows/gather/enum_patches 模块 可以根据漏洞编号快速找出系统中缺少的补丁
设置获取的session即可运行

58474-jd2mb2860v.png

MSF下还提供了 post/multi/recon/local_exploit_suggester 模块,该模块用于快速识别系统中可能被利用的漏洞

74902-der2ggr8seg.png

Windows Exploit Suggester
该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可以识别可能导致权限提升的漏洞,而其只需要目标系统的信息。

#更新漏洞数据库,会生成一个xls的文件,如下 2020-11-11-mssb.xls
python windows-exploit-suggester.py --update
 
#查看目标主机系统信息,保存为sysinfo.txt文件
systeminfo > sysinfo.txt
 
#然后运行如下命令,查看该系统是否存在可利用的提权漏洞
python windows-exploit-suggester.py -d 2020-11-11-mssb.xls -i sysinfo.txt

23768-77g0nvy849b.png

漏洞复现
选择利用模块攻击

search  cve-2018-8120  

可以看到找到了一个漏洞利用Exploit模块,我们使用该模块

use exploit/windows/local/ms18_8120_win32k_privesc

59647-3p1pr4qid6m.png

设置 session 为我们刚刚获得权限的 session ID,run运行。

39510-ddbmp508ozb.png

可以看到,我们获得了 System 权限。


本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论