企业的网站建设与设计论文,wordpress 更新用户名,新开的公司怎么做网站,优秀个人网站设计图片系统内核漏洞提权
当目标系统存在该漏洞且没有更新安全补丁时#xff0c;利用已知的系统内核漏洞进行提权#xff0c;测试人员往往可以获得系统级别的访问权限。
查找系统潜在漏洞
手动寻找可用漏洞
在目标主机上执行以下命令#xff0c;查看已安装的系统补丁。
system…系统内核漏洞提权
当目标系统存在该漏洞且没有更新安全补丁时利用已知的系统内核漏洞进行提权测试人员往往可以获得系统级别的访问权限。
查找系统潜在漏洞
手动寻找可用漏洞
在目标主机上执行以下命令查看已安装的系统补丁。
systeminfo测试人员会通过没有列出的补丁号结合系统版本等信息借助相关提权辅助网站寻找可用的提权漏洞如MS18-8120与KB4131188对应、CVE-2020-0787与KB4540673对应等。 借助WES-NG查找可用漏洞
下载地址https://github.com/bitsadmin/wesng
1、在本地主机上执行以下命令更新最新的漏洞数据库。
python3 wes.py --update这里因为我的kali无法直接连接到更新源所以使用proxy代理。
2、在目标主机上执行systeminfo命令并将执行结果保存到sysinfo.txt中。然后执行以下命令使用WES-NG进行检查。
python3 wes.py sysinfo.txt --impact ELevation of Privilege#–impact 指定漏洞类型为提权漏洞 执行以下命令查找所有已公开EXP的提权漏洞。
python3 wes.py sysinfo.txt --impact Elevation of Privilege --exploits-only根据查到的可用漏洞和给出的Exploit参考链接测试人员可以寻找相应的漏洞利用程序。然后上传利用。
示例
下载下来sysinfo.txt使用wes-ng执行之后发现CVE-2018-8120可以用在msf搜索。 配置好变量后run 本地提权成功
系统服务提权
通常情况下用户安装的一些应用软件会在本地注册一些服务并且大多数服务在计算机开机时以系统SYSTEM权限启动。应用软件在注册服务时会在以下路径中创建相应的注册表项。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\services如下图中其中的ImagePath健指向该系统服务所启动的二进制程序。 Windows系统服务在操作系统启动时运行并在后台调用其相应的二进制文件。由于大多数系统服务是以系统权限(SYSTEM)启动的如果让服务启动时执行其他程序该程序就可以随着服务的启动获得系统权限这是利
用系统服务提权的主要思路。
系统服务类提权从主观上可以归咎于用户的配置疏忽或操作错误如不安全的服务权限、服务注册表权限脆弱、服务路径权限可控、未引用的服务路径等。
不安全的服务权限
ACL定义了安全对象的访问控制策略用于规定哪些主体对其拥有访问权限和拥有什么样的权限。Windows的系统服务正是通过ACL来指定用户对其拥有的权限。常见的权限如下表 低权限用户可以检查“Authenticated Users”组和“INTERACTIVE”组对系统服务的权限。前者为经过身份验证的用户包含系统中所有使用用户名、密码登录并通过身份验证的账户但不包括来宾账户后者为交互式用户组包含系统中所有直接登录到计算机进行操作的用户。默认情况下这两个组为计算机本地“Usrs”组的成员。
如果拿下的主机没有accesschk。
下载地址https://learn.microsoft.com/zh-cn/sysinternals/downloads/accesschk
下载完上传到目标主机
环境搭建先用本地管理员授予newman用户对apache服务的完全控制权限。
net start查看服务。 给newman赋予apache权限。
subinacl.exe /service Apache2.4 /grantnewmanF环境完成。提权操作
执行以下命令
accesschk.exe /accepteula -uwcqv newman *枚举目标主机“newman”是否具有更改服务配置的权限。 发现newman对apache服务完全控制权限。此时执行以下命令把该服务启动时执行的二进制文件替换为预先上传的攻击载荷。当服务重启时载荷会随服务启动继承系统权限。 sc config 服务名 binPathcmd.exe /k c:\beacon.exe
sc config Apache2.4 binPath cmd.exe /k c:\beacon.exe #大小写敏感修改成功重启一下该服务。 成功攻击
服务注册表权限脆弱
Windows的注册表中存储了每个系统服务的条目而注册表使用ACL来管理用户对其所拥有的访问权限。如果注册表的ACL配置错误使得一个低权限用户对服务的注册表拥有写入权限此时可以通过修改注册表来更改服务配置。例如修改注册表中的ImagePath键从而变更服务启动时的二进制文件路径。
1、执行如下通过AccessChk在目标主机中检查newman用户是否对某个服务的注册表有写入权限
accesschk.exe /accepteula newman -uvwqk HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services发现对apache服务的注册表拥有完全控制权限.
2、将该服务注册表中的ImagePath键指向预先上传的攻击载荷
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2.4 /v ImagePath /t REG_EXPAND_SZ /d cmd.exe /k c:\beacon.exe /f3、检查该用户是否对该服务由重启权限。
accesschk.exe /accepteula newman -ucqv Apache2.4从执行结果可知当前用户有权限重启apache服务。
重启后 服务路径权限可控
如果目标主机上用户存在错误配置或操作使得一个低权限的用户对此服务调用的二进制文件或其所在目录拥有写入权限那么可以直接将该文件替换成攻击载荷并随着服务的启动继承系统权限。
使用以下命令用Accesschk查看apache这个服务的二进制文件所在目录是否有写入权限
accesschk.exe /accepteula -quv C:\phpStudy\Apache\bin\有权限可替换。
未引入的服务路径
未引用的服务路径(Unquoted Service Path)漏洞曾被称为可信任的服务路径(Trusted Service Path),利用了Windows文件路径解析的特性。当服务启动所执行的二进制文件的路径中包含空格且未有效包含在引号中时就会导致该漏洞。
造成该漏洞的根本原因在于windows系统中用户创建进程的CreateProcess函数中如下语法
BOOL CreateProcessA([in, optional] LPCSTR lpApplicationName,[in, out, optional] LPSTR lpCommandLine,[in, optional] LPSECURITY_ATTRIBUTES lpProcessAttributes,[in, optional] LPSECURITY_ATTRIBUTES lpThreadAttributes,[in] BOOL bInheritHandles,[in] DWORD dwCreationFlags,[in, optional] LPVOID lpEnvironment,[in, optional] LPCSTR lpCurrentDirectory,[in] LPSTARTUPINFOA lpStartupInfo,[out] LPPROCESS_INFORMATION lpProcessInformation
);其中lpApplicationName参数用户指定要执行的模块或应用程序的路径或文件名。如果完整路径中包含空格且未有效包含在引号中那么对于该路径中的每个空格windows会按照从左到右的顺序依次尝试寻找并执行与空格前的名字相匹配的程序。例如路径C:Program Files\Sub Dir\Program Name.exe
系统依次寻找并执行以下程序
C:\Program.exe
C:\Program Files\Sub.exe
C:\Program Files\Sub Dir\Program.exe
C:\Program Files\Sub Dir\Program Name.exe当系统在依次尝试服务路径中的空格时会以当前服务所拥有的权限进行。因此测试人员可以将一个经过特殊命名的攻击载荷上传到受影响的目录中当重启服务时攻击载荷将随着服务的启动继承系统权限。但前提是当前用户对受影响的目录具有写入权限。
使用vmic查看是否存在该种未引入的服务路径。
wmic service get name,displayname,pathname,startmode|findstr /i Auto |findstr /i /v C:\Windows\\ |findstr /i /v 可能存在把攻击载荷名字命名成two.exe文件放入one file文件下。 成功上线。
