windwos提权：CVE-2021-36934

漏洞简介

微软在7月20日发布紧急安全公告，公开了一个Windows提权漏洞。由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，攻击者可读取SAM，SYSTEM，SECURITY等文件内容，进而获取用户NTLM Hash值，从而通过解密Hash值或Hash传递等方法造成特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。CVE-2021-36934又名 SeriousSam，或现在的 CVE-2021-36934。利用允许您以非管理员身份读取任何注册表配置单元。

影响范围

微软确认此问题会影响 Windows 10 版本 1809 和更新的操作系统，其他版本还在确认中。

利用前提：

该Windows10必须已经创建还原点，否则不成功

环境配置

操作系统：本文使用Windows 10 
启用administrator用户：net user administrator /active:yes
设置密码：net user administrator 1qaz2wsx
关闭Defender：reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
关闭防火墙：netsh advfirewall set allprofiles state off
启用文件和打印机共享服务：net start lanmanserver

创建系统还原点

右键“此电脑->属性”，点击“系统保护->配置->启用系统保护->应用->确定”，或者直接搜索“创建还原点”，如图：

输入描述然后点击“创建”按钮创建还原点，如图：

漏洞复现

1、使用GossiTheDog提供的工具转储SAM，SYSTEM和SECURITY文件，如图：
使用HiveNightmare工具

此时桌面上会生成 上一步之星生成的文件

2、使用impacket-secretsdump工具获取用户Hash值，如图：
将上一步生成的文件传到kali里,然后执行命令：

impacket-secretsdump   -sam   SAM-2021-09-10 -system   SYSTEM-2021-09-10  -security  SECURITY-2021-09-10  LOCAL

 使用impacket-psexec工具，通过传递Hash利用SMB服务获取目标系统SYSTEM权限，如图：

处置建议

1、禁用默认管理员用户：net user administrator /active:no

2、限制对%windir%\system32\config 内容的访问:

# 命令提示符（以管理员身份运行）
icacls %windir%\system32\config\*.* /inheritance:e

# Windows PowerShell（以管理员身份运行）
icacls $env:windir\system32\config\*.* /inheritance:e

 

3、删除所有系统还原点和删除卷影复制服务（VSS）卷影副本。该方法会影响删除卷影副本可能会影响还原操作，包括使用第三方备份应用程序还原数据的能力。有关如何删除卷影副本的详细信息，请参阅KB5005357- 删除卷影副本。
参考链接：CVE-2021-36934复现_江左盟的博客-CSDN博客_cve复现