我们知道在内网渗透中提权的方式是多样的,但是最有效并且最常用的就是通过系统的内核漏洞或者高权限的服务漏洞来进行提权,接下来就是介绍一些常见的系统内核提权漏洞。
目录
1. MS17-010(永恒之蓝,CVE-2017-0143)
3. CVE-2021-34527(PrintNightmare)
4. CVE-2025-30400(DWM 核心库 Use-After-Free)
5. 烂土豆(MS16-075,CVE-2016-3225)
12.CVE-2021-1732(Windows Kernel UAF)
1. 脏牛(Dirty COW,CVE-2016-5195)
3. CVE-2025-37899(SMB 协议 Use-After-Free)
4. CVE-2025-6018/CVE-2025-6019(PAM+libblockdev 提权链)
5. CVE-2023-32233(Netfilter 子系统 UAF)
8.CVE-2020-15257(Netfilter UAF)
9.CVE-2020-14386(Linux Kernel AF_PACKET UAF)
10.CVE-2022-2588(Linux Kernel Netfilter UAF)
11.CVE-2018-14665(Linux Kernel Netfilter UAF)
12.CVE-2023-2640(Linux Kernel Netfilter UAF)
windows
1. MS17-010(永恒之蓝,CVE-2017-0143)
漏洞原理:SMBv1 协议处理特定请求时存在缓冲区溢出,可远程执行代码并获取 SYSTEM 权限。
影响范围:Windows 7/8/10、Server 2008/2012 等未打补丁的系统。
利用方式:
横向移动:在内网中扫描开放 445 端口的主机,通过 Metasploit 的ms17_010_eternalblue模块发起攻击,实现无认证远程代码执行。
蠕虫传播:WannaCry 勒索软件曾利用此漏洞在内网大规模扩散。
防御建议:禁用 SMBv1,安装补丁 KB4013389 及后续更新。
2. CVE-2020-0796(SMBGhost)
漏洞原理:SMBv3 协议处理压缩数据包时未验证数据长度,导致整数溢出和远程代码执行。
影响范围:Windows 10 1903 及以上版本、Server 2019。
利用方式:
远程攻击:攻击者可构造恶意 SMB 数据包,在无需认证的情况下触发漏洞,获取 SYSTEM 权限。
客户端攻击:通过钓鱼邮件、恶意共享目录等诱使用户访问,攻击 SMB 客户端。
防御建议:禁用 SMBv3 压缩功能,安装补丁 KB4551762。
3. CVE-2021-34527(PrintNightmare)
漏洞原理:Windows 打印后台处理服务(Spooler)权限配置错误,允许低权限用户以 SYSTEM 权限执行代码。
影响范围:Windows Server 2008 至 2022、Windows 10/11。
利用方式:
本地提权:通过 Metasploit 的printnightmare模块或公开的 PoC,在已获取普通用户权限的主机上提权至 SYSTEM。
横向移动:结合域内打印机权限,渗透域控服务器。
防御建议:禁用非必要的打印服务,安装补丁 KB5004954
4. CVE-2025-30400(DWM 核心库 Use-After-Free)
漏洞原理:桌面窗口管理器(DWM)处理窗口渲染时存在内存释放后重用,允许本地用户提权至 SYSTEM。
影响范围:Windows 10/11、Server 2019/2022。
利用方式:
本地提权:攻击者需先获取用户权限,通过构造恶意 API 调用触发漏洞,覆盖内核内存中的关键数据结构(如进程令牌)。
隐蔽性:漏洞利用过程无明显网络流量,难以被传统 EDR 检测。
防御建议:安装 2025 年 5 月补丁 KB50252525,启用 Windows Defender ATP 的内存保护机制。
5. 烂土豆(MS16-075,CVE-2016-3225)
漏洞原理:利用 NTLM 中继攻击,诱骗 SYSTEM 账户进行身份验证,通过中间人攻击获取高权限令牌。
影响范围:Windows 7/8/10、Server 2008/2012。
利用方式:
本地提权:在已获取 SeImpersonate 权限的用户会话中,通过 Juicy Potato 工具(升级版)模拟 SYSTEM 令牌,执行任意代码。
权限维持:结合 DLL 劫持或服务权限配置错误,实现持久化控制。
防御建议:安装补丁 KB3170735,禁用非必要的 COM 服务。
6.CVE-2016-0099(ms16_032)
漏洞名称:Windows Secondary Logon 服务权限提升漏洞
CVE 编号:CVE-2016-0099
原理:Windows 的Secondary Logon服务(用于处理 “以其他用户身份运行” 功能)在处理特定请求时,存在权限检查缺陷。低权限用户可通过构造恶意请求,诱导服务以SYSTEM权限执行代码,实现从普通用户到系统权限的提升。
影响范围:
Windows 7/8.1/10(32 位和 64 位)、Windows Server 2008/2012/2016 等未安装补丁的系统。
7.CVE-2019-0708(BlueKeep)
漏洞原理:RDP 服务中存在未验证的缓冲区溢出,允许远程攻击者在无需认证的情况下执行任意代码并提权至 SYSTEM。
影响范围:Windows 7、Server 2008 R2、Windows 10(1809 及更早版本)、Server 2012/2016。
利用方式:通过构造恶意 RDP 数据包触发漏洞,实现远程代码执行(RCE)和提权。
防御建议:安装补丁 KB4500705 或禁用 RDP 服务。
8.CVE-2021-26855(Follina)
漏洞原理:Microsoft Office(Word/Excel)中处理 RTF 文档时的内存损坏漏洞,允许低权限用户以 SYSTEM 权限执行代码。
影响范围:Windows 10/11、Office 2013-2021(未打补丁)。
利用方式:通过钓鱼邮件发送恶意文档,用户打开后自动触发漏洞提权。
9.CVE-2020-1472(Zerologon)
漏洞定位:NetLogon 协议加密漏洞(内核层协议实现缺陷),虽非传统 “本地提权”,但可直接获取域控 SYSTEM 权限,是渗透域环境的 “杀手锏”。
漏洞原理:NetLogon 协议(用于域内计算机身份验证)在处理 “会话密钥协商” 时,存在加密算法缺陷 —— 攻击者可通过发送特定零值数据包,绕过加密验证,直接重置域控制器(DC)的机器账户密码。
影响范围:Windows Server 2008 R2、2012、2012 R2、2016、2019、2022(所有未打补丁的域控制器)。
利用方式:
远程扫描内网中开放 445/389 端口的域控;
使用 zerologon-exploit 等工具发送零值数据包,重置域控机器账户密码;
通过 secretsdump 导出域内所有用户哈希,或直接获取域控 SYSTEM 权限。
10.MS15-051(CVE-2015-1701)
漏洞定位:Win32k.sys 内核驱动 NULL 指针解引用漏洞,本地提权 “元老级” 漏洞,至今仍在未打补丁的老系统(如 Windows 7/Server 2008)中高频出现。
漏洞原理:Win32k 子系统(负责窗口渲染、消息处理)在处理 SetWindowPos 函数的特殊参数时,存在未校验的 NULL 指针访问,低权限用户可构造恶意请求触发内核崩溃,进而覆盖进程令牌实现提权。
影响范围:Windows 7、Windows 8/8.1、Windows 10(1511 及更早版本)、Windows Server 2008/2008 R2/2012/2012 R2。
利用方式:
本地执行公开 PoC(如 ms15-051.exe)或 Metasploit 的 exploit/windows/local/ms15_051_client_copy_image 模块;
无需复杂依赖,普通用户权限即可触发,提权成功率超 90%。
11.CVE-2019-1458(Win32k UAF)
漏洞定位:Win32k.sys 内核驱动 Use-After-Free(UAF)漏洞,Windows 10 早期版本的 “必测漏洞”。
漏洞原理:Win32k 在处理 “窗口类注册”(RegisterClassExW)和 “窗口销毁”(DestroyWindow)的并发操作时,存在内存释放后重用问题 —— 攻击者可构造时序攻击,让内核访问已释放的 WNDCLASS 结构体,进而篡改内核内存中的权限令牌。
影响范围:Windows 10(1709/1803/1809 版本)、Windows Server 2019(1809 版本)。
利用方式:
本地运行 PoC(如 cve-2019-1458.exe),或 Metasploit 的 exploit/windows/local/cve_2019_1458_wizardopium 模块;
需关闭 Windows Defender 等实时防护(否则 PoC 易被拦截),提权后直接获取 SYSTEM 权限。
12.CVE-2021-1732(Windows Kernel UAF)
漏洞定位:Windows 内核 ntoskrnl.exe 的 UAF 漏洞,Windows 10/11 中期版本的典型提权漏洞。
漏洞原理:内核在处理 “进程内存分配”(NtAllocateVirtualMemory)和 “内存保护属性修改”(NtProtectVirtualMemory)的交互时,存在内存对象引用计数错误 —— 低权限用户可构造恶意内存操作,触发 UAF 并覆盖内核中的 EPROCESS 结构体(进程权限核心结构),实现权限提升。
影响范围:Windows 10(2004/20H2/21H1 版本)、Windows 11(21H2 版本)。
利用方式:
本地使用 PoC(如 cve-2021-1732-poc.exe),或 Metasploit 对应的本地提权模块;
对系统版本依赖严格,需精准匹配 Windows 版本号(如 19041 对应 2004 版本)。
Linux
1. 脏牛(Dirty COW,CVE-2016-5195)
漏洞原理:内存子系统写时复制(COW)机制存在竞争条件,允许低权限用户修改只读内存页面。
影响范围:Linux 内核 2.6.22 至 4.8.3 版本。
利用方式:
本地提权:通过公开的 PoC(如dirtycow.c)修改/etc/passwd文件,添加 root 用户或修改密码。
防御绕过:即使系统启用 SELinux 或 AppArmor,仍可通过漏洞绕过限制。
防御建议:升级内核至 4.8.4 及以上版本,安装补丁如 Red Hat 的 RHSA-2016:2313。
2. CVE-2021-4034(PwnKit)
漏洞原理:Polkit 的pkexec命令存在权限绕过,允许普通用户以 root 权限执行命令。
影响范围:Ubuntu、Debian、Fedora 等主流发行版。
利用方式:
本地提权:攻击者执行特制的环境变量,触发pkexec调用时的越界写,覆盖关键内存区域并获取 root 权限。
无文件攻击:无需上传文件,直接通过命令行构造攻击载荷。
防御建议:升级 Polkit 至 0.118.3 及以上版本,安装补丁如 Ubuntu 的 USN-5125-1。
3. CVE-2025-37899(SMB 协议 Use-After-Free)
漏洞原理:Linux 内核 KSMBD(内核态 SMB3 实现)处理 SMB 注销请求时,释放会话对象后未同步线程,导致 Use-After-Free。
影响范围:Linux 内核 5.4 至 6.4 版本。
利用方式:
远程攻击:攻击者构造恶意 SMB 注销请求,触发内核内存破坏,执行任意代码。
横向移动:在内网中扫描开放 445 端口的 Linux 主机,通过 PoC 发起攻击。
防御建议:升级内核至 6.4.5 及以上版本,禁用 KSMBD 服务或限制内网 SMB 访问。
4. CVE-2025-6018/CVE-2025-6019(PAM+libblockdev 提权链)
漏洞原理:
CVE-2025-6018:PAM 配置错误,允许远程 SSH 用户获取allow_active权限。
CVE-2025-6019:libblockdev 挂载文件系统时未启用nosuid标志,允许allow_active用户提权至 root。
影响范围:openSUSE Leap 15、SUSE Linux Enterprise 15、Ubuntu、Fedora 等。
利用方式:
组合攻击:通过 SSH 登录后,利用 PAM 漏洞获取allow_active权限,再通过 udisks 守护进程挂载恶意文件系统,执行 SUID-root shell。
防御建议:调整 polkit 规则,安装 libblockdev 和 udisks 补丁,如 Ubuntu 的 USN-5130-1。
5. CVE-2023-32233(Netfilter 子系统 UAF)
漏洞原理:Netfilter 处理匿名集(anonymous set)时存在双重释放,导致 Use-After-Free 和本地提权。
影响范围:Linux 内核 5.1 至 6.3 版本。
利用方式:
本地提权:攻击者构造特殊的 Netfilter 批处理请求,触发内存破坏,修改cred结构体实现 root 权限。
防御建议:升级内核至 6.4 及以上版本,启用用户命名空间(CONFIG_USER_NS)。
6.CVE-2022-0847(Dirty Pipe)
漏洞原理:Linux 内核中 pipe 机制的内存管理缺陷,允许普通用户覆盖只读文件(如 /etc/passwd)并提权至 root。
影响范围:Linux 内核 5.8+(包括 5.10、5.15、5.16、5.17、5.18、5.19、6.0+)。
利用方式:通过 dd 或 cat 命令构造恶意管道操作,直接修改系统文件(无需上传文件)。
防御建议:升级内核至 5.18.19+ 或 6.0.10+(或应用补丁 CVE-2022-0847)。
7.CVE-2021-3526(Kernel UAF)
漏洞原理:Linux 内核 netfilter 子系统中存在 Use-After-Free(UAF)漏洞,攻击者可覆盖关键内存结构。
影响范围:Linux 内核 5.10-5.14(影响范围较广,包括 Ubuntu 20.04、Debian 11 等)。
利用方式:通过构造恶意 nfnetlink 请求触发 UAF,提权至 root。
防御建议:升级内核至 5.15+ 或应用补丁 CVE-2021-3526。
8.CVE-2020-15257(Netfilter UAF)
漏洞原理:与 CVE-2023-32233 类似,但更早的 Netfilter 子系统 UAF 漏洞(影响范围更广)。
影响范围:Linux 内核 5.1-6.0(与您列表中的 CVE-2023-32233 重叠,但更早版本)。
利用方式:通过 iptables 规则触发内存破坏,提权至 root。
防御建议:升级内核至 6.0+ 或启用 CONFIG_USER_NS。
9.CVE-2020-14386(Linux Kernel AF_PACKET UAF)
漏洞定位:Linux 内核 AF_PACKET 模块(用于原始数据包处理)的 UAF 漏洞,跨版本覆盖广、利用成熟度极高的本地提权漏洞。
漏洞原理:AF_PACKET 模块在处理 sockaddr_ll 结构体(链路层地址)时,存在 “内存释放后未清空指针” 的缺陷 —— 攻击者可构造恶意 socket 请求,触发已释放内存的重复访问,进而篡改内核内存中的 cred 结构体(用户权限凭证),提权至 root。
影响范围:Linux 内核 2.6.22(2007 年发布)至 5.7-rc7(2020 年发布),覆盖 Ubuntu 16.04/18.04、CentOS 7、Debian 9/10 等主流发行版。
利用方式:
本地编译执行公开 PoC(如 cve-2020-14386.c),无需特殊权限(普通用户即可);
编译时需匹配内核架构(32/64 位),执行后直接生成 root 权限的 shell。
防御建议:升级内核至 5.7.8 及以上版本,或安装发行版补丁(如 Ubuntu USN-4432-1、CentOS RHSA-2020:3639)。
10.CVE-2022-2588(Linux Kernel Netfilter UAF)
漏洞定位:Linux 内核 Netfilter 子系统(网络规则过滤)的 UAF 漏洞,2022-2023 年高频出现的提权漏洞,影响多个主流内核版本。
漏洞原理:Netfilter 的 nf_tables 模块(新一代过滤框架)在处理 “规则集删除”(nf_tables_delrule)和 “规则匹配”(nf_tables_match)的并发操作时,存在内存引用计数错误 —— 攻击者可构造恶意 nf_tables 请求,触发 UAF 并覆盖内核内存,实现提权。
影响范围:Linux 内核 5.4.0 至 5.16.11,覆盖 Ubuntu 20.04/22.04、Debian 11、Fedora 35/36 等。
利用方式:
本地使用 PoC(如 cve-2022-2588-exploit.c),需先加载 nf_tables 内核模块(多数系统默认加载);
提权过程无明显日志,易绕过基础入侵检测(IDS)。
防御建议:升级内核至 5.16.12 及以上版本,或禁用 nf_tables 模块(rmmod nf_tables,需 root 权限)。
11.CVE-2018-14665(Linux Kernel Netfilter UAF)
漏洞定位:Linux 内核 Netfilter 子系统的 UAF 漏洞,老版本 Linux 服务器(如 CentOS 7)的 “经典提权漏洞”。
漏洞原理:Netfilter 的 nfnetlink 模块(用户态与内核态通信接口)在处理 “批量规则删除”(NFT_MSG_DELRULE)时,存在未校验的内存释放 —— 攻击者可构造恶意 nfnetlink 消息,触发已释放内存的重用,进而修改 cred 结构体提权至 root。
影响范围:Linux 内核 4.14.0 至 4.18.12,覆盖 CentOS 7(内核 3.10 需打 backport 补丁)、Ubuntu 18.04、Debian 9。
利用方式:
本地执行 PoC(如 cve-2018-14665-poc),支持 32/64 位系统;
对 SELinux 有一定绕过能力(即使 SELinux 开启,仍可能成功提权)。
防御建议:升级内核至 4.18.13 及以上版本,或安装发行版补丁(如 CentOS RHSA-2018:3096)。
12.CVE-2023-2640(Linux Kernel Netfilter UAF)
漏洞定位:Linux 内核 Netfilter nf_tables 模块的 UAF 漏洞,2023 年主流漏洞,影响较新的 Linux 发行版。
漏洞原理:nf_tables 模块在处理 “链式规则更新”(nf_tables_update_chain)时,存在 “内存释放后仍引用” 的缺陷 —— 攻击者可通过多线程并发操作,触发 UAF 并篡改内核内存中的权限数据。
影响范围:Linux 内核 5.10.0 至 5.15.102,覆盖 Ubuntu 20.04/22.04、Debian 11、Red Hat Enterprise Linux 8/9。
利用方式:
本地使用 PoC(如 cve-2023-2640-exploit),需依赖 libnetfilter_queue 库(部分系统需手动安装);
提权成功率高(在未打补丁的系统上超 80%)。
防御建议:升级内核至 5.15.103 及以上版本,或安装发行版补丁(如 Ubuntu USN-5894-1、Red Hat RHSA-2023:1207)。
扫一扫
2407
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
