利用WMIC实战MS16-032本地溢出漏洞
假设此处我们通过了一系列的渗透测试得到了目标机器的Meterpreter Shell.
首先输入getuid命令查看已经获得的权限,可以看到现在的权限很低,是test权限。
meterpreter > getuidServer username:WIN-S7TJ4B561MT\test
尝试输入getsystem命令提权,结果失败。
meterpreter > getsystem
接着查看系统的已达补丁,传统的方法是在目标机的CMD命令行下输入systeminfo命令,或者通过查询C:\windows\里留下的补丁好“.log”查看目标机大概打了那些补丁,
C:\Users > systeminfo
可以看到目标及只安装了2个修补程序。这里再利用WIMIC命令列出已安装的补丁,
C:\Users > Wmic_qfe get Caption,Description,HotFixIP,InstalledOn
同样可以看到目标及只打了2个补丁,要注意这些输出的结果是不能被直接利用的,使用的方式是去提权的EXP,然后将系统已安装的补丁编号域提权的EXP编号进行对比。比如KiTrap0D(KB979682),MS11-011(KB2393802),MS11-080(KB2592799),然后使用没有编号的EXP进行提权。因为虚拟机不怎么打补丁,所以我们可以使用很多EXP来提权,这里就用最新的MS16-032来尝试提权,对应的编号是KB31399144.
相关漏洞的具体信息分析和共享可以参考如下两个网站
- 安全焦点,其BugTrap是一个出色的漏洞和Exploit数据源,可以通过CVE编号或者产品信息漏洞直接搜索。
- Exploit-DB,取代了老牌安全网站milw0rm.Exploit-DB不断更新大量的Exploit程序和报告,它的搜索范围是整个网站的内容。
知识点:WMIC是Windows Management Instrumentation Command-line的简称,它是一款命令行管理工具,提供了从命令行接口到批命令脚本执行系统管理的支持,可以说是Windows平台下最有用的命令行工具。使用WMIC,我们不但可以管理本地计算机,还可以管理同一域内的所有远程计算机(需要必要的权限),而被管理的远程计算机不必事先安装WMIC。
wmic.exe位于Windows目录下,是一个命令行程序。WMIC可以以两种模式执行:交互模式(Interactive mode)和非交互模式(Non-Interactive mode)
- 交互模式:如果你在命令提示符下或通过“运行”菜单只输入WMIC,都将进入WMIC的交互模式,每当一个命令执行完毕后,系统还会返回到WMIC提示符下,如“Root\cli”,交互模式通常在需要执行多个WMIC指令是使用,有时还会对一些敏感的操作要求确认,例如删除操作,这样能最大限度地防止用户操作出现失误。
- 非交互模式:非交互模式是指将WMIC指令直接作为WMIC的参数放在WMIC后面,当指令执行完毕后再返回到普通的命令提示符下,而不是进入WMIC上下文环境中,WMIC的非交互模式主要用于批处理或者其他一些脚本文件中。
需要注意的是,再Windows XP下,低权限用户是不能使用WMIC命令的,但是Windows 7系统和Windows 8系统下,低权限用户可以使用WMIC,且不用更改任何设置。
WMIC在信息收集和后渗透测试阶段非常实用,可以调取产看目标机的进程,服务,用户,用户组,网络连接,硬盘信息,网络共享信息,已安装补丁,启动项,已安装的软件,操作系统的相关信息和时区等.
接下来准备提权,同样需要先把Meterpreter会话转为后台执行,然后搜索MS16-032,
msf > search ms16_032
知识点:如果搜索不到最新的Exploit,可以输入msfupdate命令进行升级,获取最新的Exploit模块,攻击载荷,或者手动添加相应漏洞EXP
执行以下命令选中MS16-032这个漏洞,然后指定"session"进行提权操作,这里我们指定服务"session"为"1",
msf exploit() > use windows/local/ms16_032_secondary_logon_handle_ptocescmsf exploit() > set session 1msf exploit() > run
最后直接输入exploit或run命令即可,
根据返回的信息可以看到已经创建新的session,并提示提权成功.接着查看这个Meterpreter Shell的权限,已经是SYSTEM级权限了
防御方法:这个漏洞的安全补丁编号是KB3139914,我们只要安装此补丁就可以了,也可以通过第三方工具下载补丁包打上该补丁.
注:文章所含技术仅为学术交流,任何使用违法行为均自行负责
利用WMIC实战MS16-032本地溢出漏洞相关推荐
- 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...
- 浅析缓冲区溢出漏洞的利用与Shellcode编写
文章目录 前言 汇编语言 寄存器 内存堆栈 CPU指令 函数调用 缓冲区溢出 栈溢出原理 栈溢出攻击 ShellCode 总结 前言 缓冲区溢出(Buffer Overflow)是计算机安全领域内既经 ...
- 利用MS08067远程溢出漏洞抓肉鸡
利用MS08067远程溢出漏洞抓肉鸡 陈小兵 [antian365.com] 微软的正版验证机会出来以后没有多久,就爆出针对台湾和简体中文版本的MS08067漏洞,这个时候微软主动爆出这个号称比冲击波 ...
- 利用CCPROXY溢出漏洞实现shellcode攻击
寻找溢出点 打开CCPROXY后利用CMD控制台使用telnet命令连接主机127.0.0.1:使用ping命令寻找溢出点,观察到当ping后字符串长度达到1011时不产生溢出,而在长度达到1012时 ...
- 验证本地缓冲区溢出漏洞攻击
Info:本篇主要是为了验证本地缓冲区溢出,这是理解缓冲区溢出攻击的第一步,有了这一步,才能更深刻的理解到什么是缓冲区漏洞攻击,从而对以后的学习奠定一定的基础(注意:以下请在linux环境下实验) 基 ...
- 实战getshell新姿势-SSRF漏洞利用与getshell实战
实战getshell新姿势-SSRF漏洞利用与getshell实战 一.什么地方最容易出现SSRF 二.SSRF漏洞危害 三.SSRF 神器 Curl 的使用 四.最常用的跳转绕过 五.Python ...
- android4 设置栈大小,【技术分享】Android内核漏洞利用技术实战:环境搭建栈溢出实战...
[技术分享]Android内核漏洞利用技术实战:环境搭建&栈溢出实战 2017-08-14 16:22:02 阅读:0次 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn ...
- 安装squid_CVE-2019-12527:Squid缓冲区溢出漏洞利用分析
报告编号:B6-2019-110702 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-11-07 0x00 背景描述 2019年8月22日,趋势科技研究团队发布了编号为C ...
- kali渗透学习-windos缓存区缓冲区溢出漏洞实战
程序漏洞从哪里来 罪恶的根源:变量 编写代码的时候变量限制不严格导致 数据与代码边界不清 例子:最简漏洞原理-- shell脚本漏洞 echo $1 >> a.sh a.sh :pwd执行 ...
最新文章
- .NET 程序设计实验 含记事本通讯录代码
- jQuery 选择器和筛选器
- mysql 数据库的基本管理
- 苹果开发者账号可以创建多少测试证书_ios苹果企业账号你所不知道的那些点
- JavaScript书籍的免费32本-收集分享
- 我今天学习的技术,明天会不会一钱不值
- HAOI2018 反色游戏
- 小米路由器安装MT工具箱(图文教程)
- 计算机考试盘安装空间,2021上半年计算机水平考试模拟盘 安装
- 数据可视化案例(六)——智慧医院数据可视化
- Java.day17
- 解决three.js渲染gltf 模型与gltfViewer网站效果不一致问题 krpano发黑问题 three.js gltf模型渲染发黑问题
- 光纤熔接机怎么选?从哪里买价格低服务有保障?
- java毕业设计车辆违规信息管理系统Mybatis+系统+数据库+调试部署
- GD25Qxxx使用笔记
- 分布式链路追踪在字节跳动的实践
- 【Linux】Shell脚本中如何使用“循环”遍历“数组”中的元素(包括MySQL的常用指令介绍)
- c盘增加一些html文件,教你三招,让C盘瞬间多出10个G
- 从键盘输入一小段英文(其中可以包含空格,但在同一行),利用函数统计该段英文中包含几个单词,输出统计出的单词数量、最长单词的长度以及长度最长的单词,空格隔开。
- 软件测试岗位英文自我介绍,软件测试工程师面试英文自我介绍范文