【内网渗透基础】三、权限提升-Windows内核提权（下）

admin

138405
文章

113
评论

2025年3月21日10:50:52评论7 views字数 4491阅读14分58秒阅读模式

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。

[ 简介 ]

—— 路上，有风有雨是常态，风雨无阻是心态，风雨兼程是状态【摘自《人民日报》】 ——

Windows内核漏洞提权2

接着上一篇Windows的内核提权漏洞，回顾下上一篇主要介绍下面这个漏洞：

MS16-075（版本win7/8/10，winserver2008/2012）

CVE-2018-8120（版本win7，winserver2008）

CVE-2019-1388（版本win7/8/10，winserver2008/2012/2016/2019）

CVE-2021-1732（版本win10，winserver2004/2019）

本篇文章讲解的漏洞如下：

CVE-2014-4113

CVE-2016-0099

CVE-2020-0787

CVE-2024-30088

混子Hacker

漏洞复现

CVE-2014-4113

漏洞存在于 Win32k.sys 驱动程序处理用户模式回调的过程中。

攻击者可以通过构造恶意输入触发内存破坏，从而在内核模式下执行任意代码。

攻击者通过调用特定的系统函数（如 NtUserSetImeInfoEx）并传递恶意参数，触发漏洞。

利用漏洞修改内核内存中的关键数据结构（如进程令牌），将当前进程的权限提升至SYSTEM

受影响版本

| Product             | CPU Architecture | Version | Update | Tested             || ------------------- | ---------------- | ------- | ------ | ------------------ || Windows 7           |                  |         | SP1    | &#10004; || Windows 8           |                  |         |        |                    || Windows 8.1         |                  |         |        |                    || Windows Rt          |                  |         |        |                    || Windows Rt 8.1      |                  |         |        |                    || Windows Server 2003 |                  |         | SP2    |                    || Windows Server 2008 |                  |         | SP2    |                    || Windows Server 2008 |                  | R2      | SP1    |                    || Windows Server 2012 |                  |         |        |                    || Windows Server 2012 |                  | R2      |        |                    || Windows Vista       |                  |         | SP2    |                    |

下载利用工具

https://github.com/Ascotbe/Kernelhub/tree/master/Windows/CVE-2014-4113

运行执行whoami，显示system权限

CS利用

下载提权插件

https://github.com/rsmudge/ElevateKit

加载插件

在Beacon中输入elevate ms14-058

选择监听器，上线system权限

二、CVE-2016-0099

CVE-2016-0099 是 Windows 内核中一个本地特权提升漏洞，对应微软安全公告 ‌MS16-032。该漏洞存在于 Windows 的 ‌Secondary Logon 服务中，攻击者通过构造恶意程序触发逻辑缺陷，可将普通用户权限提升至系统管理员权（SYSTEM 权限）

目标系统需要有2个以上的CPU核心

影响版本

| Product             | CPU Architecture | Version | Update | Tested             || ------------------- | ---------------- | ------- | ------ | ------------------ || Windows 10          |                  |         |        |                    || Windows 10          |                  | 1511    |        |                    || Windows 7           |                  |         | SP1    | &#10004; || Windows 8.1         |                  |         |        |                    || Windows Rt 8.1      |                  |         |        |                    || Windows Server 2008 |                  |         | SP2    | &#10004; || Windows Server 2008 |                  | R2      | SP1    | &#10004; || Windows Server 2012 |                  |         |        |                    || Windows Server 2012 |                  | R2      |        |                    || Windows Vista       |                  |         | SP2    |                    |

查看系统版本

下载工具

https://github.com/Ascotbe/Kernelhub/tree/master/Windows/CVE-2016-0099

打开powershell

运行Import-Module .Invoke-MS16-032.ps1

运行Invoke-Ms16-032

运行弹出一个CMD窗口

运行whoami，提权成功

MSF利用

use exploit/windows/local/ms16_032_secondary_logon_handle_privescset session your_sessionid

CS利用

同上安装ElevateKit提权插件

安装完成之后该漏洞使用的是beacon_elevator_register方法

所以我们需要使用runasadmin来运行，但是该命令是在受害者主机上运行的所以没有回显

可以利用runasadmin运行cs木马获取一个system权限的会话

runasadmin ms16-032 C:phpStudyWWWartifact.exe

三、CVE-2020-0787

漏洞根源在于Background Intelligent Transfer Service（BITS）服务的符号链接（Symbolic Link）权限配置不当BITS 是 Windows 用于后台文件传输的系统服务（如 Windows 更新），其组件 BITSManager在处理某些文件路径时未正确验证用户权限，导致攻击者可通过符号链接劫持向高权限目录写入恶意文件或篡改系统文件

影响版本

Windows 10Version 1903 (Build 18362)Version 1909 (Build 18363)Windows ServerWindows Server 2019 (Version 1903/1909)漏洞补丁:KB4540673（Windows 10 1903/1909）KB4540670（Windows Server 2019）

下载工具

https://github.com/Ascotbe/Kernelhub/blob/master/Windows/CVE-2020-0787/BitsArbitraryFileMoveExploit.exe

运行之后弹出一个CMD窗口

执行whoami显示为system权限

四、CVE-2024-30088

在NtQueryInformationToken 函数中，特别是在处理AuthzBasepCopyoutInternalSecurityAttributes 函数时它许攻击者利用内核中的 SecurityAttributesList 直接操纵用户提供的指针。这种危险行为会导致多个检查时间到使用时间 (TOCTOU) 漏洞，恶意线程可以在调用 RtlCopyUnicodeString 函数之前更改属性名称的缓冲区指针。此类操纵使攻击者能够使用受控的值和大小写入任意地址

影响范围

windows_10_1507最高（不包括） 10.0.10240.20680windows_10_1607最高（不包括） 10.0.14393.7070windows_10_1809最高（不包括） 10.0.17763.5936windows_10_21h2最高（不包括） 10.0.19044.4529windows_10_22h2最高（不包括） 10.0.19045.4529windows_11_21h2最高（不包括） 10.0.22000.3019windows_11_22h2最多（不包括） 10.0.22621.3737windows_11_23h2最高（不包括） 10.0.22631.3737windows_server_2016最高（不包括） 10.0.14393.7070windows_server_2019最高（不包括） 10.0.17763.5936windows_server_2022最高（不包括） 10.0.20348.2522windows_server_2022_23h2最高（不包括） 10.0.25398.950漏洞补丁：KB5036893

下载poc（x64）

https://pan.baidu.com/s/17Gf0KtSZVnDSiHFuLYbKgQ?pwd=ad5t 提取码: ad5t

运行poc

poc.exe "C:\Windows\system32\cmd.exe"

生成一个CMD窗口

执行whoami，显示system权限

可以利用工具执行CS木马

上线system权限会话

其他的内核漏洞可以从以下github链接进行查找是否有exp

https://github.com/Ascotbe/Kernelhub/tree/master/Windows/

本专栏往期文章：

【内网渗透基础】一、信息收集

【内网渗透基础】二、隧道建立

【内网渗透基础】二、隧道建立（下）

【内网渗透基础】三、权限提升-Windows内核提权

下一期文章

主要分析Windows中常见的第三方软件提权

<<< END >>>

原创文章｜转载请附上原文出处链接

更多漏洞｜关注作者查看

作者｜混子Hacker

原文始发于微信公众号（混子Hacker）：【内网渗透基础】三、权限提升-Windows内核提权（下）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【内网渗透基础】三、权限提升-Windows内核提权（下）

【VulnHub靶场】超全详解DC-9提权渗透

域渗透-PTH

基于人工智能（AI ）的未来战场响应技术：用于多域作战（MDO）创新（万字干货）

实战|SQL注入漏洞

heapdump未经授权漏洞利用

从侦察到利用EWS错误配置绕过OWA中的MFA实施

合约安全之Uniswap基础学习

ClassPathXmlApplicationContext不出网利用学习

NetSupport RAT远控样本分析

快速水CVE编号指南

发表评论

在线咨询

微信