小迪安全v2023学习笔记(一百三十三讲)—— Windows权限提升篇溢出漏洞土豆家族通杀全系补丁对比EXP筛选
文章目录
- 前记
- 权限提升——第一百三十三天
- Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
- 前置知识
- Web到Win - 系统提权-人工操作
- 1、信息收集
- 2、漏洞筛选
- EXP获取执行
- Web到Win - 系统提权-土豆家族
- 自行搭建 + Windows 2019(IIS+ASP.NET)- 人工操作
- 自行搭建 + Windows 2022(IIS+ASP.NET)- 人工操作
- 个人主机 + Windows 10/11 - 人工测试
- Windows 10
- Windows 11
前记
- 这节课小迪讲的时间比较长,但是实际的内容没多少,主要就是演示Windows提权中大名鼎鼎的土豆家族漏洞
- 还是以实验为主,因此希望自己下去复现一下
权限提升——第一百三十三天
Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
前置知识
-
本节课我们所处的位置是:
-
这节课其实就是在上节课的基础上介绍一下Windows提权中大名鼎鼎的土豆家族漏洞
Web到Win - 系统提权-人工操作
- 我们上节课已经讲了关于MSF、CS和哥斯拉插件针对Windows提权的使用,但是不管是哪种工具,它提供的东西都是不太全的,而且很可能都是些比较老的漏洞
- 因此如果我们仅仅依靠工具的话是不现实的,这里我们就需要结合手工来测试一些比较新的漏洞,或者工具无法实现的漏洞
- 那在拿到某个目标主机的低权限用户之后,我们该怎么确定当前可以利用哪些漏洞呢?我们就有了如下的测试流程:
1、信息收集
-
通过收集系统的版本、型号、补丁等信息来确定可以利用市面上存在的漏洞,一般常见的命令如下(Windows):
-
在这里,我们只用一个
systeminfo就可以拿到系统信息了
2、漏洞筛选
- 我们通过拿到的系统信息,放到在线分析网站:
- https://detect.secwx.com/:这个感觉也查不出什么漏洞
- http://bypass.tidesec.com/exp/:这个网站的漏洞都比较老了,感觉没啥用
- https://i.hacking8.com/tiquan:该网站已停止运营
- 所以靠这个在线网站基本是没啥用的,我们直接给工具排查:https://github.com/bitsadmin/wesng
- 这个工具好的一点是它查询到的漏洞非常新,但是并不是单独的排查提权漏洞的,而且会有很多重复出现,所以我们还是要自己筛选:
python wes.py .\systeminfo.txt --impact "Elevation of Privilege" -o vuln.csv
EXP获取执行
-
当筛选出来存在的漏洞时,可以通过如下这几个开源项目去查:
-
https://github.com/Ascotbe/Kernelhub:针对常用溢出漏洞编号寻找指定的EXP,不过该项目最近一次更新已经是两年前了
-
https://github.com/nomi-sec/PoC-in-GitHub:一个比较全的漏洞库,收集了公开PoC、EXP的所有CVE漏洞,目前仍在积极维护中
-
https://www.cve.org/:CVE官网,上面的项目中难免有些收集不全的情况,我们可以直接到官网上去搜索对应的漏洞看有没有利用PoC
-
-
我们如果找到了对应的提权漏洞,就可以直接尝试利用提权了
Web到Win - 系统提权-土豆家族
- 当然,如果我们实在不想向上面这样,这么麻烦,可以直接尝试土豆家族的漏洞进行提权,这个系列的漏洞针对Windows成功率比较高
- 参考地址:【内网攻防】权限提升-土豆提权大汇总,直接下载然后编译为EXE文件即可利用
| 漏洞名称 | 影响版本(官方或公开验证) |
|---|---|
| BadPotato | Windows 2012-2019、Windows 8-10 |
| CandyPotato | Windows 10,Windows Server 2016 |
| CoercedPotato | Windows 10 - 11,Windows Server 2012 - 2022 |
| EfsPotato | Windows 7 ~ Windows 10 21H1 / Server 2019 及更早(EFS RPC,2021 CVE-2021-36942) |
| GodPotato | Windows Server 2012 - Windows Server 2022,Windows8 - Windows 11 |
| JuicyPotatoNG | Windows 10 - 11,Windows Server 2012 - 2022 |
| LocalPotato | Windows 7 - 11,Windows Server 2008 - 2022 |
| MultiPotato | Windows 10 2004 / Server 2019 及更早(合并多种 RPC 向量,2022) |
| PetitPotato | Windows 10 / Server 2019 及更早(基于 PetitPotam + RPC,2021) |
| PrintNotifyPotato | Windows 10 - 11 Windows Server 2012 - 2022 |
| RasManPotato | Windows 10(11 not test), Windows Server 2012 - 2019(2022 not test) |
| RoguePotato | Win 10(部分版本)和Win Server 19 |
| SweetPotato | 从Windows 7到Windows 10 / Server 2019 |
- 土豆(
potato)提权通常用在我们获取WEB/数据库权限的时候,可以将低权限的服务用户提升为NT AUTHORITY\SYSTEM特权 - 然后,我们还是直接云服务器搭建Windows环境来演示一下利用土豆家族能否直接提权成功
自行搭建 + Windows 2019(IIS+ASP.NET)- 人工操作
-
手动安装一下IIS即可,安装教程:Windows Server 2019 搭建IIS环境 教程 - 付杰博客
-
在安装完成之后,需要再回来来安装选择ASP、ISAPI 扩展、ISAPI 筛选器:
-
然后我们上传一个木马,哥斯拉连接:
-
日常低权限,那我们这里就不卖关子了,可以通过昨天的CS上线,然后用插件提权,但是插件里的土豆家族漏洞都是零零散散的
-
所以这里小迪直接帮我们整理了目前市面上所有的土豆家族漏洞的EXE文件,一个一个试就好了:
-
当然我们也可以先看一看这台主机的信息,然后根据这些信息去看利用哪个EXE:
-
这里不管,我就随便试一两个看看效果就好了,比如这里用GodPotato和EfsPotato:
自行搭建 + Windows 2022(IIS+ASP.NET)- 人工操作
-
搭建流程和上一个差不多,我们也是直接上传木马尝试哥斯拉连接:
-
然后不多说了,就把土豆家族传上去,一个个试即可,比如这里我们尝试PrintNotifyPotato:
个人主机 + Windows 10/11 - 人工测试
- 当然,土豆家族不仅是对Windows Server,个人主机也同样受到影响,但是个人主机权限一般在实战中都是通过钓鱼获取的,权限会比较高,所以用不太到提权
- 只是为了展示一下它的强大,所以这里也通过Windows 10(虚拟机)和Windows 11(本机)演示演示
Windows 10
Windows 11
