【3AST交流】MS08-025漏洞本地提权演示

漏洞, 演示, 交流

MS08-025漏洞本地提权演示
MS08-025是微软在4月份发布的一个安全漏洞，漏洞标识为“重要”。据微软官方的解释，该安全漏洞源自Windows内核，成功利用此漏洞的本地攻击者可以完全控制受影响的系统。进而，可随后安装程序；查看、更改或删除数据;或者创建新帐户等。
　　1、存在漏洞的Windows版本
　　由于该漏洞是基于内核级的，因此受影响的Windows系统版本很多，就连Vista、Windows Server 2008也不能幸免，见图1。

　2、本地提权演示
　　近期，黑客发布了该漏洞的利用程序，下面笔者就利用该工具进行本地提权演示。
　　演示环境：
　　系统：Windows XP Service Pack 2
　　工具：ms08025.exe
　　说明：由于是本地提权，笔者就以Guest用户来演示。
　　(1).开启Guest
　　在默认情况下Guest用户是禁用的，在命令提示符(cmd.exe)下输入如下命令即可开启：
　net user guest /active:yes (图2)
　　

　　(2).Guest登录系统
　　注销当前用户，并用guest用户登录系统。由于是Guest用户权限受到限制，我们建立个用户看看，在命令行下输入如下命令：
　　net user test test /add
　　显示“拒绝访问”，可见没有权限。
　　(3).提权操作
　　打开命令提示行工具，进入ms08025.exe工具目录，依次输入如下命令：
　　ms08025.exe whoami
　　ms08025.exe "net user test test /add"
　　ms08025.exe "net localgroup administrators test /add"
　　命令成功完成，建立了一个用户名为test，密码为test的管理员。 (图3)
　　

　　(4).test登录系统
　　注销系统并用test登录系统，成功登录见图4，说明通过该漏洞Guest用户可以提权为Administratos用户。方法类似，在命令行下输入命令：ms08025.exe "net localgroup administrators guest /add"即可。
　　

3、延伸利用
　　MS08-025漏洞可以被攻击者用来本地提权，其实也可以被利用来进行远程执行命令。
　　(1).攻击者可以精心设计一个批处理文件，并把该批处理文件与ms08025.exe与木马服务端或者一个正常的程序捆绑起来诱骗下载者点击中招。
　　(2).精心设计网页挂马代码，诱骗用户点击网页下载上面的捆绑软件，执行任意代码。
　　当然，利用的方法还有很多。可见，该漏洞虽然被微软定义为“重要”漏洞，但笔者认为该漏洞还是很危险的。笔者在测试中，通过上述方法获得了某些主机的权限，见图5。
　　

　　4、提权拓展
　　说到提权，笔者稍微延伸一下。我们知道在Windows中除了管理员之外还有一个system帐户，它可是系统中的最高权限，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的。在system权限下可以进行某些常规情况下无法进行的操作，比如系统文件的替换、杀毒等等。在命令提示符下输入如下命令即可获得一个具有system权限的系统shell(explorer.exe)：
　　taskkill /f /im explorer.exe
　　at time /interactive %systemroot%\explorer.exe
　　说明：第一行命令结束当前账户的explorer，第二行命令的time为当前系统时间稍后的一个时间，稍等片刻即可重新启动一个具有system权限的explorer。(图6)
　　