权限提升—Windows权限提升土豆家族溢出漏洞通杀全系

前言

OK，Java安全更新不下去了，实在是太难啦啊，想起来提权这一块没怎么更新过，接下来都主要是更新提权这一块的文章了，Java安全的话以后有耐心再搞了。

手动提权

今天主要是讲这个手动的提权，手动提权相比于CS那种自动化提权工具有优点，也有缺点。

优点：就是能获取实时最新的EXP，无需等工具更新

缺点：操作过程可能比较繁琐，而且缺乏大量的实验和调试，提权过程中可能会遇到各种问题

补丁筛选

当我们拿到 shell 之后可以收集一些系统的信息，比如系统版本、打过的补丁、位数等信息，通过这些信息来筛选出可以用来提权的漏洞，再通过漏洞编号去找到相对应的EXP。

我们可以在网上找到一些提权辅助网站，来帮助我们筛选一些提权的漏洞。

https://tools.zjun.info/getmskb/

https://www.adminxe.com/win-exp/

执行systeminfo 获取系统信息，把系统信息粘贴到网站即可，它就会根据你的系统版本、补丁等，找到可能存在的漏洞。

不过这种提权辅助网站一般都是看看就行，参考价值不是很大，我们还可以找一些提权辅助的项目来测试一下。

https://github.com/bitsadmin/wesng

我们把系统信息保存在 1.txt 中，然后运行这个项目去检测这个1.txt，然后就会给出可能存在的漏洞。

python wes.py 1.txt --color

EXP获取

通过上面筛选出漏洞之后，我们就去找它的对应的EXP来进行利用。

KernelHub 针对常用溢出编号指定找EXP。

https://github.com/Ascotbe/Kernelhub

Poc-in-Github 针对年份及编号指定找EXP。

上面的方法虽然比较灵活，针对性强，但是弊端也非常明显。虽然计算机上存在这个漏洞，但是网上未必能找到这个漏洞利用的EXP，而且就算你能找到这个漏洞的EXP，也未必能成功提权，因为网上的EXP可能是个人编写的，也可能是企业编写的，版本很多，不同的版本编写方式又不一样。缺乏大量的实验和调试，只要你计算机系统信息有一点不同可能就失败了，简单来说就是不稳。

还有一个问题就是，大多数网上的提权EXP演示是从本地普通用户权限 ——> System权限，而我们实战中却是从Web权限 ——> System权限，也就是说这个EXP从普通用户到System可以，但是从Web到System不一定可以。

土豆家族

windows提权用这个系列漏洞最多，成功率也最大的，土豆(potato)提权通常用在我们获取WEB/数据库权限的时候，可以将低权限的服务用户提升为“NT AUTHORITY\SYSTEM”特权。

原理

土豆系列提权的核心是NTLM中继，通过欺骗运行在高权限（Administrator/SYSTEM）的账户进行ntlm认证，同时作为中间人对认证过程进行劫持和重放，最后调用本地认证接口使用高权限账号的ntml认证获取一个高权限token，只要当前进程拥有SeImpersonatePrivilege权限即可进行令牌模仿，即可取得对应权限。