Windows 内核溢出漏洞提权方法及信息收集技巧

Windows内核缓冲区溢出攻击，其提权能力堪比惊悚片招牌，实则系网络安全日常面临的实际威胁。这些漏洞如同潜伏夜幕的刺客，伺机对系统造成致命打击。本文将探讨这些令人不安的漏洞及其被黑客所利用的方式。

漏洞的发现与利用

需明确，此等漏洞之发现方式。黑客并非无所事事，其探索漏洞设有特定策略。例如，他们常借助`post/windows/gather/enum_applications`模块来识别系统可能暴露的弱点。该模块依仗`systeminfo`命令从Windows主机获取信息，并与微软安全公告数据库对照，以识查未修补的漏洞。

假想黑客如同寻宝者，将我们的系统视为藏宝图。他们凭借多样工具与手段，层层解析图中的线索，最终解锁宝贵的漏洞资源。锁定漏洞后，黑客通过这些漏洞提升权限，进而实现对系统的全面掌控。

提升权限的EXP

发现安全缺陷后，黑客将运用各类Exploit（漏洞利用工具）增强权限。这些Exploit充当他们的攻击利器，助力突破系统壁垒。每一种Exploit均对应一个修补编号，黑客据此挑选适用的Exploit来实现权限升高。

运用这些EXP，黑客仿佛在执行一项周密的军事部署。他们必须精确计算每步进展，确保各环节流畅无误。若操作顺利，他们便由普通用户跃升为系统的顶级管理员，掌握全面控制系统之权。

系统服务的漏洞

在Windows启动阶段，若干高权限服务依次激活。这些服务以系统最高权限运行。若其中存在安全漏洞，黑客可能利用这些漏洞实施权限篡夺。例如，DLL劫持便是常见的攻击方式之一。

这些系统服务宛若守护要塞的守卫，黑客则扮演潜入要塞的暗杀者。通过多种途径，如篡改服务可执行文件，黑客掌控守卫，进而获取对要塞的控制权。若得手，他们将肆意妄为，甚至可能篡改系统核心文件。

python windows-exploit-suggester.py --update  //更新漏洞数据库
将systeminfo 另存为一个文件
systeminfo > sysinfo.txt
python windows-exploit-suggester.py -d 2020-11-11-mssb.xls -i sysinfo.txt
//对比漏洞库，查看是否存在历史提权漏洞
ps：需要安装xlrd库

权限劫持的两种方式

黑客升级权限的途径多样化，系统服务劫持为常见手段。`service_permissions`模块作为常用手段，能够以两种模式获取`system`权限。若以管理员权限执行，黑客将尝试建立并运行新服务；若权限不足以创建服务，他们则会识别存在权限问题的服务文件或目录，并进行劫持。

此类劫持行动仿佛黑客进行的一场隐秘对抗。他们以多种技术秘密操控核心系统服务，以获取最高系统权限。得手后，他们在系统内随心所欲，包括部署恶意软件和窃取用户敏感数据。

MSI文件的提权漏洞

黑客可借助MSI文件实施提权操作，或通过系统服务劫持。一旦激活`AlwaysInstallElevated`策略，所有用户权限级别均能以NTAuthority\System身份执行恶意MSI文件的安装。此行为使黑客能通过安装恶意软件提高其系统权限。

该漏洞为黑客提供了便利的入侵途径，允许他们轻易突破系统防线，扩张权限。一旦得手，他们在系统中将拥有所欲为的能力，甚至可能窃取用户重要信息。

防御方法：禁用注册表键

当然，我们不能被动的等待。为阻断黑客通过MSI文件进行权限提升，建议禁用注册表`AlwaysInstallElevated`键。此举可以有效防止黑客通过安装恶意软件提高自身权限。

此防御策略犹如为城堡增设一坚固堡垒。尽管黑客可能寻求多种突破手段，持续努力下，他们攻克亦非易事。

SYSVOL的漏洞

use incognito //进入incognito模块
list_tokens -u //列出令牌
impersonate_token "WIN-HN02RO8B2OU\86158"  //模仿令牌（它没有扫描处我的靶机里面的system权限的用户，所以我将就模仿）
cs等也有窃取令牌的功能。

除已述安全缺陷外，SYSVOL尚存在潜在威胁。此文件夹汇集了登录脚本、组策略等信息，这些数据在域控制器的范围内自动同步并共享。然而，由于管理员采用域策略集中配置和管控，导致各机器的本地管理员密码一致，此状况为黑客提供了入侵途径。

该漏洞等同于为黑客发放了一张入场券，他们能够借此轻易渗透系统，篡改组策略的首选密码，甚至可能利用脚本非法解密组策略文件中的密码。