记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Windows PrintDemon 提权漏洞分析
作者:启明星辰ADLab 原文链接:https://mp.weixin.qq.com/s/1FyUakK_u_LUKHeSFu52Ew一、漏洞概述微软在5月12日的安全更新中公开了一个Windows本地提取漏洞(CVE-2020-1048),该漏洞的描述为:“Windows Print Spooler服务不恰当地允许任意的文件系统写入,存在特权提升漏洞。攻击者利用此漏洞能够用系统特权运行任意代码,从而实现:程序的安装、查看、更改或数据删除,以及创建具有完整权限的帐户。要利用此漏洞,攻击者必须登录到受影响的系统并运行特定脚本或应用程序”。该漏洞由安全研究人员Alex Ionescu和Yarden Shafir发现,并被命名为PrintDemon。Print Spooler是系统自带的打印后
Windows 下的提权大合集
Windows 下的提权大合集
项目地址:https://github.com/lyshark/Windows-exploits
Windows平台提权漏洞集合
项目地址:https://github.com/SecWiki/windows-kernel-exploits
各大平台提权工具
项目地址:https://github.com/klsfct/getshell
Windwos辅助提权脚本
项目地址:https://github.com/ianxtianxt/win-exp-
SweetPotato修改版,用于webshell下执行命令
项目地址:https://github.com/uknowsec/SweetPotato
Webshell下提权执行命令
Joomla提权漏洞(CVE-2020-11890)
漏洞简介近日,joomla官方给出了一个安全公告。从公告可知Joomla! CMS versions 2.5.0 - 3.9.16版本在处理用户组时缺少对根用户组的检查,从而导致了一个提权漏洞的产生(CVE-2020-11890)。经过我分析之后发现,想要利用这个漏洞,必须先要有一个管理员账号,而这个漏洞的作用仅仅能将管理员提权为超级管理员。虽然这个漏洞看起来无比鸡肋,但是分析过程却其乐无穷:既了解joomla是如何实现用户组权限划分,又复习了下数据结构。总体上来说漏洞虽小,但分析过程还是很有研究与记录价值的。漏洞分析本次漏洞可以将joomla系统中的Administrator用户提权为Super Users。在分析漏洞前,我们来看一下Su
CVE-2020-8835 pwn2own 2020 ebpf 通过任意读写提权分析
前言该漏洞分析和利用思路作者已经公开,并且也有大佬公开了利用(见参考链接),所以本文就不再对漏洞原理进行分析,主要是对通过任意读写来提权的思路进行补充和分析。环境和exp在附件中,内核版本下载:https://github.com/torvalds/linux/archive/v5.5.tar.gz越界读写进行信息泄露mapfd = bpf_create_map(BPF_MAP_TYPE_ARRAY,key_size,value_size,max_entries,0);key_size:表示索引的大小范围,key_size=sizeof(int)=4.value_size:表示map数组每个元素的大小范围,可以任意,只要控制在一个合理的范围
pipePotato:一种新型的通用提权漏洞
作者:xianyu & daiker0x00 影响本地提权,对于任意windows Server 2012以上的windows server版本(win8以上的某些windows版本也行),从Service用户提到System 用户,在windows Server 2012,windows Server 2016,windows Server 2019全补丁的情况都测试成功了。 0x01 攻击流程演示基于server 2019laji.exe. msf 生成的正常木马pipserver.exe 命名管道服务端,注册命名管道spoolssClient.exe 打印机rpc调用客户端首先,攻击者拥有一个服务用户,这里演示采用的是IIS服务的用户。攻击者通过p
Ladon 6.4新增Linux系统探测、管理员提权System降权
前言你还在为权限切换的问题而烦恼吗?SYSTEM权限下浏览器密码读取工具失效?SYS权限下系统自带NET USE命令连接IPC失效?SYSTEM权限下截取不到目标桌面?ADMIN权限下打不开SYSTEM权限进程?如何切换各种权限测试工具?等这些都是权限问题,在XP和03用户权限和SYS权限都是同一个会话,所以远控可直接记录到,很多功能我们也没发现影响,直到WIN7微软为了这全,将会话进行隔离,我们会发现SYS权限会话为0,用户为1,这就是为什么以前sys权限控制WIN7机器远程桌面会黑屏的原因?Firefxo和Chrome采用了DBAPI加密,该加密需要对应用户会话信息才能解密,直接以SYSTEM权限启动发现解密失败。所以我们需要切换权限Ladon 6.4更新功能[+] GetSystem 管理
CVE-2020-8835 pwn2own 2020 ebpf 提权漏洞分析
pwn2own 2020 上Manfred Paul (@_manfp) 利用了ebpf 的一个漏洞完成了ubuntu的提权,4月16号的时候zdi公开了manfp 的writeup。这篇文章中,参考zdi上的writeup, 我会分析这个漏洞的成因,然后写一下这个洞的 exp, 纯属个人笔记,理解有误的地方欢迎指正。 环境搭建文章涉及到的文件都放在了这里, 我用的是linux-5.6 版本的内核,在 ubuntu1804 下编译测试。 漏洞分析这个漏洞是在commit 581738a681b6引入的, 它添加了一个函数static void __reg_bound_offset32(struct bpf_reg_state *reg){ u64 mask
CVE-2020-0796 SMB漏洞本地提权分析
Author:剑残雪飘@深蓝攻防实验室微软安全中心在北京时间3月12日23时发布了影响Windows 10 等系统用户的SMBv3远程代码执行漏洞补丁,本文分析一下本地提权的exp执行流程漏洞原因漏洞发生在srv2.sys中,由于SMB没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法.最终导致整数溢出。漏洞分析看一下调用过程:Srv2ReceiveHandler调用Srv2DecompressMessageAsyncSrv2DecompressMessageAsync 调用Srv2DecompressData漏洞在Srv2DecompressData函数中攻击者可以控制OriginalCo
mysql数据库漏洞利用及提权方式小结
CVE-2012-2122 Mysql身份认证漏洞影响版本Mysql在5.5.24之前MariaDB也差不多这个版本之前漏洞原理只要知道用户名,不断尝试就能够直接登入SQL数据库,按照公告说法大约256次就能够蒙对一次漏洞复现msf利用hash解密得到密码即可登录python exp#!/usr/bin/pythonimport subprocesswhile 1: subprocess.Popen("mysql -u root -p -h 192.168.0.16 --password=test", shell=True).wait()shell expfor i in `seq 1 1000`; do mysql -u r
对Windows Background Intelligent Transfer Service 提权漏洞的详细分析(CVE-2020-0787)
这篇文章主要是分析我在Background Intelligent Transfer Service中发现的任意文件移动漏洞,这是Windows 10中进行特权文件操作的一个漏洞示例,虽然没有什么新的技术,但这个漏洞本身却很有趣,因为它是被隐藏在未记录的函数中的。我将分析是如何挖到这个漏洞的,并且还将分享一些有关我为了确定漏洞而经历的逆向的一些见解。0x01 漏洞描述如果你不知道Windows的此功能,请参考Microsoft文档。(https://docs.microsoft.com/en-us/windows/win32/bits/background-intelligent-transfer-service-portal)程序员和
linux "io_uring" 提权漏洞(CVE-2019-19241)分析
“io_uring” 是Linux在5.1版本开始添加的异步IO机制,5.3 版本的内核添加了sendmsg的支持,没有考虑到权限的问题,可能导致权限提升。 前置知识IO_uring 简介io_uring 可以参考这篇文章), 写的很不错, Linux 上的异步IO的实现一直是一个问题,aio和epoll等都存在各种各样的不足,在Linux 5.1 版本中引入了一个新的异步IO框架io_uring主要的代码在下面几个文件fs/io_uring.cfs/io-wq.cfs/io_uring.c添加了三个新的系统调用425 io_uring_setup426 io_uring_enter427 io_uring_regist
CVE-2020-0787:未公开RPC函数中的提权漏洞分析
0x00 前言本文介绍了我在Background Intelligent Transfer Service(BITS,后台智能传输服务)中发现的一个任意文件移动漏洞,这是Windows 10中的一个特权文件操作滥用问题。这个bug创新点不多,但本身比较有趣,隐藏在未公开函数中。因此这里我将与大家分享发现该漏洞的过程,介绍挖掘逻辑缺陷中使用的逆向分析过程。 0x01 背景介绍如果大家对Windows的这个功能不大了解,可以参考微软官方文档中的描述(链接):程序员及系统管理人员可以使用BITS来下载文件,或者将文件上传至HTTP Web服务器及SMB文件共享。BITS在传输过程中会权衡传输成本以及网络使用情况,尽可能少影响用户前台工作。即使主机重启,BITS也可以处
CVE-2019-9213、CVE-2019-8956的分析以及组合提权
寒假在xman学到了很多,在这里总结复现一下两个cve。本文包括漏洞分析,环境搭建,以及exp提权。 漏洞分析CVE-2019-9213它是一个linux内核用户空间0虚拟地址映射漏洞首先看一下他的补丁情况:可以根据补丁来定位到expand_downwards这个函数,我们看一下源码:int expand_downwards(struct vm_area_struct *vma, unsigned long address){ struct mm_struct *mm = vma->vm_mm; struct vm_area_struct *prev; int error; address &am
mariadb (CVE-2020-7221) 提权漏洞分析
作者:Evi1hui@QAX A-TEAM 原文链接:https://mp.weixin.qq.com/s/3PqYHGklnTb-5eWuNammWAMariaDB是MySQL数据库系统的一个复刻,由社区开发,旨在继续保持在GNU GPL下开源。甲骨文公司收购了 MySQL 后,有将 MySQL 闭源的潜在风险,因此社区采用分支的方式来避开这个风险。MariaDB的目的是完全兼容MySQL,包括API和命令行,使之能轻松成为MySQL的代替品。近日,奇安信CERT在日常监测中从oss-security邮箱中监测到这枚MariaDB提权漏洞,经研判虽这个漏洞到达不了风险通告流程,但由于和监测到此漏洞比较有意思故有了下文展开分析。如有不足之处,欢迎批评指正。根据oss-security邮件
谈一谈Linux与suid提权
前几天我在代码审计知识星球里发表了一个介绍nmap利用interactive模式提权的帖子:# 进入nmap的交互模式nmap --interactive# 执行sh,提权成功!sh但具体实施的时候会遇到很多有趣的问题,我们来详细研究一下。suid提权说到这个话题,我们不得不先介绍一下两个东西:suid提权是什么nmap为什么可以使用suid提权通常来说,Linux运行一个程序,是使用当前运行这个程序的用户权限,这当然是合理的。但是有一些程序比较特殊,比如我们常用的ping命令。ping需要发送ICMP报文,而这个操作需要发送Raw Socket。在Linux 2.2引入CAPABILITIES前,使用Raw Socket是需要root权限的(当然不是说引入CAPABILITIES就不需要权限了
CVE-2020-0668:Windows Service Tracing本地提权漏洞分析
0x00 前言在本文中,我将与大家分享我在Windows Service Tracing中找到的一个任意文件移动漏洞。根据测试结果,该漏洞影响从Vista到10的所有Windows版本。由于XP系统中已存在该功能,因此该漏洞可能会影响更早的版本。Service Tracing是Windows系统中很早就存在的一个功能,可以追溯到XP时代,但更早系统中可能已经包含该功能。Service Tracing可以提供正在运行的服务和模块的基础调试信息,配置起来非常方便,本地用户只要编辑HKLMSOFTWAREMicrosoftTracing下的某些注册表键值即可。Windows系统中,服务或者模块会关联某些注册表项,其中每个键都包含6个值(即具体的设置信息)。这里我们主要
公告
九层之台,起于累土;黑客之术,始于阅读