基于系统漏洞的Windows系统提权方法研究.docxVIP

?

?

基于系统漏洞的Windows系统提权方法研究

?

?

穆文彬虞欣平邹军

摘要：本文档主要剖析了基于Windows公开漏洞的本地权限提升方法，重点介绍如何获得系统提权漏洞的编号、补丁修补情况，以及对目标系统存在漏洞的定位方法，并给出防御建议。

关键词：Windows;漏洞;提权;微软安全更新

一、背景介绍

权限控制，是系统安全的重要一环，诸如提取管理员密码、木马隐藏启动等攻击行为，都需要有较高的权限。黑客通过网站、数据库等的RCE漏洞突破服务器后，经常只有webshell或普通用户权限。个人电脑被黑客攻击后，如果使用的普通用户或者开启了UAC，黑客想做更多动作，也需要提权。

提升权限的方法有很多种，基于系统漏洞的提升、通过第三方软件漏洞的提升、利用社会工程学的提升等等。因为第三方软件漏洞、社会工程学等方式都需要特定的条件，不具备通用性，本文主要介绍如何定位Windows操作系统漏洞提升权限的方法。

二、Windows操作系统提权漏洞定位

Windows操作系统提权漏洞的定位和利用可以分成两部分：一是Windows已公开的提权漏洞信息获取，二是系统可利用漏洞的定位。

（一）Windows操作系统已公开的提权漏洞信息获取

为积极应对复杂多变的安全威胁，让用户能够及时了解Windows系统的安全信息，微软在正式发布补丁和安全修复程序时都会在其官方网站上以安全更新公告和安全更新向导两种方式提供相关信息。

1.微软的安全更新公告（bulletinsearch）

安全更新公告是一份excel文档，记录了从2008年11月11日以来所有Windows平台的漏洞信息，包括漏洞编号、补丁发布时间、补丁编号、漏洞危害、适用版本、存在组件等等，下载链接为http：///download/6/7/3/673E4349-1CA5-40B9-8879-095C72D5B49D/BulletinSearch.xlsx，或者直接在微軟官方网站中搜索“bulletinsearch”关键字，在搜索结果的页面中下载。根据笔者的统计，安全更新公告中发布了242个提权漏洞信息，部分信息归纳如下：

微软在2017年3月整合了安全更新公告和安全更新向导，只通过安全更新向导公布漏洞更新信息，所以安全更新公告中的漏洞信息只到2017年3月为止。

2.微软的安全更新向导（securityguidance）

安全更新向导使用网页的方式提供在线的漏洞信息查询，其网址为https：///zh-tw/security/bulletins，内容基本和安全更新公告相同;

2017年3月，微软启用了新版本的安全更新向导，将安全更新公告的功能合并到安全更新向导中，其网址为https：///zh-tw/security-guidance，公布了2016年4月12日至今的所有漏洞信息，并提供excel文档下载。和老版本相比较，新版的安全更新向导提供了漏洞对应的CVE编号，但不再提供MS开头的漏洞编号。

（二）系统可利用漏洞的定位

获取了微软公布的提权漏洞信息后，下一步就是确定目标系统是否打上对应的补丁。

1.系统信息收集

使用systeminfo命令可以获取已安装的补丁信息，但如果已安装补丁超过246个，会出现补丁显示不全的问题。wmic命令可以解决这个问题，在命令行下输入“wmicqfegethotfixid，installedon”命令，可以获取到系统所有已安装的补丁编号和安装日期。

但由于wmic功能强大，少部分管理员会禁止非管理员帐号执行wmic命令。遇到这种情况，systeminfo又显示不全，还可以通过查看windows目录下的WindowsUpdate.log文件确认，方法是在文件末尾向上搜索“更新”，找到的第一条就是最新安装的补丁信息，包括安装时间、补丁编号等。

2.漏洞信息比对

获取了主机已安装的补丁列表，但微软公布的提权漏洞有数百个，还需要快速准确把目标主机上没有打过补丁的漏洞筛选出来，笔者在这里提供两种方法。

2.1使用工具比对

如具有文件比较功能的UltraEdit，我们只需将微软公布的excel漏洞文档中的提权漏洞补丁编号导出到文件1，将目标主机已打补丁的编号导出到文件2，使用UltraEdit的文件比较，对这两个文件进行文本比较，查看差异值即可。

2.2使用Windows命令行筛选

Windows命令行下的type命令可以显示文件内容，配合find命令，可以将文件中指定内容单独显示，如type1.txt|find12345命令，就是把1.txt中包含字符串“12345”的所有行都显示出来。利用这个方法，结合for命令，就可以直接输出可利用漏洞信息。

假定微软提权漏洞补丁编号存在1.txt，目标主机已打补丁编号存在2.txt，执行命令：