前言:
漏洞簡介
該漏洞位於Windows的UAC(User Account Control,用戶帳戶控制)機制中
默認情況下,Windows會在一個單獨的桌面上顯示所有的UAC提示 Secure Desktop
這些提示是由名爲 consent.exe 的可執行文件產生的,該可執行文件以NT AUTHORITY\SYSTEM權限運行,完整性級別爲System
因爲用戶可以與該UI交互,因此對UI來說緊限制是必須的,否則,低權限的用戶可能可以通過UI操作的循環路由以SYSTEM權限執行操作,即使隔離狀態的看似無害的UI特徵都可能會成爲引發任意控制的動作鏈的第一步。
事實上,UAC會話中含有儘可能少的點擊操作選項,利用該漏洞很容易就可以提升權限到SYSTEM。
影響範圍:
SERVER:
Windows 2008r2 7601 ** link OPENED AS SYSTEM **
Windows 2012r2 9600 ** link OPENED AS SYSTEM **
Windows 2016 14393 ** link OPENED AS SYSTEM **
Windows 2019 17763 link NOT opened
WORKSTATION:
Windows 7 SP1 7601 ** link OPENED AS SYSTEM **
Windows 8 9200 ** link OPENED AS SYSTEM **
Windows 8.1 9600 ** link OPENED AS SYSTEM **
Windows 10 1511 10240 ** link OPENED AS SYSTEM **
Windows 10 1607 14393 ** link OPENED AS SYSTEM **
Windows 10 1703 15063 link NOT opened
Windows 10 1709 16299 link NOT opened
環境準備:
win7系統
賬號:ceshi,普通用戶權限。
利用方式:
首先,用ceshi用戶進行登錄windows操作系統,打開cmd,執行whoami
命令
然後執行添加用戶命令:net user asdf admin#123456.. /add
,提示拒絕訪問,說明當前ceshi用戶的權限是不夠的。
接下來利用EXP來進行權限的提升,打開exp文件HHUPD.exe
該exp文件大家可以去github上下載,這裏就不貼出下載鏈接了。
第一步:
第二步:
第三步:點擊確定,點擊否按鈕。
第四步:此時回到桌面,IE瀏覽器已經默認打開我們之前點擊的URL鏈接,等待頁面加載好後。
第五步:此時選擇路徑爲cmd.exe後,直接回車,彈出的cmd命令行就是system權限的命令行。
執行whoami命令: