星期五实验室 至简安全
至简安全
微信号 gh_5d5b4e19e73f
功能介绍 至简安全是由一群志同道合和的小伙伴组成的团队,专注于��Web安全、内网渗透、红蓝对抗技术。成立的初心是为了共同提升安全技术,帮助学习者从简单的角度去学习网络安全。
__
收录于话题
从Windows 10 build 1809开始,非管理用户被授予对%windir%\system32\config目录中文件的读取访问权限。这可以允许本地权限提升 (LPE)。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。攻击者必须能够在受害系统上执行代码才能利用此漏洞。如果系统驱动器的 VSS 卷影副本可用,则非特权用户可以利用对这些文件的访问来实现多种影响,包括但不限于:
1.提取和利用帐户密码哈希。
2.发现原始 Windows 安装密码。
3.获取DPAPI计算机密钥,可用于解密所有计算机私钥。
4.获取一个电脑机器账号,可以用来进行银票攻击。
VSS 卷影副本在某些配置中可能不可用,但是只需拥有一个大于 128GB 的系统驱动器,然后执行 Windows 更新或安装 MSI 即可确保自动创建VSS 卷影副本。要检查系统是否有可用的 VSS 卷影副本,请用cmd管理员模式运行以下命令:
vssadmin list shadows
没有VSS卷影副本的系统将如下所示。(测试系统为win11,系统盘为128g,没有还原点)
如果win11系统盘小于128g没有自动还原点,可以手动设置一下
win11这里C盘保护设置为开启,然后点击配置,启用系统保护,最大使用量可以随便设置一下,不要为0
接下来点击创建,输入一些信息创建完成。最后确定一下。
最后重新输入就可以看到卷影了。
具有 VSS 卷影副本的系统将报告至少一个指定的卷影副本的详细信息,举例如下。(测试系统为win10,系统盘为199g)
要检查系统是否易受攻击,可以从cmd普通模式使用以下命令。
icacls %windir%\system32\config\sam
不易受到攻击的系统将如下所示。(测试系统为win10,系统盘为18g)
容易受攻击的系统如图所示。(测试系统为win10,系统盘为199g)
(1)复现环境为系统盘199g的win10。版本号为 10.0.19041.572。
github上下载这个项目:
https://github.com/GossiTheDog/HiveNightmare/releases
查看当前用户和权限,可以看到当前用户不在管理员组
运行程序读取敏感文件
把这三个文件复制到kali,破解hash值
secretsdump.py -system SYSTEM-haxx -security SECURITY-haxx -sam SAM-haxx local
(2)复现环境为虚拟机win10,版本号为10.0.18363.418,NAT模式,系统盘147G。
运行程序读取敏感文件
kali破解hash值
(3)复现环境为WIN11,版本号位10.0.22000.71,已手动创建还原点
(4)复现环境为win10虚拟机,已经创建还原点
mimikatz最新版已经把这个漏洞武器化,可以一键操作
misc::shadowcopies
获取安全帐户管理器(SAM)数据库,它包含用户密码的 NTLM,有时包含 LM 哈希
lsadump::sam /system:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM /sam:\\?\GLOBALROOT\DeviceHarddiskVolumeShadowCopy1\Windows\System32\config\SAM
winadmin是管理员账户,破解hash值,密码为winadmin@123
3389连接这台win10虚拟机,如果win10没有3389端口,可以手动打开
从以上情况可以简单总结CVE-2021-36934漏洞触发需要系统盘大于128G或者是创建了还原点
命令提示符(以管理员身份运行):
icacls %windir%\system32\config\*.* /inheritance:e
Windows PowerShell(以管理员身份运行):
icacls $env:windir\system32\config\*.* /inheritance:e
删除限制访问%windir%\system32\config之前存在的任何系统还原点和卷影卷。如果有需要创建一个新的系统还原点
vssadmin Delete Shadows /For=C: /Oldest
文章来源:星期五实验室
https://github.com/GossiTheDog/HiveNightmarehttps://kb.cert.org/vuls/id/506989https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 #exploit
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
CVE-2021-36934 Windows提权漏洞
最多200字,当前共字
__
发送中
写下你的留言
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序