什么是IKEEXT提权
IKEEXT提权是一种属于windows配置错误的提权方式,IKEEXT是一种windows服务、
IKEEXT 服务BAI托管 Internet 密钥交换(IKE)和身份验证 Internet 协议du(AuthIP)键控模块。这些键控模块用于zhi Internet 协议安全(IPSec)中的身份验证和密钥交换。停止或dao禁用 IKEEXT 服务将禁用与对等计算机的 IKE/AuthIP 密钥交换。通常将 IPSec 配置为使用 IKE 或 AuthIP
原理
IKEEXT的服务(IKE和AuthIP IPsec Keyring模块),它作为系统运行,并尝试加载不存在的DLL。Windows默认的DLL搜索顺序包括几个系统目录,并以路径文件夹结束。简单地说,如果这些文件夹中的一个配置了弱权限,任何经过身份验证的用户都可以植入一个恶意DLL来作为SYSTEM an执行代码
为了更高效的使用IKEEXT提权,我们可以用IKEEXTDLL提权工具
下载地址:https://github.com/securycore/Ikeext-Privesc
此工具用于自动检测和利用IKE和AuthIP IPsec Keyring模块服务(IKEEXT)丢失的DLL漏洞。
描述
在Windows Vista, 7,8, Server 2008, Server 2008 R2和Server 2012中存在一个主要的弱点,它允许任何经过身份验证的用户在某些情况下获得系统特权。
在Windows中,有一个名为IKEEXT的服务(IKE和AuthIP IPsec Keyring模块),它作为系统运行,并尝试加载不存在的DLL。Windows默认的DLL搜索顺序包括几个系统目录,并以路径文件夹结束。简单地说,如果这些文件夹中的一个配置了弱权限,任何经过身份验证的用户都可以植入一个恶意DLL来作为系统执行代码,从而提高他/她的特权。
试图加载“wlbsctr .dll”:
用法
这个PowerShell脚本由2个cmdlet组成:
Invoke-IkeextCheck—只检查机器是否有漏洞。
invoker – ikeextexploit——如果机器是易受攻击的,通过将一个特别制作的DLL放到第一个弱文件夹来利用它。
检测
Invoke-IkeextCheck Cmdlet执行以下检查:
操作系统版本-如果操作系统是windowsvista /7/8,那么机器有潜在的弱点。
IKEEXT状态和启动类型——如果启用了服务,那么机器可能会受到攻击(默认情况下)。
具有弱权限的路径文件夹-如果至少找到一个文件夹,计算机可能会受到攻击。
wlbsctrl.dll是否已经存在于某个系统文件夹中(即dll可以被加载的文件夹)?-如果wlbsctr .dll不存在,机器是潜在的脆弱(默认)。
语法:
Invoke-IkeextCheck [- verbose)
例子:
psc:temp> . .Ikeext-Privesc.ps1
psc:temp>调用- ikeextcheck -Verbose
利用
如果机器是有漏洞的,Invoke-IkeextExploit Cmdlet将执行以下操作:
根据IKEEXT开始类型:
AUTO -如果在命令行中设置了“- force”开关(安全覆盖),漏洞文件将被放到第一个弱路径文件夹。
手动-利用文件将被拖放到第一个弱路径文件夹。然后,通过尝试打开虚拟VPN连接(使用rasdial),将触发服务启动。
以下攻击文件将被放到第一个易受攻击的文件夹:
DLL -一个特别制作的DLL(32和64位),用来启动一个新的CMD进程并执行一个批处理文件。
bat—将要执行的批处理文件。
批处理载荷:
Default—此脚本中包含默认批处理有效负载。它将使用net user和net localgroup创建一个新用户(hacker,密码为SuperP@ss123),并将其添加到本地administrators组(该脚本自动检索组的名称)。
Custom -可以使用参数- payload .PathTo file .txt指定一组自定义命令,并使用每行包含一个命令的文件。
日志文件——每个有效负载命令的输出被重定向到与DLL文件位于同一文件夹中的日志文件。它的名称将类似于wlbsctrl_xxxxxxxxx .txt。因此,如果未创建此文件,则意味着未执行有效负载。
语法:
Invoke-IkeextExploit [-Verbose] [-Force] [[-Payload]
]
例子:
psc:temp> . .Ikeext-Privesc.ps1
p C: temp > Invoke-IkeextExploit
高科技桥梁——Frederic Bourla,他最初发现了这个漏洞并在2012年10月9日披露了它。——https://www.htbridge.com/advisory/HTB23108
修复
首先,需要注意的是,这个漏洞在Windows 8.1及以上版本中被修补过。在这些版本的Windows中,wlbsctr .dll搜索被限制为c:windows失败。
如果你被困在Windows 7 / Server 2008R2因为兼容性问题,例如,几个应对措施可以应用:
权限较弱的路径文件夹——有些应用程序直接安装在C:中,并将它们自己添加到PATH环境变量中。默认情况下,在C:中创建的文件夹是任何经过身份验证的用户都可以写的,因此请确保删除这些特权。
禁用IKEEXT——在大多数情况下,可以通过应用GPO禁用IKEEXT。对于服务器来说,这可能是一个很好的解决方案,但不建议用于工作站。
部署你自己的DLL -部署一个虚拟的wlbsctrl.dll在c::windowssystem32例如,是一个有效的解决方案,因为这个目录比路径文件夹有更高的优先级。
请登录后发表评论
注册