漏洞簡介
微軟在7月20日發布緊急安全公告,公開了一個Windows提權漏洞,由于對多個系統檔案(包括安全帳戶管理器 (SAM) 資料庫)的訪問控制串列 (ACL) 過于寬松,攻擊者可讀取SAM,SYSTEM,SECURITY等檔案內容,進而獲取用戶NTLM Hash值,從而通過解密Hash值或Hash傳遞等方法造成特權提升漏洞,成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼,
影響范圍
微軟確認此問題會影響 Windows 10 版本 1809 和更新的作業系統,其他版本還在確認中,
環境配置
作業系統:本文使用Windows 10 2004 (19041.450)
啟用administrator用戶:net user administrator /active:yes
設定密碼:net user administrator 1qaz2wsx
關閉Defender:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f
關閉防火墻:netsh advfirewall set allprofiles state off
啟用檔案和列印機共享服務:net start lanmanserver
創建系統還原點
右鍵“此電腦->屬性”,點擊“系統保護->配置->啟用系統保護->應用->確定”,如圖:
輸入描述然后點擊“創建”按鈕創建還原點,如圖:
漏洞復現
使用GossiTheDog提供的工具轉儲SAM,SYSTEM和SECURITY檔案,如圖:
使用impacket-secretsdump工具獲取用戶Hash值,如圖:
使用impacket-psexec工具,通過傳遞Hash利用SMB服務獲取目標系統SYSTEM權限,如圖:
處置建議
1、禁用默認管理員用戶:net user administrator /active:no
2、限制對%windir%\system32\config 內容的訪問:
# 命令提示符(以管理員身份運行)
icacls %windir%\system32\config\*.* /inheritance:e
# Windows PowerShell(以管理員身份運行)
icacls $env:windir\system32\config\*.* /inheritance:e
但是我使用該方法失敗了,如圖
再次讀取檔案,如圖:
3、洗掉所有系統還原點和洗掉卷影復制服務(VSS)卷影副本,該方法會影響洗掉卷影副本可能會影響還原操作,包括使用第三方備份應用程式還原資料的能力,有關如何洗掉卷影副本的詳細資訊,請參閱KB5005357- 洗掉卷影副本,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/290002.html
標籤:其他
上一篇:fastjson1.2.24 反序列化導致任意命令執行漏洞(CVE-2017-18349)
下一篇:細談永恒之藍,實作復現!!