实验目的与要求
实验目的
通过实验能够进行漏洞提权、复现、检测及防御。
实验要求
(1)认识近年来域内爆发的高危漏洞;
(2)能够描述高危漏洞的背景、漏洞影响版本、漏洞原理;
(3)能够利用漏洞提权,进行漏洞复现、检测及防御。
实验原理与内容
实验原理
(1)简述提权及其分类
提权(Privilege Escalation)是指攻击者在系统中获取比其正常权限更高的权限的过程。攻击者通过利用系统中的漏洞或缺陷,成功提升其权限,从而执行更多的操作,包括但不限于访问敏感数据、执行关键操作或控制系统。
提权可以分为两种主要类型:垂直提权(Vertical Privilege Escalation)和水平提权(Horizontal Privilege Escalation)。
垂直提权:垂直提权是指攻击者试图获取比当前用户更高级别的权限。这种类型的提权通常涉及攻击者试图获取管理员或系统级别的权限,从而完全控制系统。典型的垂直提权攻击包括利用操作系统、应用程序或服务的漏洞,或通过社会工程学手段获取管理员凭证。一旦攻击者成功提升权限,他们可以执行更多的操作,例如安装恶意软件、修改系统配置或篡改文件。
水平提权:水平提权是指攻击者试图获取与当前用户相同级别但不同权限的用户凭证。这意味着攻击者试图从一个受限用户转移到另一个受限用户,通常用于获取其他用户的敏感信息或执行攻击。典型的水平提权攻击包括在多租户环境中,攻击者通过利用弱密码或漏洞获取其他用户的凭证。一旦攻击者成功获得其他用户的凭证,他们可以模拟这些用户的身份执行操作,例如访问其数据或执行其权限范围内的操作。保护系统免受提权攻击的关键是实施严格的安全措施,包括定期更新系统和应用程序、使用强密码、限制用户权限、监视系统活动并及时响应潜在的安全威胁。
实验内容
Windows经典漏洞(非MS08-067、MS17-010)概况、原理、复现过程、修复与防范过程,
实验设备与软件环境
(1) 笔记本电脑
(2) VMware Workstation 17
实验过程与结果
Windows经典漏洞(非MS08-067、MS17-010)概况、原理、复现过程、修复与防范过程
CVE-2019-0708(BlueKeep)漏洞概况:
CVE-2019-0708,通常称为BlueKeep,是一个影响Microsoft Windows远程桌面服务(RDP)的远程代码执行漏洞。这个漏洞被认为是极其危险的,因为它使得攻击者可以在没有任何用户交互的情况下远程执行恶意代码,而且它影响的Windows版本非常广泛,包括Windows 7、Windows Server 2008、Windows Server 2008 R2以及Windows XP。
BlueKeep的危害潜力巨大,因为攻击者可以利用它来在网络中快速传播恶意软件,比如勒索软件。Microsoft发布了相应的安全补丁以修复这个漏洞,强烈建议所有受影响的用户尽快安装这些补丁以保护自己的系统免受攻击。
CVE-2019-0708(BlueKeep)漏洞原理:
CVE-2019-0708,通常被称为BlueKeep漏洞,是一种影响Microsoft Windows远程桌面服务(Remote Desktop Services)的漏洞。这个漏洞允许攻击者在未经授权的情况下远程执行恶意代码,而无需用户的交互。
BlueKeep漏洞的原理主要涉及Remote Desktop Protocol(RDP)的漏洞,攻击者可以利用此漏洞通过网络远程执行代码,而不需要用户的介入或认证。攻击者可以发送特制的请求到运行受影响版本Windows的计算机上,然后利用此请求中的缓冲区溢出漏洞,覆盖关键数据,最终导致远程执行恶意代码的能力。攻击者可以利用此漏洞来执行各种恶意活动,例如安装恶意软件、窃取敏感信息或者将受影响系统变成僵尸网络的一部分。由于BlueKeep漏洞的严重性,微软发布了修补程序来修复受影响的Windows版本,并强烈建议用户及时安装这些修补程序以保护其系统免受潜在攻击。
复现过程:
登录 kali linux,用 nmap 探测本网段存活主机
使用MSF的漏洞模块
对靶机进行漏洞扫描
使用攻击模块,对靶机进行攻击
修复与防范过程
防火墙限制远程桌面访问
禁用远程桌面服务
更新操作系统
使用漏扫发现漏洞已被修复
