穆文彬 虞欣平 鄒軍

摘要：本文檔主要剖析了基于Windows公開漏洞的本地權(quán)限提升方法，重點(diǎn)介紹如何獲得系統(tǒng)提權(quán)漏洞的編號(hào)、補(bǔ)丁修補(bǔ)情況，以及對(duì)目標(biāo)系統(tǒng)存在漏洞的定位方法，并給出防御建議。

關(guān)鍵詞：Windows;漏洞;提權(quán);微軟安全更新

一、背景介紹

權(quán)限控制，是系統(tǒng)安全的重要一環(huán)，諸如提取管理員密碼、木馬隱藏啟動(dòng)等攻擊行為，都需要有較高的權(quán)限。黑客通過網(wǎng)站、數(shù)據(jù)庫(kù)等的RCE漏洞突破服務(wù)器后，經(jīng)常只有webshell或普通用戶權(quán)限。個(gè)人電腦被黑客攻擊后，如果使用的普通用戶或者開啟了UAC，黑客想做更多動(dòng)作，也需要提權(quán)。

提升權(quán)限的方法有很多種，基于系統(tǒng)漏洞的提升、通過第三方軟件漏洞的提升、利用社會(huì)工程學(xué)的提升等等。因?yàn)榈谌杰浖┒?、社?huì)工程學(xué)等方式都需要特定的條件，不具備通用性，本文主要介紹如何定位Windows操作系統(tǒng)漏洞提升權(quán)限的方法。

二、Windows操作系統(tǒng)提權(quán)漏洞定位

Windows操作系統(tǒng)提權(quán)漏洞的定位和利用可以分成兩部分：一是Windows已公開的提權(quán)漏洞信息獲取，二是系統(tǒng)可利用漏洞的定位。

（一）Windows操作系統(tǒng)已公開的提權(quán)漏洞信息獲取

為積極應(yīng)對(duì)復(fù)雜多變的安全威脅，讓用戶能夠及時(shí)了解Windows系統(tǒng)的安全信息，微軟在正式發(fā)布補(bǔ)丁和安全修復(fù)程序時(shí)都會(huì)在其官方網(wǎng)站上以安全更新公告和安全更新向?qū)煞N方式提供相關(guān)信息。

1.微軟的安全更新公告（bulletin search）

安全更新公告是一份excel文檔，記錄了從2008年11月11日以來所有Windows平臺(tái)的漏洞信息，包括漏洞編號(hào)、補(bǔ)丁發(fā)布時(shí)間、補(bǔ)丁編號(hào)、漏洞危害、適用版本、存在組件等等，下載鏈接為http：//download.microsoft.com/download/6/7/3/673E4349-1CA5-40B9-8879-095C72D5B49D/BulletinSearch.xlsx，或者直接在微軟官方網(wǎng)站中搜索“bulletin search”關(guān)鍵字，在搜索結(jié)果的頁(yè)面中下載。根據(jù)筆者的統(tǒng)計(jì)，安全更新公告中發(fā)布了242個(gè)提權(quán)漏洞信息，部分信息歸納如下：

微軟在2017年3月整合了安全更新公告和安全更新向?qū)В煌ㄟ^安全更新向?qū)Ч悸┒锤滦畔?，所以安全更新公告中的漏洞信息只?017年3月為止。

2.微軟的安全更新向?qū)В╯ecurity guidance）

安全更新向?qū)褂镁W(wǎng)頁(yè)的方式提供在線的漏洞信息查詢，其網(wǎng)址為https：//technet.microsoft.com/zh-tw/security/bulletins，內(nèi)容基本和安全更新公告相同;

2017年3月，微軟啟用了新版本的安全更新向?qū)?，將安全更新公告的功能合并到安全更新向?qū)е?，其網(wǎng)址為https：//portal.msrc.microsoft.com/zh-tw/security-guidance，公布了2016年4月12日至今的所有漏洞信息，并提供excel文檔下載。和老版本相比較，新版的安全更新向?qū)峁┝寺┒磳?duì)應(yīng)的CVE編號(hào)，但不再提供MS開頭的漏洞編號(hào)。

（二）系統(tǒng)可利用漏洞的定位

獲取了微軟公布的提權(quán)漏洞信息后，下一步就是確定目標(biāo)系統(tǒng)是否打上對(duì)應(yīng)的補(bǔ)丁。

1.系統(tǒng)信息收集

使用systeminfo命令可以獲取已安裝的補(bǔ)丁信息，但如果已安裝補(bǔ)丁超過246個(gè)，會(huì)出現(xiàn)補(bǔ)丁顯示不全的問題。wmic命令可以解決這個(gè)問題，在命令行下輸入“wmic qfe get hotfixid，installedon”命令，可以獲取到系統(tǒng)所有已安裝的補(bǔ)丁編號(hào)和安裝日期。

但由于wmic功能強(qiáng)大，少部分管理員會(huì)禁止非管理員帳號(hào)執(zhí)行wmic命令。遇到這種情況，systeminfo又顯示不全，還可以通過查看windows目錄下的WindowsUpdate.log文件確認(rèn)，方法是在文件末尾向上搜索“更新”，找到的第一條就是最新安裝的補(bǔ)丁信息，包括安裝時(shí)間、補(bǔ)丁編號(hào)等。

2.漏洞信息比對(duì)

獲取了主機(jī)已安裝的補(bǔ)丁列表，但微軟公布的提權(quán)漏洞有數(shù)百個(gè)，還需要快速準(zhǔn)確把目標(biāo)主機(jī)上沒有打過補(bǔ)丁的漏洞篩選出來，筆者在這里提供兩種方法。

2.1使用工具比對(duì)

如具有文件比較功能的UltraEdit，我們只需將微軟公布的excel漏洞文檔中的提權(quán)漏洞補(bǔ)丁編號(hào)導(dǎo)出到文件1，將目標(biāo)主機(jī)已打補(bǔ)丁的編號(hào)導(dǎo)出到文件2，使用UltraEdit的文件比較，對(duì)這兩個(gè)文件進(jìn)行文本比較，查看差異值即可。

2.2使用Windows命令行篩選

Windows命令行下的type命令可以顯示文件內(nèi)容，配合find命令，可以將文件中指定內(nèi)容單獨(dú)顯示，如type 1.txt|find "12345"命令，就是把1.txt中包含字符串“12345”的所有行都顯示出來。利用這個(gè)方法，結(jié)合for命令，就可以直接輸出可利用漏洞信息。

假定微軟提權(quán)漏洞補(bǔ)丁編號(hào)存在1.txt，目標(biāo)主機(jī)已打補(bǔ)丁編號(hào)存在2.txt，執(zhí)行命令：

for /f %i in （1.txt） do type 2.txt|find "%i" /i >%i.txt

當(dāng)命令執(zhí)行完畢后，會(huì)在當(dāng)前目錄生成以1.txt文件中每一行的補(bǔ)丁編號(hào)命名的txt文件，大小為0的就是可利用的漏洞補(bǔ)丁編號(hào)。

掌握了目標(biāo)主機(jī)可利用的漏洞補(bǔ)丁編號(hào)，利用對(duì)應(yīng)的漏洞利用工具就可以實(shí)現(xiàn)提權(quán)。

三、小結(jié)

本文介紹了基于微軟公開的Windows漏洞進(jìn)行系統(tǒng)提權(quán)攻擊的方法，只要能養(yǎng)成及時(shí)更新系統(tǒng)補(bǔ)丁的習(xí)慣，限制不需要修改系統(tǒng)、安裝軟件的用戶的使用權(quán)限，就能極大的提升主機(jī)的安全性，減少被黑客入侵網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1]Windows系統(tǒng)WebDAV提權(quán)漏洞[J]. 電腦愛好者， 2016（8期）：39-39.

（作者單位：中國(guó)華藝廣播公司）