漏洞原理

用windows系统的guest来宾用户提权到system系统用户

该Bug可在UAC(用户帐户控制)机制中找到。默认情况下,Windows在称为“安全桌面”的单独桌面上显示所有UAC提示。提示本身是由名为的可执行文件生成的,该可执行文件以System的完整性级别consent.exe运行NT AUTHORITY\SYSTEM。由于用户可以与此UI进行交互,因此有必要对UI进行严格限制。否则,低特权用户可能能够通过UI操作的circuit回路径以SYSTEM的身份执行操作。即使是孤立地看起来无害的单独UI功能也可能是导致任意控制的一系列动作的第一步。确实,您会发现UAC对话框已被精简,仅包含最少的可单击选项。

影响范围

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
SERVER
======

Windows 2008r2 7601 ** link OPENED AS SYSTEM **
Windows 2012r2 9600 ** link OPENED AS SYSTEM **
Windows 2016 14393 ** link OPENED AS SYSTEM **
Windows 2019 17763 link NOT opened


WORKSTATION
===========

Windows 7 SP1 7601 ** link OPENED AS SYSTEM **
Windows 8 9200 ** link OPENED AS SYSTEM **
Windows 8.1 9600 ** link OPENED AS SYSTEM **
Windows 10 1511 10240 ** link OPENED AS SYSTEM **
Windows 10 1607 14393 ** link OPENED AS SYSTEM **
Windows 10 1703 15063 link NOT opened
Windows 10 1709 16299 link NOT opened

漏洞复现

1
2
复现靶机:Windows 7 Enterprise with Service Pack 1 (x64)
EXP:https://github.com/jas502n/CVE-2019-1388

这边是一个Guest来宾用户,下面演示如何从普通用户提升为SYSTEM权限!

图片

右键-以管理员身份运行:

图片

这个时候会弹出UAC,不用管它,点击:显示详细信息

图片

然后点击蓝色字体:显示有关此发布者的证书信息

图片

来到证书信息这里,点击颁发着那串蓝色链接:

图片

这个时候就会使用默认的浏览器打开一个页面:

图片

页面–>另存为:

图片

这个时候弹出了一个”位置不可用”,不用管它,关闭就行:

图片

在路径输入:C:\Windows\System32\cmd.exe,然后回车就弹出一个cmd窗口:

图片

图片

图片

可以看到,现在是SYSTEM系统权限!