基于系統漏洞的Windows系統提權方法研究

穆文彬 虞欣平 鄒軍

摘要：本文檔主要剖析了基于Windows公開漏洞的本地權限提升方法，重點介紹如何獲得系統提權漏洞的編號、補丁修補情況，以及對目標系統存在漏洞的定位方法，并給出防御建議。

關鍵詞：Windows;漏洞;提權;微軟安全更新

一、背景介紹

權限控制，是系統安全的重要一環，諸如提取管理員密碼、木馬隱藏啟動等攻擊行為，都需要有較高的權限。黑客通過網站、數據庫等的RCE漏洞突破服務器后，經常只有webshell或普通用戶權限。個人電腦被黑客攻擊后，如果使用的普通用戶或者開啟了UAC，黑客想做更多動作，也需要提權。

提升權限的方法有很多種，基于系統漏洞的提升、通過第三方軟件漏洞的提升、利用社會工程學的提升等等。因為第三方軟件漏洞、社會工程學等方式都需要特定的條件，不具備通用性，本文主要介紹如何定位Windows操作系統漏洞提升權限的方法。

二、Windows操作系統提權漏洞定位

Windows操作系統提權漏洞的定位和利用可以分成兩部分：一是Windows已公開的提權漏洞信息獲取，二是系統可利用漏洞的定位。

（一）Windows操作系統已公開的提權漏洞信息獲取

為積極應對復雜多變的安全威脅，讓用戶能夠及時了解Windows系統的安全信息，微軟在正式發布補丁和安全修復程序時都會在其官方網站上以安全更新公告和安全更新向導兩種方式提供相關信息。

1.微軟的安全更新公告（bulletin search）

安全更新公告是一份excel文檔，記錄了從2008年11月11日以來所有Windows平臺的漏洞信息，包括漏洞編號、補丁發布時間、補丁編號、漏洞危害、適用版本、存在組件等等，下載鏈接為http：//download.microsoft.com/download/6/7/3/673E4349-1CA5-40B9-8879-095C72D5B49D/BulletinSearch.xlsx，或者直接在微軟官方網站中搜索“bulletin search”關鍵字，在搜索結果的頁面中下載。根據筆者的統計，安全更新公告中發布了242個提權漏洞信息，部分信息歸納如下：

微軟在2017年3月整合了安全更新公告和安全更新向導，只通過安全更新向導公布漏洞更新信息，所以安全更新公告中的漏洞信息只到2017年3月為止。

2.微軟的安全更新向導（security guidance）

安全更新向導使用網頁的方式提供在線的漏洞信息查詢，其網址為https：//technet.microsoft.com/zh-tw/security/bulletins，內容基本和安全更新公告相同;

2017年3月，微軟啟用了新版本的安全更新向導，將安全更新公告的功能合并到安全更新向導中，其網址為https：//portal.msrc.microsoft.com/zh-tw/security-guidance，公布了2016年4月12日至今的所有漏洞信息，并提供excel文檔下載。和老版本相比較，新版的安全更新向導提供了漏洞對應的CVE編號，但不再提供MS開頭的漏洞編號。

（二）系統可利用漏洞的定位

獲取了微軟公布的提權漏洞信息后，下一步就是確定目標系統是否打上對應的補丁。

1.系統信息收集

使用systeminfo命令可以獲取已安裝的補丁信息，但如果已安裝補丁超過246個，會出現補丁顯示不全的問題。wmic命令可以解決這個問題，在命令行下輸入“wmic qfe get hotfixid，installedon”命令，可以獲取到系統所有已安裝的補丁編號和安裝日期。

但由于wmic功能強大，少部分管理員會禁止非管理員帳號執行wmic命令。遇到這種情況，systeminfo又顯示不全，還可以通過查看windows目錄下的WindowsUpdate.log文件確認，方法是在文件末尾向上搜索“更新”，找到的第一條就是最新安裝的補丁信息，包括安裝時間、補丁編號等。

2.漏洞信息比對

獲取了主機已安裝的補丁列表，但微軟公布的提權漏洞有數百個，還需要快速準確把目標主機上沒有打過補丁的漏洞篩選出來，筆者在這里提供兩種方法。

2.1使用工具比對

如具有文件比較功能的UltraEdit，我們只需將微軟公布的excel漏洞文檔中的提權漏洞補丁編號導出到文件1，將目標主機已打補丁的編號導出到文件2，使用UltraEdit的文件比較，對這兩個文件進行文本比較，查看差異值即可。

2.2使用Windows命令行篩選

Windows命令行下的type命令可以顯示文件內容，配合find命令，可以將文件中指定內容單獨顯示，如type 1.txt|find "12345"命令，就是把1.txt中包含字符串“12345”的所有行都顯示出來。利用這個方法，結合for命令，就可以直接輸出可利用漏洞信息。

假定微軟提權漏洞補丁編號存在1.txt，目標主機已打補丁編號存在2.txt，執行命令：

for /f %i in （1.txt） do type 2.txt|find "%i" /i >%i.txt

當命令執行完畢后，會在當前目錄生成以1.txt文件中每一行的補丁編號命名的txt文件，大小為0的就是可利用的漏洞補丁編號。

掌握了目標主機可利用的漏洞補丁編號，利用對應的漏洞利用工具就可以實現提權。

三、小結

本文介紹了基于微軟公開的Windows漏洞進行系統提權攻擊的方法，只要能養成及時更新系統補丁的習慣，限制不需要修改系統、安裝軟件的用戶的使用權限，就能極大的提升主機的安全性，減少被黑客入侵網絡的風險。

參考文獻：

[1]Windows系統WebDAV提權漏洞[J]. 電腦愛好者， 2016（8期）：39-39.

（作者單位：中國華藝廣播公司）