IkeextPrivesc Windows IKEEXT DLL劫持漏洞利用工具

  • A+
所属分类:网络安全工具

IkeextPrivesc Windows IKEEXT DLL劫持漏洞利用工具

此工具旨在自动检测和利用IKE和AuthIP IPsec密钥环模块服务(IKEEXT)缺少DLL漏洞。

描述
Windows Vista,7,8,Server 2008,Server 2008 R2和Server 2012中存在一个主要弱点,它允许任何经过身份验证的用户在某些情况下获得系统权限。
在Windows中,有一项名为IKEEXT(IKE和AuthIP IPsec Keyring Modules)的服务,它以SYSTEM身份运行,并尝试加载不存在的DLL。Windows的默认DLL搜索顺序包括多个系统目录并以PATH文件夹结尾。简单来说,如果其中一个文件夹配置了较弱的权限,任何经过身份验证的用户都可以植入一个恶意DLL,以SYSTEM身份执行代码,从而提升他/她的权限。
IKEEXT试图加载'wlbsctrl.dll':

用法
此PowerShell脚本由2个Cmdlet组成:
Invoke-IkeextCheck - 仅检查机器是否存在漏洞。
Invoke-IkeextExploit - 如果机器易受攻击,可以通过将专门制作的DLL放到第一个弱文件夹来利用它。

发现
该调用-IkeextCheck cmdlet将执行下列检查:
操作系统版本 - 如果操作系统是Windows Vista / 7/8,则该机器可能存在漏洞。
IKEEXT状态和启动类型 - 如果服务已启用,则该计算机可能存在漏洞(默认)。
具有较弱权限的PATH文件夹 - 如果至少找到一个文件夹,则该计算机可能存在漏洞。
wlbsctrl.dll是否已经存在于某个系统文件夹(即可从中加载DLL的文件夹)?- 如果wlbsctrl.dll不存在,该机器可能存在漏洞(默认)。

用法举例

  1. PS C:\temp> . .\Ikeext-Privesc.ps1
  2. PS C:\temp> Invoke-IkeextCheck -Verbose

利用
如果机器易受攻击,则Invoke-IkeextExploit Cmdlet将执行以下操作:
取决于IKEEXT启动类型:
AUTO - 如果在命令行中设置了开关'-Force'(安全覆盖),漏洞文件将被丢弃到第一个弱PATH文件夹中。
手动 - 漏洞文件将被删除到第一个弱PATH文件夹。然后,通过尝试打开虚拟VPN连接(使用 rasdial)来触发服务启动。
以下漏洞利用文件将被丢弃到第一个易受攻击的文件夹中:
wlbsctrl.dll - 一个专门制作的DLL(32和64位),用于启动新的CMD进程并执行BATCH文件。
wlbsctrl_payload.bat - 将被执行的BATCH文件。
BATCH有效负载:
默认 - 此脚本中包含默认的BATCH有效内容。它将使用net user和net localgroup创建一个新用户(黑客的密码为SuperP @ ss123)并将其添加到本地管理员组(该组的名称由脚本自动检索)。
自定义 - 可以使用参数-Payload。\ Path \ To \ File.txt和每行包含一个命令的文件指定一组自定义命令。
日志文件 - 每个有效负载命令的输出都被重定向到与DLL相同的文件夹中的日志文件。它的名字就像wlbsctrl_xxxxxxxx.txt。所以如果这个文件没有被创建,这意味着有效载荷没有被执行。

用法举例

  1. PS C:\temp> . .\Ikeext-Privesc.ps1
  2. PS C:\temp> Invoke-IkeextExploit
CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: