IkeextPrivesc Windows IKEEXT DLL劫持漏洞利用工具(暂未上线)

此工具旨在自动检测和利用IKE和AuthIP IPsec密钥环模块服务（IKEEXT）缺少DLL漏洞。

描述
Windows Vista，7,8，Server 2008，Server 2008 R2和Server 2012中存在一个主要弱点，它允许任何经过身份验证的用户在某些情况下获得系统权限。
在Windows中，有一项名为IKEEXT（IKE和AuthIP IPsec Keyring Modules）的服务，它以SYSTEM身份运行，并尝试加载不存在的DLL。Windows的默认DLL搜索顺序包括多个系统目录并以PATH文件夹结尾。简单来说，如果其中一个文件夹配置了较弱的权限，任何经过身份验证的用户都可以植入一个恶意DLL，以SYSTEM身份执行代码，从而提升他/她的权限。
IKEEXT试图加载'wlbsctrl.dll'：

用法
此PowerShell脚本由2个Cmdlet组成：
Invoke-IkeextCheck - 仅检查机器是否存在漏洞。
Invoke-IkeextExploit - 如果机器易受攻击，可以通过将专门制作的DLL放到第一个弱文件夹来利用它。

发现
该调用-IkeextCheck cmdlet将执行下列检查：
操作系统版本 - 如果操作系统是Windows Vista / 7/8，则该机器可能存在漏洞。
IKEEXT状态和启动类型 - 如果服务已启用，则该计算机可能存在漏洞（默认）。
具有较弱权限的PATH文件夹 - 如果至少找到一个文件夹，则该计算机可能存在漏洞。
wlbsctrl.dll是否已经存在于某个系统文件夹（即可从中加载DLL的文件夹）？- 如果wlbsctrl.dll不存在，该机器可能存在漏洞（默认）。

用法举例

利用
如果机器易受攻击，则Invoke-IkeextExploit Cmdlet将执行以下操作：
取决于IKEEXT启动类型：
AUTO - 如果在命令行中设置了开关'-Force'（安全覆盖），漏洞文件将被丢弃到第一个弱PATH文件夹中。
手动 - 漏洞文件将被删除到第一个弱PATH文件夹。然后，通过尝试打开虚拟VPN连接（使用 rasdial）来触发服务启动。
以下漏洞利用文件将被丢弃到第一个易受攻击的文件夹中：
wlbsctrl.dll - 一个专门制作的DLL（32和64位），用于启动新的CMD进程并执行BATCH文件。
wlbsctrl_payload.bat - 将被执行的BATCH文件。
BATCH有效负载：
默认 - 此脚本中包含默认的BATCH有效内容。它将使用net user和net localgroup创建一个新用户（黑客的密码为SuperP @ ss123）并将其添加到本地管理员组（该组的名称由脚本自动检索）。
自定义 - 可以使用参数-Payload。\ Path \ To \ File.txt和每行包含一个命令的文件指定一组自定义命令。
日志文件 - 每个有效负载命令的输出都被重定向到与DLL相同的文件夹中的日志文件。它的名字就像wlbsctrl_xxxxxxxx.txt。所以如果这个文件没有被创建，这意味着有效载荷没有被执行。

用法举例