Metasploit Framework（Windows）的提权漏洞

版本：metasploit framework - Rapid7 (Windows) 4.17.0

操作系统：Windows 10 1909 (x64)

漏洞：metasploit framework - Rapid7 (Windows) Local Privilege Escalation through CWE-426(Untrusted Search Path)

当在windows中安装metasploit framework时，会自动创建4个服务。metasploit windows服务在默认情况下是自动运行的（机器重启的情况下）。

可以从下图看到相关服务

然后，我使用procmon检查了这4个服务的进程。这4个服务中其中一个（metasploitProSvc）在服务停止时会以SYSTEM权限调用不存在于其他文件夹的taskkill.exe。

然后，我检查了不存在taskkill.exe的文件夹的权限。

发现经过身份验证的用户可以访问该文件夹。这意味着，所有可以在windows中使用metasploit framework的用（用户、访客或管理员）都可以利用这个漏洞。

然后，我创建一个恶意payload，将其命名为taskkill.exe，放到文件夹C:\metasploit\postgresql\bin中。

很快，payload就被执行。我们成功得到了目标系统的shell。

我很快就上报给官方，并得到了他们的回复。

如果你也对挖掘逻辑漏洞感兴趣，可以查看以下链接：https://github.com/sailay1996/awesome_windows_logical_bugs

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://heynowyouseeme.blogspot.com/2020/03/local-privilege-escalation-in.html