metasploit之Windows Services漏洞提權實戰
0×01引言
在獲得目標機器基本許可權以後,面臨我們最大的問題就是如何從普通用戶提升為管理員用戶。眾所周知,Windows服務是以SYSTEM許可權運行的,因此,它們的文件夾、文件和註冊的鍵值,都是受到強訪問控制保護的。但在某些情況下,會有一些沒有受到有效保護的服務。
0×02 Windows服務漏洞介紹
windows服務漏洞。Windows系統服務運行在後端,由操作系統通過SCM(服務控制管理)控制,它負責處理所有發送給windows服務的命令,接收windows服務的更新。如果我們能夠修改一個服務的二進位文件路徑屬性,在重啟服務的時候,我們可以讓服務以system許可權替我們啟動一個命令。
0×03 Windows服務漏洞的實戰利用
同樣此時假設我們通過一系列前期滲透,已經成功獲得了目標機的meterpreter shell(過程略),當前許可權為administrator,我們想獲取系統的system許可權,但是嘗試了各類提權方法後失敗。
1. 先檢測目標主機是否存在該漏洞。
我們將檢查大量的訪問許可權,最簡單的方法時使用AccessChk(SysInterals套件中的一個工具)。這個工具是由Mark Russinovich寫的用於在Windows上進行一些系統或程序的高級查詢、管理和故障排除。在進行滲透測試的時候鑒於反病毒軟體的檢測等原因我們應該盡量少的接觸目標磁碟,由於AccessChk是微軟官方工具,所以基本不會引起殺毒軟體的報警。
中文版下載地址:http://technet.microsoft.com/ZH-cn/sysinternals/bb664922 。
首先我們Metasploit下使用upload命令將AccessChk上傳至目標機下,如圖1所示。
然後我們到目標機CMD下就可以使用如下的命令來判斷到底哪個服務可以被認證的用戶修改,不論用戶的許可權級別。如圖2所示。
accesschk.exe -uwcqv "Authenticated Users" * /accepteula
Authenticated Users 是指Windows系統中所有使用用戶名、密碼登錄並通過身份驗證的賬戶,不包括來賓賬戶Guest。運行後我們看到有一個可以修改的服務PFNet,SERVICE_ALL_ACCESS意思我們對PFNet的屬性擁有完全控制權。正常情況下未授權的用戶是不應該有這些Windows服務許可權的,但由於管理員甚至是第三方開發人員錯誤的配置才可能導致這種漏洞的出現。
知識點:幾個有用的accesschk命令
第一次執行sysinternals工具包里的工具時,會彈出一個許可協議彈框,這裡可以添加一個參數「/accepteula」去自動接受許可協議
accesschk.exe/accepteula
找出某個驅動器下所有許可權配置有缺陷的文件夾路徑
accesschk.exe–uwdqsUsersc:accesschk.exe–uwdqs"AuthenticatedUsers"c:
找出某個驅動器下所有許可權配置有缺陷的文件路徑
accesschk.exe–uwqsUsersc:*.*accesschk.exe–uwqs"AuthenticatedUsers"c:*.*
接著使用SC命令來查看PFNet服務的配置也可以用來管理Windows服務,見圖3所示。
BINARY_PATH_NAME值指向了該服務的可執行程序(Executable.exe)路徑,如果如果我們將這個值修改成任何命令,那意味著這個命令在該服務下一次啟動時,將會以SYSTEM許可權運行。(確保SERVICE_START_NAME被指向了LocalSystem)。
2.Metasploi下設置模塊參數
Metasploit中有對應的利用模塊service_permissions,我們還是把當前的meterpreter shell轉為後台執行。然後使用該模塊,並設置相應參數。如圖4所示。
3.攻擊
輸入run命令,可以看到自動反彈了一個新的meterpreter,我們在此meterpreter shell下輸入getuid 發現是system 許可權,如圖5所示。證明我們已經提權成功了。
我們輸入sessions可以看到多了一個ID為5的就是新反彈回來的,如圖6所示。
該模塊嘗試使用兩種方法來提升到system許可權。第一種,如果Meterpreter session正以管理員許可權運行,該模塊會嘗試創建並運行一個新的服務。如果當前賬戶許可權不允許創建服務,該模塊會判斷哪些服務的文件或者文件夾許可權有問題,並允許對其進行劫持。
當創建新的服務或者劫持已經存在的服務時,該模塊會創建一個可執行程序,其文件名和安裝的文件路徑是隨機生成的。使用該模塊的AGGRESSIVE選項會利用目標機上每一個有缺陷的服務。當該選項被禁止的時候,該模塊在第一次許可權提升成功後就會停下來。
TheEnd.
TAG:嘶吼RoarTalk |
※iOS 11 beta iCloud Activation Lock曝漏洞
※Optionsbleed 漏洞泄露 Apache Server 的內存信息
※IE SetAttributeStringAndPointer釋放後重用漏洞分析
※ShadowBroker釋放的NSA工具中Esteemaudit漏洞復現過程
※Stack Clash漏洞:可提權Unix/Linux系統
※iPhone 3GS現新bootrom漏洞
※Shadow Brokers自曝漏洞細節並論證Windows 10安全性,結果……
※使用 Burp Infiltrator 進行漏洞挖掘
※Shadow Brokers 泄漏 NSA 的 Windows 和 SWIFT 漏洞利用代碼
※嚴重漏洞讓Windows Defender「監守自盜」
※Verizon版三星Note4,NoteEdge迎來更新,修復藍牙協議漏洞
※Linux、OpenBSD紛紛中招:Stack Clash提權漏洞曝光
※Spring WebFlow 遠程代碼執行漏洞分析
※藍牙協議漏洞驗證工具BlueBorne for Android
※iOS10.3中Safari scareware漏洞已被徹底修復
※黑客正在利用Firefox的0day漏洞攻擊Tor用戶(含Exploit)
※Linux中的Stack Clash漏洞,可被黑客利用獲取本地root許可權
※Stack Clash安全漏洞將Linux及其他UNIX操作系統的root訪問權拱手交給任何人!
※Google Home Mini會隨機錄音?谷歌已修補漏洞