metasploit之Windows Services漏洞提權實戰

新聞 04-10

0×01引言

在獲得目標機器基本許可權以後，面臨我們最大的問題就是如何從普通用戶提升為管理員用戶。眾所周知，Windows服務是以SYSTEM許可權運行的，因此，它們的文件夾、文件和註冊的鍵值，都是受到強訪問控制保護的。但在某些情況下，會有一些沒有受到有效保護的服務。

0×02 Windows服務漏洞介紹

windows服務漏洞。Windows系統服務運行在後端，由操作系統通過SCM(服務控制管理)控制，它負責處理所有發送給windows服務的命令，接收windows服務的更新。如果我們能夠修改一個服務的二進位文件路徑屬性，在重啟服務的時候，我們可以讓服務以system許可權替我們啟動一個命令。

0×03 Windows服務漏洞的實戰利用

同樣此時假設我們通過一系列前期滲透，已經成功獲得了目標機的meterpreter shell（過程略），當前許可權為administrator，我們想獲取系統的system許可權，但是嘗試了各類提權方法後失敗。

1. 先檢測目標主機是否存在該漏洞。

我們將檢查大量的訪問許可權，最簡單的方法時使用AccessChk（SysInterals套件中的一個工具）。這個工具是由Mark Russinovich寫的用於在Windows上進行一些系統或程序的高級查詢、管理和故障排除。在進行滲透測試的時候鑒於反病毒軟體的檢測等原因我們應該盡量少的接觸目標磁碟，由於AccessChk是微軟官方工具，所以基本不會引起殺毒軟體的報警。

中文版下載地址：http://technet.microsoft.com/ZH-cn/sysinternals/bb664922 。

首先我們Metasploit下使用upload命令將AccessChk上傳至目標機下,如圖1所示。

然後我們到目標機CMD下就可以使用如下的命令來判斷到底哪個服務可以被認證的用戶修改，不論用戶的許可權級別。如圖2所示。

accesschk.exe -uwcqv "Authenticated Users" * /accepteula

Authenticated Users 是指Windows系統中所有使用用戶名、密碼登錄並通過身份驗證的賬戶，不包括來賓賬戶Guest。運行後我們看到有一個可以修改的服務PFNet，SERVICE_ALL_ACCESS意思我們對PFNet的屬性擁有完全控制權。正常情況下未授權的用戶是不應該有這些Windows服務許可權的，但由於管理員甚至是第三方開發人員錯誤的配置才可能導致這種漏洞的出現。

知識點：幾個有用的accesschk命令

第一次執行sysinternals工具包里的工具時，會彈出一個許可協議彈框，這裡可以添加一個參數「/accepteula」去自動接受許可協議

accesschk.exe/accepteula

找出某個驅動器下所有許可權配置有缺陷的文件夾路徑

accesschk.exe–uwdqsUsersc:accesschk.exe–uwdqs"AuthenticatedUsers"c:

找出某個驅動器下所有許可權配置有缺陷的文件路徑

accesschk.exe–uwqsUsersc:*.*accesschk.exe–uwqs"AuthenticatedUsers"c:*.*

接著使用SC命令來查看PFNet服務的配置也可以用來管理Windows服務，見圖3所示。

metasploit之Windows Services漏洞提權實戰