本文講的是<b>metasploit之Windows Services漏洞提權實戰</b>,
0×01引言
在獲得目标機器基本權限以後,面臨我們最大的問題就是如何從普通使用者提升為管理者使用者。衆所周知,Windows服務是以SYSTEM權限運作的,是以,它們的檔案夾、檔案和注冊的鍵值,都是受到強通路控制保護的。但在某些情況下,會有一些沒有受到有效保護的服務。
0×02 Windows服務漏洞介紹
windows服務漏洞。Windows系統服務運作在後端,由作業系統通過SCM(服務控制管理)控制,它負責處理所有發送給windows服務的指令,接收windows服務的更新。如果我們能夠修改一個服務的二進制檔案路徑屬性,在重新開機服務的時候,我們可以讓服務以system權限替我們啟動一個指令。
0×03 Windows服務漏洞的實戰利用
同樣此時假設我們通過一系列前期滲透,已經成功獲得了目标機的meterpreter shell(過程略),目前權限為administrator,我們想擷取系統的system權限,但是嘗試了各類提權方法後失敗。
1. 先檢測目标主機是否存在該漏洞。
我們将檢查大量的通路權限,最簡單的方法時使用AccessChk(SysInterals套件中的一個工具)。這個工具是由Mark Russinovich寫的用于在Windows上進行一些系統或程式的進階查詢、管理和故障排除。在進行滲透測試的時候鑒于反病毒軟體的檢測等原因我們應該盡量少的接觸目标磁盤,由于AccessChk是微軟官方工具,是以基本不會引起防毒軟體的報警。
中文版下載下傳位址:http://technet.microsoft.com/ZH-cn/sysinternals/bb664922 。
首先我們Metasploit下使用upload指令将AccessChk上傳至目标機下,如圖1所示。
然後我們到目标機CMD下就可以使用如下的指令來判斷到底哪個服務可以被認證的使用者修改,不論使用者的權限級别。如圖2所示。
Authenticated Users 是指Windows系統中所有使用使用者名、密碼登入并通過身份驗證的賬戶,不包括來賓賬戶Guest。運作後我們看到有一個可以修改的服務PFNet,SERVICE_ALL_ACCESS意思我們對PFNet的屬性擁有完全控制權。正常情況下未授權的使用者是不應該有這些Windows服務權限的,但由于管理者甚至是第三方開發人員錯誤的配置才可能導緻這種漏洞的出現。
知識點:幾個有用的accesschk指令
第一次執行sysinternals工具包裡的工具時,會彈出一個許可協定彈框,這裡可以添加一個參數“/accepteula”去自動接受許可協定
找出某個驅動器下所有權限配置有缺陷的檔案夾路徑
找出某個驅動器下所有權限配置有缺陷的檔案路徑
接着使用SC指令來檢視PFNet服務的配置也可以用來管理Windows服務,見圖3所示。
BINARY_PATH_NAME值指向了該服務的可執行程式(Executable.exe)路徑,如果如果我們将這個值修改成任何指令,那意味着這個指令在該服務下一次啟動時,将會以SYSTEM權限運作。(確定SERVICE_START_NAME被指向了LocalSystem)。
2.Metasploi下設定子產品參數
Metasploit中有對應的利用子產品service_permissions,我們還是把目前的meterpreter shell轉為背景執行。然後使用該子產品,并設定相應參數。如圖4所示。
3.攻擊
輸入run指令,可以看到自動反彈了一個新的meterpreter,我們在此meterpreter shell下輸入getuid 發現是system 權限,如圖5所示。證明我們已經提權成功了。
我們輸入sessions可以看到多了一個ID為5的就是新反彈回來的,如圖6所示。
該子產品嘗試使用兩種方法來提升到system權限。第一種,如果Meterpreter session正以管理者權限運作,該子產品會嘗試建立并運作一個新的服務。如果目前賬戶權限不允許建立服務,該子產品會判斷哪些服務的檔案或者檔案夾權限有問題,并允許對其進行劫持。
當建立新的服務或者劫持已經存在的服務時,該子產品會建立一個可執行程式,其檔案名和安裝的檔案路徑是随機生成的。使用該子產品的AGGRESSIVE選項會利用目标機上每一個有缺陷的服務。當該選項被禁止的時候,該子產品在第一次權限提升成功後就會停下來。
原文釋出時間為:2017年4月10日
本文作者:shuteer
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/4180.html" target="_blank">原文連結</a>