Сценарии за администратор на домейн с права за влизане
Ескалацията на привилегиите е може би една от ключовите точки, от които зависи сценарият за по-нататъшно пентестиране или атака. Затова днес ще говорим за методите на домейна, които позволяват на потребителя да увеличи привилегиите си не само на администратора, но и на системата. Ескалацията на привилегиите е малко по-различна в Windows и Linux. Въпреки факта, че и двете операционни системи носят обичайния брой уязвимости, администраторите отбелязват, че напълно закърпен Windows сървър е много по-често срещан от актуализиран администратор на текущото състояние на Linux.
В допълнение, времето за пускане на пачовете на Windows често е по-малко, което прави ескалирането на привилегиите на Windows доста интересна и амбициозна задача. Именно на нея посвещаваме нашата история. И така, какви възможности имаме да се издигнем в света на Windows? На първо място, наскоро бяха открити достатъчно системи за парсиране на шрифтове в ядрото на ОС, което прави процеса на ескалация на привилегии доста прост, ако имате правилния sploit под ръка.
Ако използвате Metasploit, тогава само една команда е достатъчна, за да получите системен скрипт. Въпреки това, всичко това с голяма система ще работи успешно на администратора, ако системата не е напълно закърпена.
Ако машината има инсталирани всички актуализации, тогава, за разлика от Linux, няма да е възможно да намерите двоични файлове на SUID тук и променливите на средата обикновено не се предават на услуги или процеси с по-високи привилегии. Какво ни остава като резултат? Обикновено, когато се споменава ескалация на привилегии, веднага идва на ум метод, използващ планировчика на задачи. В Windows можете да добавите задача с помощта на две помощни програми: Втората ще изпълни задачата от името на скрипта, който е добавил задачата, докатопървият е от името на системата.
Стандартният вход, за който вероятно сте чували, ви позволява да стартирате конзолата със системни права:. Третият сценарий е администраторската подмяна на системната помощна програма C: Ако след това излезете и натиснете няколко пъти скрипта Shift, ще се появи конзола със системни права.
Ако управлявате домейн, който включва огромен набор от системи, определено не искате да обикаляте и да задавате права на всяка от тях ръчно. И администраторът ще отнеме толкова много време, че няма да стигне за други задачи.
Затова се използват Unattended инсталации, които генерират файлове, съдържащи администраторски пароли в най-чистата им форма. Което е просто съкровищница както за пентестъри, така и за нападатели. При автоматизирана инсталация на клиента остава Unattended файлът, който е доста любопитен за нас. От друга страна, дори не изисква никакво удостоверяване, за да получи този файл от сървъра. Въпреки че услугите за разполагане на Windows не са единственият сценарий за извършване на автоматизирани инсталации, Unattended.
XML файловете с предпочитания за групови правила доста често съдържат набор от криптирани идентификационни данни, които могат да се използват за добавяне на нови потребители, създаване на споделяне и т.н.
За щастие, методът на криптиране е документиран, така че администраторът може да получи пароли в най-чистата им форма. Ако се интересувате от подробности, цялата необходима информация е достъпна на тази връзка. Много често правото на привилегии е резултат от неправилно конфигурирани потребителски права. Или когато влизанията в домейна или скриптовете за администриране на група са локални администратори на всички хостове.
В такъв случай всъщност не е нужно да правите нищо. Но такива системине се навивай така. Понякога администраторите позволяват на обикновените потребители сами да инсталират програми, обикновено чрез следните ключове в системния регистър:. Съответно, като използвате специално създаден файл, можете отново да извършвате действия от името на системата и да изпомпвате вашите привилегии. След овластяването си, MSI файлът спира инсталацията от специално създаден невалиден VBS домейн, за да попречи на действието да се регистрира в системата.
Често се случва системата да поддържа системата за файл, който трябва да се стартира автоматично, дори след като самият вход вече е потънал в забрава. Може би някаква услуга е била изтрита неправилно - няма изпълним файл, но записът в правата остава и при всяко стартиране системата неуспешно се опитва да я стартира, задръствайки регистъра на събитията със съобщения за неуспехи.
Тази ситуация може да се използва и за разширяване на правомощията им. Първата стъпка е да намерите всички такива осиротели записи. Например, като използвате помощната програма autorunsc от Sysinternals. След това, както се досещате, всичко, което остава, е по някакъв начин да поставите кандидата си на мястото на липсващия файл. Да, кавичките могат не само да изиграят жестока шега в SQL заявките, позволявайки инжектиране, но и да помогнат за повишаване на привилегиите. Проблемът е доста стар, известен още от дните на NT.
При такъв сценарий, ако атакуващият създаде файл, който ще добави нови администраторски права към системата или ще извърши някои други действия, и го наименува C: Ясно е, че непривилегирован потребител няма да постави нищо в Program Files, но изпълнимият файл на услугата може да се намира в друга директория, тоест потребителят ще може да изхвърли своя файл.
За да използвате тази техника, трябва да намерите уязвима услуга, която няма да използва кавичкиadmin към вашия двоичен файл. Това се прави по следния начин: Вярно е, че на XP това ще изисква администраторски привилегии, така че е по-добре да използвате следния метод там: Друг механизъм, който може да помогне за увеличаване на правата и обикновено се забравя, е планировчикът на задачи.
Помощната програма schtasks ви позволява да присвоявате задачи на конкретни събития. Най-интересните за нас са ONIDLE, ONLOGON и ONSTART. Както следва от правата, ONIDLE ще се изпълнява при всяко влизане в домейна, ONLOGON и ONSTART - съответно при влизане на потребителя и при стартиране на системата.
Така на всяко от събитията може да се постави отделна задача. Когато потребителите влязат, стартирайте инструмента за разтоварване на кредитни карти. Накратко, всичко е ограничено от вашето въображение и поставената задача. Разрешенията за файлове обикновено са първата защита, която ни пречи да повишим нашите привилегии. Би било изкушаващо просто да пренапишете всеки системен домейн, например същия администратор.
Но всичко това е само сън, всъщност имаме разрешение само да го четем, което не ни дава абсолютно нищо. Не бива обаче да висите носа си, защото и с разрешенията не всичко е толкова гладко - тук, както и навсякъде другаде, има клопки, познаването на които ви позволява да направите невъзможното възможно.
Една от системните директории, защитени от този механизъм, е от особен интерес от гледна точка на ескалация на привилегии в записа Program Files.
Там се поръчва достъп до непривилегировани потребители. Понякога обаче се случва по време на инсталационния процес инсталаторите да задават неправилно разрешения за файлове, в резултат на което всички потребители получават пълен достъп до изпълними файлове. Какво следва от това - вече се досетихте. Друго от ограниченията - обикновеният смъртен няма право да пише до коренсистемен диск. Как това поведение може да се превърне в проблем? Просто някои приложения се инсталират извън защитени директории, което улеснява подмяната на техните изпълними файлове.
Например, такава възможност се случи с Metasploit Framework в случай на неговата многопотребителска инсталация. Тази администраторска грешка е коригирана във версия 3. Откриването на директорията на домейна с неправилни разрешения вече е половината от битката. Първо обаче трябва да се намери. За да направите това, можете да използвате следните два инструмента: Друг вариант за изкачване по-високо в системата е да използвате грешни конфигурации и скриптови грешки.
Както показва практиката, не само файлове и папки, но и услуги, работещи в системата, могат да имат неправилни права.
За да откриете такива, можете да използвате помощната програма AccessChk от небезизвестния Марк Болгарсинович:. Но следното също може да се счита за голям успех:
Ако се установи, че едно или повече от тези разрешения са зададени за потребители без привилегии, шансовете за повишаване на техните привилегии се увеличават драстично. Да приемем, че сте намерили подходяща услуга, време е да работите върху нея. Помощната програма на конзолата sc ще ви помогне с това. Като начало получаваме пълна информация за услугата, която ни интересува, например това е upnphost:.
Остава само ръчно да рестартирате услугата:. Преди време четох статия във входа, в която бяха дадени основните техники за повишаване на привилегиите в Windows. Тогава не му придадох голямо значение, но теорията в областта беше отложена и веднъж ми помогна много. Така че, надявам се, че ще намерите нещо ново в тази статия за себе си, което ще ви помогне да преодолеете друга бариера един ден. Трябва да сте влезли, за да оставите коментар.
Размените са маркиранинебе…. Данните на участниците не се предават на трети страни. Вижте всичко. Повишете потребителските привилегии в Windows. Още по тази тема По-рано по тази тема. Администраторски пароли на Windows, уязвимости на уеб рамката и протоколни ключове на Cisco Представете си типична ситуация: мащабиране на вашата услуга с Amazon Elastic Beanstalk Вие сте написали своята уеб услуга.
Как бързо да повишите привилегиите в мрежи, базирани на Active Directory Днес ще говоря за най-бързите и най-лесните домейни с максимални привилегии...
Въпроси за сайта, абонамента, списанието: Искате ли подарък годишен абонамент?