iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 6
0

Day 06 - [系統攻擊] 咦?原來我是 Admin

悄悄的我推了一扇窗緩入,漫步到房門,發現!被反鎖在房間,於是這扇窗被我闔上。。。

延續上篇破門而入後,如果目標像座孤島,沒資源、沒朋友,那又何必跳島來這邊呢!但是轉念又想,或許只是我沒有足夠的視野去看清整座島的風貌!這就是這篇的主軸了,攻擊者或許沒辦法短時間破解20碼刁鑽的密碼,但是不代表系統沒有其他使用者用的是簡易的密碼,像是 Guest 或Service 帳號等等,如果被入侵的是權限比較低的帳號,攻擊者就會利用各種方式讓自己得到更高的權限,接著就讓我們一探究竟吧~

升級的方向

搭過飛機會知道,座位分走道、靠窗,也有不同艙等,像是經濟艙、頭等艙。權限也是有相同的概念,在不同的帳號擁有的權限都不一樣,攻擊者只要得到足夠的權限去完成任務即可,並非都要得到最高權限唷~所以在細切個帳號權限的時候,雖然會覺得煩,但是這麼做還是會多一層保障!

通用的手段

  • Access Token Manipulation

這個項目是筆者在 T 社 玩 Product Hack 的時候才知道的,不過當時改的是存在 Session 裡面的參數,改成 Admin 所使用的,就順利得到權限了。系統也可以有相同的事情!其中一種方式就是複製/竊取現有 Process 的 Token,然後利用該 Token 產生新的 Process!讀者如果有興趣可以參考下附連結第一個,裡面是用 C 寫的範例。

  • File System Permission Weakness

這個部分通常是說:某些執行檔因為沒有做好權限的管控,被惡意換成有危險的執行檔。如果執行該執行檔的服務是擁有很高權限的,哇哇~那就不得了了!舉個生活小例子,如果讀者有使用 PEM 來登入系統,通常都會建議把 PEM 改成 400 ,也就是只有該檔案的擁有者可以讀取,不能被改寫或執行,而且其他使用者也看不到。

  • Path Intercept

這個部分,筆者的理解偏向不當配置, config 檔案在讀去位置或是變數被攻擊者利用!簡單的例子就是使用者把執行檔 (EX: NMAP )直接放入現在使用者的位置,當使用者要執行 NMAP 時,就會優先選擇在同個資料夾的檔案執行,而非系統預設路徑。 當然像更改 PATH 路徑也是會有風險的!如下範例

# Safe a little bit
export MYLIB="/home/oaq/bin"
export PATH=${PATH}:${MYLIB}

# UnSafe
export MYLIB="/home/oaq/bin"
export PATH=${MYLIB}:${PATH}
  • Schedule Task

這個部分也是雷同於 File System Permission Weakness,置換執行檔,不過這個部分針對的像是 Cronjob 或是 Startup 等服務,系統經常執行或是例行公事,這類型的服務可說是攻擊者的口袋名單!

新番推薦

下面兩個系統漏洞是在2017年被公開的,該漏洞是屬於CPU設計方面的缺陷,本意是為了提升CPU效能,但是被發現有漏洞能鑽,攻擊者可以手滑在沒有權限的情況下看到其他使用者存在 Memory 的資料。讀者如果想要多瞭解可以參考下方連結~

小建議

安全措施始終是和方便使用相對立的!要有安全的環境,就一定會帶來限制~

  • Authentication and Authorization

首先 Authentication 使用來判別這個人,是否是真貨!!Authorization 是用來判斷這個人有沒有權限去使用資源。

  • 最小化權限

這個做法是為了避免有些服務帳號或是使用者被入侵後,結果整晚被捧走的情形發生,一種降低風險的方式~

  • 黑白名單

這個做法除了防火牆阻擋流量之外,其實也可以利用在 應用程式 上面,可以避免被置換成惡意程式。

  • 更新 OS 和上 Patch

身為工程師都曉得一個不小心,還是會寫出 Bug !為了讓 Bug 不變成眾所皆知的漏洞,要記得更新 OS 唷~

週末,時間多了一些就多寫了一點!有空讀者也多逛逛其他有趣的資安分享文章吧~文章先到這裡打住,希望開心的你有些收穫和愉快的週末~我們明天見!掰噗!

參考文獻

https://ired.team/offensive-security/privilege-escalation/t1134-access-token-manipulation

https://attack.mitre.org/techniques/T1034/


上一篇
Day 05 - [系統攻擊] 密碼很愛踹
下一篇
Day 07 - [系統攻擊] 偷吃擦嘴
系列文
CEH 門檻只屬於自己的臆測16

尚未有邦友留言

立即登入留言