工具简介
BeRoot是一款Post-Exploitation工具,也就是在黑客拿到目标主机的Shell之后所要用到的一种东西。BeRoot可以帮助我们检查目标Windows系统中存在的错误配置,并找出提权的方法。【GitHub传送门】
BeRoot项目将会作为一个Post-Exploitation模块被添加进Pupy项目(一个开源的、跨平台Post-Exploitation工具,采用Python编写)中,当beRoot作为一个模块添加进去之后,它就可以直接在内存中运行了,整个过程都无需与磁盘交互。
需要注意的是,这款工具只能用来检测,而无法直接利用目标系统中存在的漏洞。但是,如果它发现了错误配置,它可以通过模版来利用这些漏洞。模版文件位于templates/service目录下,如果项目提供的模版文件无法运行,我们也可以根据目标系统的情况手动创建一个模版文件。
工具下载
【beRoot.zip】(zip)
【源代码】(zip)
【源代码】(tar.gz)
工具运行
接下来,我们会给大家介绍所有的检测方法。
包含空格且不含引号的路径地址
请大家先看看下面这个文件路径:
C:/Program Files/Some Test/binary.exe
如果文件路径中包含空格且不含引号,那么Windows系统将会按照下面的顺序定位并执行目标程序:
C:/Program.exe C:/Program Files/Some.exe C:/Program Files/Some Folder/binary.exe
如果“C:/”文件夹是可写的,那么我们就有可能在该目录下创建一个恶意的可执行程序“Program.exe”,如果“binary.exe”拥有高权限,那么我们就可以利用这种机制来提升我们的权限。
请注意:BeRoot会对每一条服务路径、计划任务、以及HKLM条目中的启动键执行这样的检测,
利用方法
在利用存在安全缺陷的路径时,我们应该遵循以下方法:
1. 如果是一个服务,那么我们就创建一个恶意服务(或编译一个service模版)。 2. 如果是一个可执行程序,那么我们就可以创建一个恶意的可执行程序。
可写的文件目录
请大家先看看下面这个文件路径:
C:/Program Files/Some Test/binary.exe
如果“binary.exe”所在的根目录可写(“C:/ProgramFiles/Some Test”),并且“binary.exe”能够以高级权限运行,那么我们就可以利用它来实现提权。
请注意:BeRoot会对每一条服务路径、计划任务、以及HKLM条目中的启动键执行这样的检测,
利用方法
1. 如果服务不处于运行状态:用我们的服务模版替换掉合法服务,重启该服务,并尝试触发该服务。 2. 服务处于运行状态且无法被终止:这是大多数的情况,可以尝试进行DLL劫持并使用其他的技术来重启服务。
%PATH%路径中的可写目录
这项技术可在以下Windows版本中使用:
6.0 => Windows Vista / Windows Server 2008 6.1 => Windows 7 / Windows Server 2008 R2 6.2 => Windows 8 / Windows Server 2012 在上述Windows版本中,DLL文件是通过指令代码进行加载的,Windows会通过下列步骤来尝试定位相应的代码:
- 定位代码所在目录 - C:/Windows/System32 - C:/Windows/System - C:/Windows/ - 当前目录下的代码已启动 - 目录地址将会保存在%PATH%环境变量中
如果%PATH%变量中的目录路径是可写的,那么我们就有可能实现DDL劫持攻击。那么接下来,我们的目标就是要找出一个能够加载DLL文件但路径还不在%PATH%变量中的服务。默认情况下,我们选择使用“IKEEXT”服务,它可以加载我们的恶意DLL文件-wlbsctrl.dll。
如何利用:创建一个名为“wlbsctrl.dll”(使用DLL模版)的恶意DLL文件,并将其添加至%PATH%变量中的可写路径,开启“IKEEXT”服务,为了在没有高级权限的情况下开启IKEEXT服务,我们可以参考法国杂志MISC90中所介绍的方法,方法大致如下:
根据下列信息创建一个文件:
C:/Users/bob/Desktop>typetest.txt [IKEEXTPOC] MEDIA=rastapi Port=VPN2-0 Device=Wan Miniport (IKEv2) DEVICE=vpn PhoneNumber=127.0.0.1
使用“rasdial”命令开启IKEEXT服务,如果链接失效,则说明该服务已经处于运行状态了。
MS16-075
对于懂法语的用户,我建议可以参考MISC 90中提供的技术细节。
微软已经在公告MS16-075的补丁中修复了这个漏洞,但是很多服务器仍然存在这个问题,这里给大家提供一个C++PoC【点我获取】。大致的实现方法如下:
1. 使用某些方法(使用其UUID)开启Webclient服务 2. 在本地开启一个HTTP服务器 3. 找到一个能够触发SYSTEM NTLM哈希的服务 4. 启用该服务的文件追踪,修改其注册表键值,并让其指向我们的Web服务器(//127.0.0.1@port/tracing) 5. 开启该服务 6. 让我们的HTTP服务器请求获取SYSTEM NTLM哈希 7. 使用这个哈希和SMB来执行我们的自定义Payload 8. 清除痕迹(终止服务,清除注册表键等等)
如何利用:在目标主机中,BeRoot可以通过下列命令来执行自定义命令:
beRoot.exe -c “net userZapata LaLuchaSigue /add” beRoot.exe -c “net localgroupAdministrators Zapata /add”
注册表键AlwaysInstallElevated
通过对AlwaysInstallElevated进行设置,我们可以让非特权用户使用高级权限(SYSTEM权限)来运行MicrosoftWindows Installer包文件。为此,我们需要将下面这两个注册表键值设置为1:
HKEY_CURRENT_USER/SOFTWARE/Policies/Microsoft/Windows/Installer/AlwaysInstallElevated HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Installer/AlwaysInstallElevated
如何利用:创建一个恶意MSI文件,然后执行。
Unattend安装文件
很多安装文件中包含程序的所有配置信息,并且会在程序的安装过程中对程序进行配置,而有些安装文件中还包含对本地账号(例如管理员账号)的配置信息,我们可以通过下列路径获取到这些文件:
C:/Windows/Panther/Unattend.xml C:/Windows/Panther/Unattended.xml C:/Windows/Panther/Unattend/Unattended.xml C:/Windows/Panther/Unattend/Unattend.xml C:/Windows/System32/Sysprep/unattend.xml C:/Windows/System32/Sysprep/Panther/unattend.xml
如何利用:打开unattend.xml文件,检查其中是否含有密码。文件结构大致如下:
<UserAccounts>
<LocalAccounts>
<LocalAccount>
<Password>
<Value>RmFrZVBhc3N3MHJk</Value>
<PlainText>false</PlainText>
</Password>
<Description>Local Administrator</Description>
<DisplayName>Administrator</DisplayName>
<Group>Administrators</Group>
<Name>Administrator</Name>
</LocalAccount>
</LocalAccounts>
</UserAccounts>
参考资料
https://toshellandback.com/2015/11/24/ms-priv-esc/
https://github.com/secruul/SysExec
https://github.com/CoreSecurity/impacket/
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/55098.html