Повышаем привелегии из командной строки.
Mr. RobotПовышение привилегий, пожалуй, один из ключевых моментов, от которого зависит сценарий дальнейшего проведения пентеста или атаки.
1. Обычно при упоминании повышения привилегий на ум сразу приходит способ,использующий планировщик задач. В винде можно добавить задачу с помощью двух утилит: at и schtasks. Вторая запустит задачу от имени пользователя, добавившего задание, в то время как первая — от имени системы. Стандартный трюк, о котором ты наверняка слышал, позволяющий запустить консоль с правами системы:
at 13:01 /interactive cmd
2. Второе, что приходит в голову, — это добавление сервиса, который будет запускать необходимый файл / выполнять команду:
@echo off Александр Романов off title root Cls echo Creating service. sc create evil binpath= "cmd.exe /K start" type=own type= interact > nul 2>&1 echo Starting service. sc start evil > nul 2>&1 echo Standing by... ping 127.0.0.1 -n 4 > nul 2>&1 echo Removing service. echo. sc delete evil > nul 2>&1
3. Третий способ заключается в подмене системной утилиты C:\windows\system32\sethc.exe на, например, cmd. Если после этого разлогиниться и нажать несколько раз клавишу Shift, то появится консоль с системными правами. Что касается автоматизированных способов, то первым делом вспоминается Metasploit и его getsystem. Альтернативным вариантом можно считать
PsExec от Sysinternals (psexec -i -s -d cmd.exe).
4. Unattended Installs
В случае автоматизированной установки на клиенте остается достаточно любопытный для нас файл Unattended.xml, который обычно находится либо в %WINDIR%\Panther\Unattend\, либо в %WINDIR%\Panther\ и может хранить пароль администратора в открытом виде. С другой стороны, чтобы получить этот файл с сервера, не требуется даже никакой аутентификации. Надо найти лишь Windows Deployment Services сервер. Для этого можно воспользоваться скриптом auxiliary/ scanner/dcerpc/windows_deployment_services из Metasploit. И хотя Windows Deployment Services не единственный способ выполнения автоматизированных инсталляций, файл Unattended.xml считается стандартом, так что его обнаружение можно приравнять к успеху.
5. GPP XML-файлы настроек групповой политики безопасности (Group Policy Preference) довольно часто содержат в себе набор зашифрованных учетных данных, которые могут использоваться для добавления новых пользователей, создания шар и так далее. На счастье, метод шифрования документирован, таким образом, можно запросто получить пароли в чистом виде. Более того, команда Metasploit уже все сделала за тебя — достаточно воспользоваться модулем /post/ windows/gather/credentials/ gpp.rb. Если тебе интересны подробности, то вся необходимая информация доступна по этой ссылке:goo.gl/WW8nNw
6. ПРОПАВШИЙ АВТОЗАПУСК Очень часто случается, что система хранит запись о файле, который надо автоматически запустить, даже после того, как сам файл уже канул в Лету. Может, какой-то сервис был некорректно удален — исполняемого файла нет, а запись в реестре осталась, и при каждом запуске система безуспешно пытается его стартануть, забивая журнал событий сообщениями о фейлах. Этой ситуацией также можно воспользоваться для расширения своих полномочий. Первым делом надо найти все такие осиротевшие запи си. Например, при помощи утилиты autorunsc от Sysinternals.
autorunsc.exe -a | fi ndstr /n /R "File\not\found"
После чего, как ты догадался, останется только как-то подсунуть на место пропавшего файла своего кандидата.
7. КАК ИСКАТЬ ТАКИЕ ДИРЕКТОРИИ/ФАЙЛЫ
Обнаружение директории с некорректными разрешениями — это уже половина успеха. Однако ее нужно сначала найти. Для этого можно воспользоваться следующими двумя инструментами: AccessChk и Cacls/ICacls. Чтобы найти при помощи AccessChk «слабые» директории, понадобятся данные команды:
accesschk.exe -uwdqs users c:\ accesschk.exe -uwdqs "Authenticated Users" c:\
Для поиска файлов со «слабыми» разрешениями служат следующие:
accesschk.exe -uwqs users c:\*.* accesschk.exe -uwqs "Authenticated Users" c:\*.*
То же самое можно выполнить и при помощи Cacls/ICacls:
cacls "c:\Program Files" /T | fi ndstr Users
8. ТРЮКИ С СЕРВИСАМИ
Еще один вариант, как подняться в системе повыше, — это воспользоваться мисконфигурациями и ошибками сервисов. Как показывает практика, некорректными разрешениями могут обладать не только файлы и папки, но также и сервисы, работающие в системе. Чтобы обнаружить такие, можно воспользоваться утилитой AccessChk от небезызвестного тебе Марка Руссиновича:
accesschk.exe –uwcqv *
Отраднее всего будет увидеть SERVICE_ ALL_ACCESS разрешение для аутентифи цированных пользователей или powerюзеров. Но также большой удачей можно считать и следующие:
• SERVICE_CHANGE_CONFIG — можем изменять исполняемый файл службы;
• WRITE_DAC — можно менять разрешения, что приводит к получению разрешения SERVICE_ CHANGE_CONFIG;
• WRITE_OWNER — можно стать владельцем и изменить разрешения;
• GENERIC_WRITE — наследует разрешения SERVICE_CHANGE_ CONFIG;
• GENERIC_ALL — наследует разрешения SERVICE_CHANGE_ CONFIG.
Если обнаруживается, что установлено одно (или несколько) из этих разрешений для непривилегированных пользователей, шансы повысить свои привилегии резко возрастают
9. КАК ПОВЫСИТЬ? Допустим, ты нашел подходящий сервис, настало время поработать над ним. В этом поможет консольная утилита sc. Для начала получаем полную информацию об интересующем нас сервисе, допустим, это upnphost:
sc qc upnphost
С помощью этой же утилиты отконфигурируем его:
sc confi g vulnsrv binpath= "net user john hello/ add && net localgroup Administrators john /add" type= interact sc confi g upnphost obj= ".\LocalSystem" password=""
Как видишь, при следующем старте службы вместо ее исполняемого файла выполнится команда net user john hello /add && net localgroup Administrators john /add, добавив в систему нового пользователя john с паролем hello. Остается только вручную перезапустить сервис:
net stop upnphost net start upnphost
