Windows系统错误系统漏洞提权

2019-08-03 16:37栏目:互联网知识
TAG:

icacls c:windowstasks /remove:d system

5.攻击

输入run命令,可以看到自动反弹了一个新的meterpreter,我们在此meterpreter shell下输入getuid 发现是system 权限,如下图所示。证明我们已经提权成功了。

图片 1

我们输入sessions可以看到有2个meterpreter,ID为3的就是新反弹回来的,如下图所示。

图片 2

我们浏览源代码发现,这个模块使用了一些正则表达式来过滤掉那些路径用引号包含起来的路径,以及路径中不含空格的路径,并创建一个受影响的服务的路径列表。接着该模块尝试利用列表中第一个受影响的服务,将恶意的可执行程序放到相应受影响的文件夹中去。接着受影响的服务被重启,最后,该模块会删除该恶意可执行文件。

icacls c:windowstasks /deny system:(OI)(CI)(WD,WDAC)

6.解决方案

当开发者没有将文件路径用引号包含起来的时候,才会发生这种行为。用引号包含起来的路径解析的时候则不存在这种行为

第二个后门用于从 C&C域名]/upload下载其他工具。

2.检查对有漏洞目录是否有写入的权限

这里我们使用Windows内建的一个工具,icacls,下面我们用这个工具依次来检查目录的权限。

C:Usersadmin>icacls "C:Program Filesbaidu"

图片 3

类似这种命令,直至找到有everyone属性的目录

“M”表示修改,“F”代表完全控制,“CI”代表从属容器将继承访问控制项,“OI”代表从属文件将继承访问控制项。这意味着对该目录有读,写,删除其下的文件,删除该目录下的子目录的权限。

责任编辑:

PowerUp之”系统服务错误权限配置漏洞”的实战利用

这里我们主要利用一个非常实用的Powershell框架-Powerup通过直接替换可执行文件本身来实现权限的提升。首先检测目标主机是否存在该漏洞。Powerup可以帮助我们寻找服务器错误的系统配置和漏洞从而实现提权的目的。下载地址:

我们先将工具下载到本地,然后上传至目标服务器。见下图所示。

图片 4

上传好脚本后,输入shell命令进入CMD提示符下,然后可以使用下列命令在本地隐藏权限绕过执行该脚本,会自动进行所有的脚本检查。见下图所示。

powershell.exe -exec bypass -Command "&{Import-Module .PowerUp.ps1; Invoke-AllChecks}"

图片 5

也可以使用IEX下载在内存中加载此脚本,执行如下命令,同样会自动进行所有的检查,如下图所示。

powershell -nop -exec bypass -c “IEX(New-Object Net.WebClient).DownloadString('c:/PowerUp.ps1');Invoke-AllChecks”

知识点:

-NoProfile(-NoP):PowerShell控制台不加载当前用户的配置

-Exec Bypass:绕过执行安全策略

Import-Module:加载脚本

图片 6

可以看出,Powerup列出了可能存在问题的所有服务,并在AbuseFunction中直接给出了利用方式。第一部分通过Get-ServiceUnquoted模块检测出了有“Vulnerable Service”、“OmniServ”、“OmniServer”、“OmniServers”四个服务,路径包含空格且不带引号,但是都没有权限,所以并不能被我们利用来提权。第二部分通过Get-ServiceFilePermission模块检测出当前用户可以在“OmniServers”服务的目录写入相关联的可执行文件,并且通过这些文件来进行提权。

这里我们还是可以使用icacls来验证下PowerUp脚本检测是否正确,我们先来测试“C:Program FilesExecutable.exe”、“C:Program FilesCommon FilesmicrosoftsharedOmniServ.exe”、“C:Program FilesCommon FilesA SubfolderOmniServer.exe”这三个文件夹,均提示权限不够。如下图所示。

图片 7

再测试“C:Program FilesProgram FolderASubfolderOmniServers.exe”文件,如下图所示。

图片 8

可以看到我们对OmniServers.exe文件是有完全控制权的,这里我们可以直接将OmniServers.exe替换成我们的MSF反弹木马,当服务重启时,就会给我们返回一个system权限的meterpreter。

在这里我们使用图11里AbuseFunction那里已经给出的具体操作方式,执行如下命令操作,如下图所示。

powershell -nop -exec bypass IEX (New-ObjectNet.WebClient).DownloadString('c:/PowerUp.ps1');Install-ServiceBinary-ServiceName 'OmniServers'-UserName shuteer -Password Password123!

 

 

本文转载Freebuf,原文地址:http://www.freebuf.com/articles/system/131388.html

 

网络安全公司ESET于上周发表的一篇博文中指出,仅在一个最新的微软Windows零日漏洞被公开披露的两天之后,一个被追踪为“PowerPool”的黑客组织就在实际攻击活动中对它进行了利用。虽然从相关数据来看受害者数量并不多,但攻击却横跨了多个国家,其中包括智利、德国、印度、菲律宾、波兰、俄罗斯、英国、美国和乌克兰。

1.先检测目标主机是否存在该漏洞

理论上讲,如果一个服务的可执行文件的路径没有用双引号封闭,并且包含空格,那么这个服务就是有漏洞的。

我们在meterpreter shell命令提示符下输入shell命令进入目标机cmd下,然后使用下列wmi查询命令来列举受害者机器上所有的没有加引号的服务路径(除去了windows本身的服务)。

wmic service get name,displayname,pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows\" |findstr/i /v """

 这是可以看到有哪些服务对应的二进制文件路径没有引号包含起来,并且路径中包含空格。是存在该漏洞的,但在上传可执行文件进去之前,我们需要确定我们对目标文件夹是否有写入的权限。

PowerPool组织常用的攻击手段和黑客工具

Trusted Service Paths 漏洞

windows服务通常都是以System权限运行的,所以系统在解析服务的二进制文件对应的文件路径中的空格的时候也会以系统权限进行解析。如果我们能利用这一特性,就有机会进行权限提升。

例如,有如下的文件路径:

C:Program FilesSome FolderService.exe

对于上面文件路径中的每一个空格,windows都会尝试寻找并执行名字与空格前的名字向匹配的程序。操作系统会对文件路径中空格的所有可能进行尝试,直到找到一个匹配的程序。以上面的例子为例,windows会依次尝试确定和执行下面的程序:

C:Program.exe

C:Program FilesSome.exe

C:Program FilesSome FolderService.exe

所以如果我们能够上传一个适当命名的恶意可执行程序在受影响的目录,服务一旦重启,我们的恶意程序就会以system权限运行(大多数情况下)。

  • 执行命令
  • 终止进程
  • 上传文件
  • 下载文件
  • 列出文件夹内清单

3.确认了目标主机存在此漏洞后,便开始正式攻击

Metasploit中相对应的是Windows Service Trusted Path Privilege Escalation本地利用模块,该模块会将恶意的可执行程序放到受影响的文件夹中去,然后将受影响的服务重启。接着我们输入命令background,把当前的meterpreter shell转为后台执行。然后在Metasploit中搜索trusted_service_path模块。如下图所示。

图片 9

icacls c:windowstasks /grant:r "Authenticated Users":(RX,WD)

Metasploit下Trusted ServicePaths漏洞的实战利用

从安全研究员Kevin Beaumont和CERT对该漏洞的分析来看,它是由于SchRpcSetSecurity API函数中未能够正确检查用户的权限而导致的。因此,无论实际权限如何,用户都可以对C:WindowsTask中的任何文件具有写权限,这允许仅具有读权限的用户也能够替换写保护文件的内容。

4.使用该exploit程序,并设置相关参数

图片 10

如何减轻该本地权限提升(LPE)所带来的威胁

想要实现本地权限提升,攻击者首先需要选择将被覆盖的目标文件,而此类需要是一个使用SYSTEM权限自动执行的文件。例如,它可以是系统文件,也可以是由任务定期执行的已安装软件的更新程序。最后一步涉及到使用恶意代码替换受保护目标文件的内容,使得在下次自动执行时,恶意软件将具有SYSTEM权限,而不用管其原始权限如何。

icacls c:windowstasks /remove:g "Authenticated Users"

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。返回搜狐,查看更多

原标题:黑客组织PowerPool利用最新Windows零日漏洞在全球多个国家实

ESET表示,PowerPool组织在整个攻击链中会使用不同的方法来实现初步入侵,其中一种便是发送带有恶意附件的垃圾电子邮件。根据SANS互联网风暴中心在5月份发表的一篇分析文章来看,该组织曾使用了Symbolic Link(.slk)文件来作为附件。此类文件可以由微软Excel打开,并强制Excel执行PowerShell代码。

ESET表示,此次漏洞披露并不合理,因为在发布这条推文时,该漏洞并没有相应的安全补丁可用。

请注意,当针对此漏洞的安全补丁发布时,应及时撤消这些更改。这可以通过执行以下命令来完成:

滥用SchRpcCreateFolder修改Google Updater权限

2018年8月27日,一个据称影响到从Windows 7到Windows 10的所有操作系统版本的零日漏洞在GitHub上被公开披露,同时披露者(SandboxEscaper)还通过Twitter对此事进行了宣传。

版权声明:本文由奥门新萄京娱乐场发布于互联网知识,转载请注明出处:Windows系统错误系统漏洞提权