標籤:

滲透技巧——從Admin許可權切換到System許可權

02-07

0x00 前言

在滲透測試中,某些情況下需要用到system許可權,例如操作註冊表HKEY_LOCAL_MACHINESAMSAM

恰巧最近看到了一篇文章介紹了幾種獲得system許可權的方法,於是決定結合自己的經驗對這方面的技巧做系統整理

當然,前提是已經獲得系統的管理員許可權

學習鏈接:

blog.xpnsec.com/becomin

0x01 簡介

本文將要介紹以下內容:

·通過創建服務獲得System許可權的方法

·利用MSIExec獲得System許可權的方法

·利用token複製獲得System許可權的方法

0x02 通過創建服務獲得System許可權

1、通過sc命令實現

sc Create TestService1 binPath= "cmd /c start" type= own type= interactsc start TestService1

該方法在XP系統可以使用

Win7下使用時控制台提示:

警告: 服務 TestService1 被配置為互動式服務,其支持正受到抨擊。該服務可能無法正常起作用。

服務啟動時彈框,需要點擊查看消息才能執行代碼,如下圖

Win8下控制台提示錯誤,無法使用該方法

2、通過計劃任務

使用at命令:

at 7:50 notepad.exe

默認以system許可權啟動,適用於Win7

從Win8開始不再支持at命令

使用schtasks命令:

創建服務,以system許可權啟動:

schtasks /Create /TN TestService2 /SC DAILY /ST 00:36 /TR notepad.exe /RU SYSTEM

查看服務狀態:

schtasks /Query /TN TestService2

刪除服務:

schtasks /Delete /TN TestService2 /F

註:

使用schtasks創建服務後記得手動刪除

schtasks命令支持Win7-Win10

3、利用psexec

使用psexec會創建PSEXESVC服務,產生日誌Event 4697、Event 7045、Event 4624和Event 4652

以system許可權啟動:

psexec.exe -accepteula -s -d notepad.exe

默認情況下,system許可權的進程不會在用戶桌面顯示,如果需要顯示進程界面,可以加/i參數,命令如下:

psexec.exe -accepteula -s -i -d notepad.exe

如下圖

4、Meterpreter

參考Meterpreter的方法:

·創建system許可權的服務,提供一個命名管道

·創建進程,連接到該命名管道

可供參考的代碼:

github.com/xpn/getsyste

需要getsystem-offline.exe和getsystem_service.exe

測試如下圖

註:

vs2012直接編譯存在bug,可將函數snprintf替換為_snprintf

0x03 利用MSIExec獲得System許可權

我曾在之前的文章《滲透測試中的msiexec》介紹過利用Advanced Installer製作msi文件的方法,這裡不再贅述

本節對XPN提到的方法做復現,使用wix3製作msi文件

wix3下載地址:

github.com/wixtoolset/w

msigen.wix的代碼可參考如下地址:

gist.github.com/xpn/d1e

編譯命令如下:

candle.exe msigen.wixtorch.exe msigen.wixobj

我對XPN的代碼做了修改,將payload替換為執行calc.exe,細節上做了部分修改,代碼如下:

<?xml version="1.0"?><Wix xmlns="http://schemas.microsoft.com/wix/2006/wi"> <Product Id="*" UpgradeCode="12345678-1234-1234-1234-111111111111" Name="Example Product Name" Version="0.0.1" Manufacturer="@_xpn_" Language="1033"> <Package InstallerVersion="200" Compressed="yes" Comments="Windows Installer Package"/> <Media Id="1" /> <Directory Id="TARGETDIR" Name="SourceDir"> <Directory Id="ProgramFilesFolder"> <Directory Id="INSTALLLOCATION" Name="Example"> <Component Id="ApplicationFiles" Guid="12345678-1234-1234-1234-222222222222"> </Component> </Directory> </Directory> </Directory> <Feature Id="DefaultFeature" Level="1"> <ComponentRef Id="ApplicationFiles"/> </Feature> <Property Id="cmdline">calc.exe </Property> <CustomAction Id="SystemShell" Execute="deferred" Directory="TARGETDIR" ExeCommand=[cmdline] Return="ignore" Impersonate="no"/> <CustomAction Id="FailInstall" Execute="deferred" Script="vbscript" Return="check"> invalid vbs to fail install </CustomAction> <InstallExecuteSequence> <Custom Action="SystemShell" After="InstallInitialize"></Custom> <Custom Action="FailInstall" Before="InstallFiles"></Custom> </InstallExecuteSequence> </Product></Wix>

經過我的測試,使用torch.exe將msigen.wixobj編譯成msigen.msi文件會報錯,如下圖

使用light.exe能夠成功生成msigen.msi,如下圖

雖然報錯,但不影響文件的生成和功能的執行

也就是說,完整編譯命令如下:

candle.exe msigen.wixlight.exe msigen.wixobj

直接雙擊執行msigen.msi會彈框,啟動的calc.exe為system許可權

命令行下執行:

msiexec /q /i msigen.msi

啟動的calc.exe為high許可權

0x04 利用token複製獲得System許可權

可參考之前的文章:《滲透技巧——Token竊取與利用》

通過複製system許可權的token,使進程獲得system許可權,常用工具如下:

1、incognito

incognito.exe execute -c "NT AUTHORITYSYSTEM" cmd.exe

下載地址:

labs.mwrinfosecurity.com

2、Invoke-TokenManipulation.ps1

Invoke-TokenManipulation -CreateProcess "cmd.exe" -Username "nt authoritysystem"

下載地址:

github.com/PowerShellMa

3、SelectMyParent

SelectMyParent.exe cmd.exe 504

參考地址:

github.com/3gstudent/Fr

Author: Didier Stevens

註:

SelectMyParent的原理同xpn開源的代碼(PROC_THREAD_ATTRIBUTE_PARENT_PROCESS method)相同,地址如下:

gist.github.com/xpn/a05

0x05 小結

本文對常用的System許可權獲取方法做了整理,最後感謝xpn的博客和他的開源代碼。

本文為 3gstudent 原創稿件,授權嘶吼獨家發布,如若轉載,請聯繫嘶吼編輯: 4hou.com/technology/881 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

探索影響Android的6個內核漏洞
人工智慧是否會失控?存在什麼投資機會?
義大利再現一家Hacking Team 這是怎麼回事?
國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊
繞過DKIM驗證,偽造釣魚郵件

TAG:信息安全 |