A hozzáférési jogok szintjének növekedését igényli. Az ablakok emelésének alapjai

A kiváltságok növelése, talán az egyik legfontosabb pont, amelyen a további penters vagy támadás forgatókönyve függ. Nagyon gyakran ebben a szakaszban minden olyan véget ér, ha nem működik ", bővítse erejét." Ezért ma egy kicsit beszélünk arról, hogyan növelhetjük a felhasználót, hogy növelje jogosultságukat, nem csak az adminisztratív, hanem a szisztémás is.

Bevezetés

A Windows és a Linux növekvő jogosultsága kissé eltérő. Annak ellenére, hogy mindkét operációs rendszer a szokásos sebezhetőségeket hordozza, a kutatók megjegyzik, hogy egy teljesen minősített Windows-kiszolgáló sokkal gyakoribb, mint a Linux jelenlegi állapotának frissítése. Ezenkívül a Windows foltok felszabadulásának ideje gyakran kevésbé, ami meglehetősen érdekes és ambiciózus a Windows feladatok kiváltságainak növekedését teszi lehetővé. Ez neki, hogy szenteljük a történetünket.

Opciók

Szóval, milyen lehetőségeink vannak a Windows világában? Először is, az elmúlt időkben elegendő sebezhetőség volt az OS rendszermagban, ami elég egyszerűvé teszi a kiváltságokat, ha megfelelő szilárd anyag van a kezében. Ha metasploitot használ, akkor csak egy csapat van ahhoz, hogy szisztémás héjat kapjon. Mindez azonban nagy valószínűséggel sikeresen működik, ha a rendszer nem teljesen bizonyított. Ha az összes frissítés telepítve van a gépen, akkor a Linuxtól eltérően nem lesz lehetséges, hogy megtalálja a suid binárisokat, és a környezeti változókat általában nem továbbítják a magasabb kiváltságokkal rendelkező szolgáltatásokhoz vagy folyamatokhoz. Mi az eredményünk?

Az admin a rendszerbe, vagy amit mindenki tudja

Általában, amikor megemlítik a növekvő kiváltságokat, a feladat ütemezőjét használó módszer azonnal elgondolkodik. A Windows rendszerben két segédprogramot használhat: AT és SchTasks. A második elindítja a feladatot a felhasználó nevében, aki hozzáadta a feladatot, míg az első a rendszer nevében van. A standard trükk, amelyről valószínűleg hallottál, lehetővé téve, hogy a konzol elinduljon a rendszerjogokkal:

13:01 / interaktív cmd

A második dolog, ami eszébe jut, hogy hozzáadjon egy szolgáltatást, amely futtatja a kívánt fájlt / végrehajtja a parancsot:

@Echo le @Break off címet gyökér cls echo létrehozása szolgáltatás. Sc gonosz binpath \u003d "cmd.exe / k start" type \u003d Saját típus \u003d Interact\u003e Nul 2\u003e & 1 Echo indítási szolgáltatás. SC Kezdje a gonoszságot\u003e Nul 2\u003e & 1 visszhang állva ... Ping 127.0.0.1 -n 4\u003e Nul 2\u003e & 1 Echo eltávolítása szolgáltatás. Visszhang. SC A gonosz törlése\u003e NUL 2\u003e & 1

A harmadik módszer a C: \\ Windows \\ System32 \\ Sethc.exe rendszer segédprogram helyettesítése, például CMD. Ha ezután megnöveli, és nyomja meg többször a Shift gombot, akkor a konzol a rendszerjogokkal jelenik meg.

Ami az automatizált módszereket illeti, a metasploit és a getrendszer azonnal elgondolkodik. Alternatív megoldás a Sysinternals (PSEXEC -I -S -D CMD.EXE) PSEXEC-re tekinthető.

Különböző módon fogunk menni

Mindezek a módszerek általános hátránya van: adminisztrációs jogosultságokra van szükség. Ez azt jelenti, hogy a már kiváltságos számla alatt már a kiváltságokat növeljük. A legtöbb esetben, amikor adminisztrátori jogokat kaptál, van egy csomó lehetőség a kezeden, hogyan kell emelkedni még magasabb. Tehát ez nem egy nagyon nehéz feladat. Ma beszélünk az olyan kiváltságok növelésére szolgáló módszerekről, akik nem használják a 0day sebezhetőséget, úgy vélik, hogy rendszeres rendszerünk és egy rendes, nem dedikált felhasználói fiók kezében van.

Vadászat hitelesítő adatokért.

Az egyik megbízható és stabil, hogy növelje a kiváltságokat és a konszolidációt a rendszerben, hogy jelszavakat kapjon olyan rendszergazdáknak vagy felhasználóknak, akik magasabb jogosultságokkal rendelkeznek. És itt van az ideje, hogy emlékezzen az automatizált szoftver telepítésére. Ha kezeli a tartományt, amely magában foglalja az autók széles körű parkját, akkor biztosan nem akarja kézzel járni és telepíteni. Igen, és ezúttal annyira veszi ki, hogy nincs elég más feladatokhoz. Ezért a felügyelet nélküli berendezéseket használják, amelyek az adminisztrátori jelszavakat tartalmazó fájlokat generálják a legtisztább formában. Mi csak egy kincs mind a penset, mind a behatolók számára.

Felügyelet nélküli telepítések

Az ügyfél automatizált telepítése esetén a felügyelet nélküli.xml fájl meglehetősen kíváncsi, ami általában a% Windir% \\ Panther \\ Unattend \\, vagy% Windir% \\ Panther \\ t nyílt formában. Másrészt, hogy megkapja ezt a fájlt a kiszolgálóból, még nincs szükség hitelesítésre. Csak a "Windows Deployment Services" kiszolgálót kell megtalálni. Ehhez használhatja a segéd / szkenner / dccerny / Windows_deployment _services parancsfájlt a metasploitból. És bár a Windows Deployment Services nem az egyetlen módja az automatizált telepítések végrehajtásának, a felügyelet nélküli.xml fájl szabványnak tekinthető, így a kimutatás a sikerhez igazítható.

GPP.

XML biztonsági csoportházirend-beállítások (csoportházirend-preferencia) Gyakran tartalmaznak olyan titkosított hitelesítő adatokat, amelyek új felhasználók hozzáadásához használhatók, golyó létrehozása és így tovább. A boldogságért a titkosítási módszer dokumentálva van, így könnyedén kaphat jelszavakat a tiszta formában. Ráadásul a metasploit csapat már mindent megtett az Ön számára - elegendő a /Post/windows/Gather/credentials/gpp.rb modul /postentials/gpp.rb használata. Ha részletesen érdekli, az összes szükséges információ elérhető ezen a linken.

Egyéni jogok

Nagyon gyakran a kiváltságok növekedése a helytelenül konfigurált egyedi jogok következménye. Például, ha a tartományfelhasználó helyi adminisztrátori (vagy erőforrás) a gazdagépen. Vagy ha a tartományfelhasználók (vagy a tartománycsoportok tagjai) helyi adminisztrátorok minden rendezőn. Ebben az esetben már tényleg nem kell semmit tennie. De az ilyen lehetőségeket nem olyan gyakran érintik.

MINDESSINSTALLEVATED

Néha az adminisztrátorok lehetővé teszik számunkra, hogy önállóan telepítsenek programokat, általában a következő rendszerleíró kulcsokon keresztül történik:

HKLM \\ SOWFTROWARE \\ POLITIKÁK \\ MÉKKEZETI \\ Windows \\ Telepítő

Hkcu \\ Software \\ Policies \\ Microsoft \\ Window S \\ Installer \\ HARGHARYINSTALLEVATED

Azt jelzik, hogy a rendszer, hogy bármely MSI fájlt fel kell telepíteni emelt kiváltságokkal (NT jogosultsági rendszer). Ennek megfelelően a speciálisan létrehozott fájl segítségével újra elvégezheti a rendszer nevében, és szivattyúzhatja a jogosultságokat.

A metasploit tartalmaz egy speciális kizsákmányolást / Windows / local / mindig_install_elevated modulot, amely létrehoz egy MSI fájlt egy speciális végrehajtható fájlba beágyazva, amelyet eltávolítanak és végrehajtanak a telepítő a rendszer jogosultságával. Az MSI fájl végrehajtása után leállítja a telepítést (a speciálisan létrehozott speciálisan létrehozott VB-k hívására), hogy megakadályozza a rendszer működését. Ezenkívül, ha elindítja a telepítést a / csendes kulcs segítségével, akkor a felhasználó nem fogja visszavonni a hibát.

Hiányzó autorun.

Nagyon gyakran előfordul, hogy a rendszer olyan fájlbevitelt tárol, amelyet automatikusan el kell indítani, még akkor is, ha a fájl maga is megmutatta a nyáron. Talán egy kis szolgáltatás helytelenül törölve lett - nincs végrehajtható fájl, és a rendszerleíró bejegyzés maradt, és minden egyes indításkor a rendszer sikertelenül elindul, és az eseménynaplóüzenetek pontozása a Failach-ról. Ez a helyzet a hatáskörének bővítésére is használható. Először is meg kell találnia az összes ilyen árva rekordot. Például az autorunsc segédprogram segítségével a sysinternals.

Autorunsc.exe -a | Findstr / N / R "Fájl nem található"

Ezt követően, ahogy kitaláltad, akkor csak akkor marad, mint a jelölt hiányzó fájljának helyére.

Mágia cavolek

Igen, az idézetek nemcsak az SQL lekérdezésekben vágyakozó viccet játszhatnak, lehetővé téve, hogy injekciót végezzen, de segítsen emelni a jogosultságokat. A probléma elég régi, és az NT idők óta ismert. A lényeg az, hogy az utakat, hogy a futtatható fájlokat egyes szolgáltatásokat nem keretezi idézetek (például imagepath \u003d c: \\ Program Files \\ Common Files \\ Network Associates \\ McShield \\ McShield.exe), míg vannak szóköz karakterek az úton . Ebben az esetben, ha a támadó létrehoz egy olyan fájlt, amely új adminisztrátorokat ad hozzá a rendszerhez, vagy más műveleteket végez, és felhívja, hogy C: \\ Programfájlok \\ Commic.exe, majd a szolgáltatás későbbi indításakor. Az út, amely továbbra is része az útnak, érvek (argumentumok). Nyilvánvaló, hogy a programfájlokban a progrivilált felhasználó nem tud semmit tenni, de a végrehajtható szolgáltatási fájl lehet egy másik könyvtárban, vagyis a felhasználónak lehetősége lesz a fájl lecsúszására.

Annak érdekében, hogy kihasználhassuk ezt a technikát, meg kell találni egy kiszolgáltatott szolgáltatást (amely nem fog idézőjeleket használni a bináris útra). Ez az alábbiak szerint történik:

WMIC SERVICE GET NAME, DISPLAYNAME, PATHNAME, STARTMODE | FINDMODE | FINDSTR / I 'AUTO "| FINDSTR / I / V" C: \\ WINDOWS \\\\' |

Igaz, az XP lesz szükség a kiváltságokat a admin, ezért jobb, ha a következő módszer létezik: egy listát a szolgáltatások - SC Kérdés, majd nézd információt az egyes szolgáltatások - SC QC A szolgáltatást.

A terv szerint

Egy másik mechanizmus, amely segíthet növelni a jogokat, és amelyekről általában elfelejtettek, a feladat ütemezője. A SchTasks segédprogram lehetővé teszi, hogy bizonyos eseményekre felvegye a feladatokat. A legérdekesebb számunkra Onoidle, Onlogon és Onstart. Mivel a nevek követnek, az Onoidle minden alkalommal végrehajtásra kerül, amikor a számítógép egyszerű, onlogon és onstart - amikor a felhasználói bejelentkezés és a rendszer indításakor. Így mindegyik esemény külön feladatot tud lógni. Például, amikor elindítja a rendszert egy rosszindulatú bináris / keylogger / ... és futtassa. A rendszerbe való bejelentkezéskor - Hitelkártya-dömper futtatása. Röviden, minden a fantáziára és a feladatra korlátozódik.

Trükkök jogosultsággal

Engedélyek a hozzáféréshez - Ez általában az első védőszer, amely megakadályozza, hogy felemelje a kiváltságainkat. Akkor csábító lenne, ha csak a rendszerfájl átírása (például ugyanazt a Sethc.exe-t említené a cikk elején), és azonnal megkapja a rendszer jogosultságát. De mindez csak álmok, valójában csak az olvasás, hogy elolvassuk, amit semmi köze van egy még fiókhoz. Azonban ne lehessen az orromat, mert az Engedélyek is, nem minden olyan sima - itt, mint máshol, vannak olyan buktatók, amelyek ismerete lehet, hogy lehetetlen.

Az e mechanizmus által védett rendszerkönyvtárak egyike különösen érdekes a Privilege programfájlok szempontjából. A meg nem érkezett felhasználók hozzáférést biztosítanak. Azonban néha ez megtörténik, hogy a telepítés során a telepítők helytelenül állították be a fájlokhoz való jogot, az eredményhez, hogy minden felhasználó teljes hozzáférést biztosítson a végrehajtható fájlokhoz. Az alábbiakból következik - már kitaláltad.

Egy másik korlátozás - a szokásos halandó nem írható a rendszerlemez gyökerére. Azonban például az XP-ben, amikor új könyvtárat hoz létre a lemez gyökerében, a beépített \\ felhasználói csoport fájl_append_data és file_write_data jogosultságokat kap (még akkor is, ha a mappa tulajdonosa rendszergazda):

Beépített \\ felhasználók: (OI) (CI) r beépített \\ felhasználók: (CI) (speciális hozzáférés :) FILE_APPEND_DATA EUTNIGINEN

A "Hét" szinte szinte ugyanazt jelent meg, csak az engedélyek hitelesített felhasználók csoportját kapják. Hogyan alakul át ilyen viselkedés? Csak néhány alkalmazás állítsa be a védett könyvtárat, amely megkönnyíti a végrehajtható fájlokat. Például egy ilyen hivatal a Metasploit keretrendszerben történt a multiplayer telepítése esetén. Ez a hiba Pofixen volt a 3.5.2-es verzióban, és a segédprogram a programfájlokhoz költözött.

Hogyan keressünk ilyen könyvtárakat / fájlokat

A helytelen jogosultsággal rendelkező könyvtár felismerése fél siker. Azonban először meg kell találni. Ehhez a következő két eszközt használhatja: AccessCHK és CACLS / ICACLS. Ahhoz, hogy megtalálja az AccessChk "gyenge" könyvtárakat, szüksége lesz erre a parancsokra:

Accesschk.exe -uwdqs felhasználók c: \\ accesschk.exe -uwdqs "hitelesített felhasználók" C: \\

A "gyenge" engedélyekkel rendelkező fájlok kereséséhez a következők:

Accesschk.exe -uwqs felhasználók C: \\ *. * AccessChk.exe -uwqs "hitelesített felhasználók" C: \\ *. *

Ugyanez elvégezhető a CACLS / ICACLS használatával:

CaCls "C: \\ Programfájlok" / t | Findstr felhasználók.

Trükkök szolgáltatásokkal

Egy másik lehetőség, hogyan kell mászni a rendszer magasabb, a WorldSonfiguration és a szolgáltatási hibák használata. A gyakorlatban a gyakorlatban nem csak a fájlok és mappák hibás jogosultságokkal rendelkezhetnek, hanem a rendszerben működő szolgáltatások is. Ahhoz, hogy felfedezzék, az AccessCHK segédprogramot a Mark Russinovich-től nem megfelelő az Ön számára:

Accesschk.exe -uwcqv *

A hitelesített felhasználóknak vagy az energiafelhasználóknak a SERVICE_ALL_ACCESS engedélyt látják. De egy nagy szerencse is a következőknek is tekinthető:

• SERVICH_CHANGE_CONFIG - Megváltoztathatjuk a végrehajtható szolgáltatási fájlt;
• WRESS_DAC - Megváltoztathatja az engedélyeket, amelyek a SERVICE_CHANGE_CONFIG felbontását eredményezik;
• WRITE_OWNER - A tulajdonos és az engedélyek módosításává válhat;
• Generic_write - örökli a SERVER_CHANGE_CONFIG felbontását;
• Generic_all - örökli a service_change_config felbontását.

Ha egy (vagy több) megtalálható ezekből az engedélyekből a premililált felhasználók számára, akkor a kiváltságuk növelésének esélye élesen növekszik.

Hogyan lehet felemelni?

Tegyük fel, hogy megtalálta a megfelelő szolgáltatást, itt az ideje, hogy dolgozzon rajta. Ez segít a konzol SC segédprogramban. Kezdjük, kapunk teljes információt az Ön által érdekelt szolgáltatásról, mondjuk, ez alminphost:

Sc qc upnphost.

Ugyanazon segédprogram segítségével hatályon kívül helyezzük:

Sc config vulnsrv binpath \u003d "Net felhasználó John Hello / Add && Net localgroup adminisztrátorok John / Add" Típus \u003d Interact SC Config Upnphost OBJ \u003d ". \\ Lokalsystem" jelszó \u003d

Amint láthatja, a következő alkalommal, amikor elindítja a szolgáltatást, a végrehajtható fájl helyett a John Hello / Add && Net localroup adminisztrátorok John / Add parancs használata a Hello jelszó hozzáadásával történik. Csak a szolgáltatás manuális újraindítása:

NET STOP UPNPHOST NET START UPNPHOST

Ez az egész varázslat.

Hogy a végén

Régóta elolvastam a naplóban szereplő cikket, amelyben a fő technikákat a Windows kiváltságainak növelésére adták. Nem adtam neki különleges jelentőségét, de az elmélet a fejemben letétbe került, és ha egyszer magam segítettem. Szóval, remélem, és találsz valami újat magamnak, ami segít a következő akadály leküzdésében.

A cikk részeit részletesen leírták a felhasználói fiókok ellenőrzésének elvét. Ebben a részben az UAC beállítása, amikor a számítógép autonóm módon működik, azaz az Active Directory tartományban nem szerepel. A felhasználói fiókok vezérlésének konfigurálásához a helyi biztonsági házirendet a helyi csoportházirend-objektumszerkesztőben találják meg.

A felhasználói fiókvezérlés konfigurálásáért 10 csoportos házirend-beállítás található. A házirendbeállítások módosításához meg kell nyitnia a pillanatban "Helyi csoportházirend-szerkesztő" Csomópont számítógép konfigurációja \\ Windows konfiguráció \\ Biztonsági beállítások \\ Helyi házirendek \\ Biztonsági beállítások. Ebben a cikkben megtalálja az egyes házirend-paraméterek konfigurálását a rendszer nyilvántartásával. Az alábbi táblázat az egyes házirend-beállítások alapértelmezett értékeit mutatja.

A csoportházirend-vezérlési paraméterek beállításai Alapértelmezett fiókok:

Csoportházirend-paraméter	Alapértelmezett érték
Fiókellenőrzés: Engedélyezze a jóváhagyási módot az adminisztrátor által	Bekapcsolva
Számviteli megfigyelés: Az alkalmazás telepítése és a megfelelő kérés felismerése	Bekapcsolva
Fiókellenőrzés: Egy biztonságos asztalra való áttérés, amikor a jobbra növekvő kérés végrehajtása	Bekapcsolva
Fiókellenőrzés: A rendszergazdák adminisztrátorai fokozása	A bináris adatokhoz való hozzájárulás nem az ablakokból
Számviteli ellenőrzés: A jogok iránti kérelem növelte a felhasználókat	Kérjen hitelesítő adatokat
Számviteli megfigyelés: közvetlenül az UIACCESS alkalmazásokhoz telepítve a biztonságos helyen	Bekapcsolva
Fiókellenőrzés: Jogok javítása csak az aláírt és ellenőrzött végrehajtható fájlok esetében	Tiltva
Számviteli megfigyelés: írás közben a fájl vagy a rendszerleíró adatbázis virtualizáció a felhasználói elhelyezéshez	Bekapcsolva
Fiókellenőrzés: Engedélyezze az uiaccess alkalmazások számára, hogy a jogok növekedését kérhessenek biztonságos asztal használat nélkül	Tiltva
Fiókellenőrzés: Adminisztrátori jóváhagyási mód használata a beágyazott adminisztrátori fiókhoz	Tiltva

A felhasználói fiókvezérléssel kapcsolatos csoportpolitikák (UAC) kapcsolódó csoportpolitikák paramétereit részletesen tárgyaljuk:

Az adminisztrátorok a rendszergazda jóváhagyási módban dolgoznak

Ez a házirend-beállítás meghatározza a számítógép összes fiókellenőrzési politikájának jellemzőit. Ettól függ, hogy a rendszergazdák fiókja elindul-e az "Adminisztrátori jóváhagyási módban", azaz párbeszédpanelek kerülnek a jogosultság növelésére irányuló kérelemmel. Letiltja ezt a beállítást, nagyjából, teljesen letiltja a felhasználói fiókvezérlési funkciót. Ha ez a szabályzat megváltozik, újra kell indítania a számítógépet. Az alapértelmezett érték engedélyezve van.

Lehetséges paraméterértékek:

• Beleértve. A rendszergazdai jóváhagyási mód lehetővé teszi a beépített adminisztrátori fiók és az összes többi felhasználó számára, akik tagjai a csoport tagjai. "Adminisztrátorok", dolgozzon a rendszergazdai jóváhagyási módban.
• Tiltva. A rendszergazda jóváhagyási módja és a fiókellenőrzési irányelvek összes vonatkozó beállítása le van tiltva.

; Letiltja az "Enablelua" \u003d DWORD: 00000000

Az alkalmazások telepítésének és az emelések növekedésének felderítése

Ez a beállítás meghatározza a számítógép alkalmazásmegjelölési jellemzőit, ellenőrzi, hogy az alkalmazások telepítéséhez használt programok vagy sem. Alapértelmezés szerint, ha a felhasználó belép a munkacsoportba, engedélyezve van.

Lehetséges paraméterértékek:

• Tartalmazza (alapértelmezett otthon). Abban az esetben, ha az alkalmazás telepítési program észleli a Hatóság fokozásának szükségességét, a felhasználó meghívást kap, hogy adja meg a rendszergazdai fiók felhasználónevét és jelszavát. Ha a felhasználó belép a megfelelő hitelesítő adatokba, a művelet folytatódik a vonatkozó jogokkal. A kérelem nézete attól függ, hogy melyik csoporthoz tartozik a felhasználóhoz.
• Letiltva (alapértelmezett szervezet). Ha ezt a beállítást választja, az alkalmazás telepítési programfelismerése nem ad ki kérelmet a hatóság növelésére. Általában ezt a beállítást olyan szervezetekben, számítógépeken és felhasználókban alkalmazzák, amelyekben szerepelnek a tartományban, és alkalmazások alkalmazásait a felhatalmazott telepítési technológiákra (csoportházirend-szoftver telepítése - GPSI). Ennek megfelelően a telepítő észlelésének szükségessége eltűnik.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Az "EnableInstallerDetection" letiltása \u003d DWORD: 00000000

Egy biztonságos asztalra való áttérés, amikor a jobbra növekvő kérés végrehajtása

Ez a házirend-paraméter határozza meg, hogy a jogosultság növelésére irányuló kérelmek megjelenik-e a felhasználó interaktív asztalán vagy egy biztonságos asztalon az UAC kérés kezdeményezése során. Az alapértelmezett érték engedélyezve van. Ha ez a szabályzat megváltozik, újra kell indítania a számítógépet.

Lehetséges értékek paraméterek:

• Beleértve. A megnövekedési fokozatok iránti kérelem egy biztonságos íróasztalon jelenik meg, függetlenül az adminisztrátorok és a hétköznapi felhasználók meghívási magatartáspolitikájának paramétereitől.
• Tiltva. Az Interactive Desktop felhasználó minden jogainak növelésére vonatkozó kérelem jelenik meg.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Letiltja a "PromptonSecuredesktop" \u003d DWORD: 00000000

Kérjen a rendszergazdák számára a rendszergazdák számára

Az aktuális beállítás lehetővé teszi, hogy meghatározza a csoportban szereplő felhasználó műveleteit "Adminisztrátorok" Amikor megnövekedett jogot igényel. Az alapértelmezett érték be van állítva. "A harmadik féltől származó bináris fájlokhoz való hozzájárulás kérése (nem Windows)".

Lehetséges paraméterértékek:

• Fokozás nélkül. Lehetővé teszi a kiváltságos számlák olyan művelet végrehajtását, amely növekvő jogokat igényel, anélkül, hogy megerősítené a hozzájárulást vagy a hitelesítő adatok beírását. Javasoljuk, hogy ezt az opciót csak a maximális felhasználói korlátozásokkal rendelkező környezetben használja. Ha ezt a beállítást választja, az egyéni hatalmak megegyeznek a rendszergazda beépített fiókjával.
• . Minden olyan művelethez, amelyhez jogokat igényel, a Biztonságos asztalon megjelenik a kiváltságos felhasználó nevének és jelszavának megadásának javaslata. Ha a megfelelő hitelesítő adatok be vannak adva, a művelet folytatódik a rendelkezésre álló maximális felhasználói jogokkal.
• Kérjen hozzájárulást egy biztonságos asztalon. Minden olyan művelethez, amely jogosultságokat igényel, javaslatot fog megjeleníteni egy biztonságos asztalon. "Lehetővé teszi" vagy "Tilt". Egy lehetőség kiválasztásakor "Lehetővé teszi"A művelet folytatódik a maximális rendelkezésre álló felhasználói jogokkal.
• Kérjen hitelesítő adatokat. Minden olyan művelethez, amely a Hatóság növekedését igényli, megjelenik a rendszergazda fiók felhasználónév és jelszó megadásához javaslat. A megfelelő hitelesítő adatok beírásakor a művelet folytatódik az emelkedett hatáskörökkel.
• Kérés hozzájárulás. Ha ezt az opciót választja ki, bármely olyan művelethez, amely a jobb oldali növelést igényel, akkor a felhasználó a megnyomásával válassza ki a gombot: "Lehetővé teszi" vagy "Tilt". A gomb megnyomásával "Lehetővé teszi"
• A harmadik féltől származó bináris fájlokhoz való hozzájárulás (nem Windows). Az opció kiválasztásakor a kiválasztás megjelenik a biztonságos asztalon: "Lehetővé teszi" vagy "Tilt"Abban az esetben, ha a gyártó harmadik fél (nem Microsoft) alkalmazásának működése egyre nagyobb jogokat igényel. A gomb megnyomásával "Lehetővé teszi"A művelet folytatódik a rendelkezésre álló maximális felhasználói jogosultságokkal.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Elevate megkérdezése nélkül "ConsentPromptBehaviorAdmin" \u003d dword: 00000000; kéri a hitelesítő adatokat a biztonsági asztalon "ConsentPromptBehaviorAdmin" \u003d dword: 00000001; hozzájárulás iránti kérelmet a bezopsnom asztalon; "ConsentPromptBehaviorAdmin" \u003d dword: 00000002; kéri a hitelesítő adatokat; "ConsentPromptBehaviorAdmin" \u003d DWORD: 00000003; kérés beleegyezése; "ConsentpromptBehavoradmin" \u003d DWORD: 00000004; bináris adatok kérése nem Windows rendszerből; "ConsentpromptBehaviorAdmin" \u003d DWORD: 00000005

A rendes felhasználók számára a növekvő jogok iránti kérelem viselkedése

Ez a házirend-paraméter határozza meg az elvégzett műveleteket, ha egy rendes felhasználó kölcsönhatásba lép a jogok növekedését igénylő alkalmazásokkal. Alapértelmezett érték - "Hitelesítő adatok kérése a biztonságos asztalon".

Lehetséges paraméterértékek:

• Kérjen hitelesítő adatokat. Ezzel a paraméterrel a szokásos felhasználót felszólítja, hogy válasszon egy rendszergazdai fiókot és adjon meg egy jelszót, hogy végre nyomon követése. A művelet csak akkor folytatódik, ha a hitelesítő adatok helyesen vannak megadva.
• Automatikusan megtiltja a jogok növekvő kérelmeit. Ha ez a paraméter van kiválasztva, hibaüzenet jelenik meg a rendszeres felhasználó számára a tilalomhoz kapcsolódó művelet végrehajtása során, amely a hatóság növekedését igényli. Olyan szervezetek, amelyek asztalait a hagyományos felhasználók használják, kiválaszthatják ezt a házirend-paramétert, hogy csökkentse a támogatási hívások számát.
• Hitelesítő adatok kérése a biztonságos asztalon. Ha kiválasztja ezt a paramétert, akkor a szokásos felhasználó kiválasztását javasolta rendszergazdai fiókot és adjon meg egy jelszót, hogy végre nyomon követése csak egy biztonságos asztalon. A művelet csak akkor folytatódik, ha a hitelesítő adatok helyesen vannak megadva.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Automatikusan elutasítják a kérelmet javítására jogok "ConsentpromptBehaviorUser" \u003d DWORD: 00000000; törlési kérelmet egy biztonságos desktop "ConsentpromptBehaviorUser" \u003d DWORD: 00000001; Hitelesítő adatok kérése "ConsentpromptBehavoruser" \u003d DWORD: 00000003

Az UIACCESS alkalmazásokhoz való jogok javítása csak a biztonságos helyeken történő telepítésekor

Az aktuális házirend-paraméter lehetővé teszi az alkalmazások helyének kezelését, amelyek a felhasználói felület (UIACCESS) felhasználói felületének (UIACCESS) felhasználói felületének (UIACCESS) felhasználói felületét meghatározó integritás-szinten kezelik a fájlrendszer biztonságos helyén. Alapértelmezés szerint ez a beállítás engedélyezett és speciális funkciókkal rendelkező alkalmazásoknál az UIACCESS attribútumban a manifesztben az érték igaz, hogy vezérelje a bővítési kérelem ablakát. Ha az alkalmazásoknak hamis értéke van, akkor ha az attribútum csökkentése vagy a szereléshez nem jelenik meg, az alkalmazás nem tud hozzáférni a biztonságos felhasználói felülethez. Csak a következő mappákat tartanak biztonságosnak:

... programfájlok \\, beleértve az almappákat is

... Windows \\ System32 \\

... programfájlok (x86) \\, beleértve az almappákat az ablakok 64 bites verzióihoz

Lehetséges paraméterértékek:

• Beleértve. Az alkalmazás csak akkor kezdődik az UIACCESS INTEGRITE SIMS-vel, ha a biztonságos fájlrendszer mappában van.
• Tiltva. Az alkalmazás megkezdődik az UIACCESS INTEGRITE szintjével, még akkor is, ha nincs a biztonságos fájlrendszer mappájában.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Tiltsa le az "EnableCureuialepaths" \u003d DWORD: 00000000

Jogok javítása csak az aláírt és ellenőrzött végrehajtható fájlok esetében

Ez a beállítás a csoportos számla ellenőrzési politika lehetővé teszi, hogy meghatározza, hogy ellenőrizze a hitelesítés az interaktív alkalmazások nyílt kulcsú infrastruktúra (Public Key Infrastructure, PKI), amelyek előírják növekedését hatóság. A PKI feladata a digitális tanúsítványok kiadása, kibocsátása és törlése, a tanúsítványok helyességének későbbi ellenőrzéséhez szükséges információk tárolása. A PKI támogatása a következőket tartalmazza: Védett e-mail, fizetési jegyzőkönyvek, elektronikus ellenőrzések, elektronikus információmegosztás, adatvédelem az IP protokollhálózatokban, elektronikus formák és dokumentumok elektronikus digitális aláírással. Ha ez az ellenőrzés engedélyezve van, a programokat a tanúsítványút ellenőrzésével kezdeményezik. Az alapértelmezett beállítás értéke le van tiltva.

Lehetséges paraméterértékek:

• Beleértve. Erőteljesen kezdeményezi a PKI tanúsítványok ellenőrzését, mielőtt végrehajtaná ezt a fájlt. Alapvetően ez a beállítás a domain szervezetekben használatos, ha a rendszergazda a PKI tanúsítványokat a megbízható kiadók tárolójában helyezte el.
• Tiltva. A paraméter telepítésekor a fiókfigyelés nem indítja el a PKI tanúsítvány-ellenőrzési lánc ellenőrzését, mielőtt engedélyezné a végrehajtható fájl végrehajtását.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Tiltsa le az "validateadmincodesignatures" \u003d DWORD: 00000000

Ha nem ír le egy fájlba vagy rendszerleíró adatbázisba, a virtualizáció a felhasználó elhelyezésébe

Ez a paraméter kezeli az alkalmazási felvételi hibákat a rendszerleíró adatbázis és a fájlrendszer bizonyos helyszíneihez. Abban az esetben, ha ez a beállítás engedélyezve van, az elavult alkalmazásokhoz, amelyek megpróbálnak olvasni vagy írni információkat a védett rendszerterületeken, a fiókvezérlő virtualizálja a rendszerleíró adatbázis és a fájlrendszert. A konfigurációnak köszönhetően az UAC lehetővé teszi, hogy csökkentse az elavult alkalmazások veszélyét, amelyek végrehajtják az adminisztrátor nevében, és a végrehajtás során írnak adatokat a% programfájlok% mappába,% Windir% -nak; % Windir% \\ System32 vagy a HKLM \\ Software rendszer rendszerleíró részlegében \\. Az alapértelmezett érték engedélyezve van.

Lehetséges paraméterértékek:

• Beleértve. Az alkalmazás bejegyzései átkerülnek a végrehajtás során a felhasználó által meghatározott helyen a fájlrendszerben és a rendszerleíró adatbázisban.
• Tiltva. Olyan alkalmazások végrehajtása, amelyek adatokat írnak a biztonságos helyre, hibával végződik, és nem fogják végrehajtani.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Az "EnableVirtualization" letiltása \u003d DWORD: 00000000

Engedélyezze az uiaccess alkalmazások számára, hogy fokozzák a megnövekedett jogokat anélkül, hogy biztonságos asztali számítógépet használnának

Ez a Windows 7 és a Windows Server 2008 R2 operációs rendszerei új házirend-paraméter határozza meg, hogy az UIACCESS alkalmazások automatikusan kikapcsolják a széffelvételt a szokásos felhasználó által használt hatóság növekedéséhez. Az alapértelmezett érték le van tiltva.

Lehetséges paraméterértékek:

• Beleértve. Ha ezt a konfigurációt választja, az UIACCESS program, beleértve a Windows távoli asszisztensét, automatikusan kikapcsolja a Safe Desktopot a Hatóság növeléséhez. Ha a házirend-beállítás "Számviteli megfigyelés: A megfelelő javítási kérelem végrehajtásakor a biztonságos asztalra való áttérés" engedélyezve van, az ajánlat megjelenik a felhasználó interaktív asztalán, és nem egy biztonságos asztalon.
• Tiltva. Ha ez a paraméter van kiválasztva, akkor a biztonságos asztali asztal csak az interaktív asztali felhasználó által le van tiltva, vagy a "Fiókvezérlő házirend" kikapcsolásával, a jogok növekedésének végrehajtásakor: biztonságos asztalra váltás. "

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Letiltja az "Enableuiadesktoptoggle" \u003d DWORD: 00000000

Jóváhagyási mód a beépített adminisztrátori fiók rendszergazdájával

Ez a beállítás határozza meg, hogy a felhasználói fiókokat a rendszergazda jóváhagyási módjában alkalmazzák-e a beépített fiókra "Adminisztrátor". Ez a beágyazott alapértelmezett fiók lehetővé teszi a felhasználó számára, hogy bejelentkezzen a Windows XP kompatibilitási módban, amely lehetővé teszi a teljes rendszergazdai jogokkal rendelkező alkalmazások futtatását. Alapértelmezés szerint ez a házirend-paraméter le van tiltva.

Lehetséges paraméterértékek:

• Beleértve. Ha ez a paraméter van kiválasztva, az adminisztrátori jóváhagyási módot használják a rendszergazda integrált fiókjához. Ugyanakkor minden olyan művelet, amely egyre nagyobb jogokat igényel, a művelet megerősítésére vonatkozó kérelem kíséretében történik.
• Tiltva. A beépített adminisztrátori fiók végrehajtja az összes alkalmazást teljes adminisztrátori jogokkal.

Jelenlegi házirend-beállítások a rendszerleíró adatbázissal:

; Tiltsa le a "filteradministratetoken" \u003d DWORD: 00000000

Következtetés

Ez a cikk a felhasználói fiókok felügyeletének minden lehetséges beállításáról szól. Mind a tíz biztonsági politikát figyelembe veszik, amelyek felelősek az UAC-hez kapcsolódó összes lehetséges intézkedésért. A számlavezetés beállítása mellett a csoportházirend használatával is figyelembe véve a jegyzék-csípéseket is.

Uac(Felhasználói fiókok ellenőrzése) - Az első alkalommal megjelent számlák ellenőrzésére szolgáló technológia Windows Vista. És idősebb. Ez a technológia tiltja a programokat a rendszergazdai jogokat igénylő intézkedések végrehajtására. Az ilyen tevékenységek programjának végrehajtásakor a munkáját felfüggesztik, és a felhasználót egy biztonságos asztali kéréssel bocsátják ki (annak érdekében, hogy az OK programos programot kattints). Ha például a programnak módosítani kell a rendszerleíró részleg módosítását HKEY_LOCAL_MACHINE, Rendszergazdai jogokra lesz szüksége.
A probléma megoldásához használhatja a manifeszt fájl megvalósítását a projektre, amelyet az operációs rendszer elolvasni és automatikusan meghatározni az elkezdendő paramétereket.
Fontolja meg a manifeszt fájl végrehajtását az alkalmazásban " Windows űrlap" Ehhez az Open Visual Studio (ebben a példában, a 2012-es verziót használják) és létrehoz egy projektet " Windows űrlap" Nyisd ki " Megoldás kereső."(Megoldások böngésző), amely a projektek és fájlok megrendelését biztosítja, menjen a menübe" Kilátás» - « Observer megoldások" Futtassa a jobb egérgombot " Megoldások megfigyelése»A projekt nevével, és válassza ki a helyi menüt, elemet Hozzáad» - « Hozzon létre egy elemet ...».

Új ablak lesz " Új elem hozzáadása - ...»Keresse meg a Named Visual C # elemet Manifeszt fájl alkalmazás", Válassza ki és kattintson a" Hozzáad».

BAN BEN " Megoldások megfigyelése"Van egy új elem a manifeszt fájl nevével. A kódszerkesztőben automatikusan megnyílik.

Az alkalmazás végrehajtásához szükséges jogok konfigurálásához meg kell határozni a biztonság szintjét és leírni az elemet " requestedExececutionLevel" Ez az elemnek nincsenek leányvállalata, és a következő attribútumokkal rendelkezik:
1) Szint.- Kötelező. Beállítja az alkalmazás által megkövetelt biztonsági szintet. Ehhez az attribútumhoz a következő értékek állnak rendelkezésre:

• asinvoker- az alkalmazás elindítja az alapvető eljárási jogokat. Ez azt jelenti, hogy ha a programot a rendszergazdai jogokkal rendelkező alkalmazásból indítják el, akkor automatikusan ugyanazok a jogok. Ez az üzemmód a legtöbb esetben a Microsoft ajánlott. Azok. Ezek azok a programok, amelyek nem igényelnek rendszergazdai jogokat;
• legolcsóbb- Az alkalmazás magasabb jogokkal kezdődik, mint a jelenlegi felhasználó. Az ilyen jogokkal elindítja a regedit.exe, mmc.exe;
• kötelező.- A teljes rendszergazdai jogokat kérték. Azok. Olyan alkalmazásokhoz szükséges, amelyek nem tudnak rendszergazdai jogok nélkül működni.

Alkalmazások telepítése " Clickonce.»Csak az" Asinvoker "értékkel lehetséges. Bármilyen más értékkel a telepítés lehetetlen lesz.

2) uiaccess.- választható. Annak jelzése, hogy az alkalmazás hozzáférést igényel a felhasználói felület biztonságos elemeihez, hogy speciális funkciókat hajtson végre. Elérhető értékek " igaz."És" hamis", az alapértelmezett érték" hamis". Érték" igaz."Csak aláírtunk alkalmazást, és el kell kezdeni a" \\ Programfájlok \\ "és a" \\ Windows \\ System32 "mappákból. Leggyakrabban ez nem szükséges.
Annak érdekében, hogy a program felemelje az adminisztrátor szintjére való jogot, cserélje ki az attribútumot " Szint."Alapértelmezett érték" asinvoker"A" kötelező.».

Csatlakoztassa a megoldást a " F6." Ha mindannyian helyesen vannak, akkor a Windows Vista operációs rendszerekben és idősebbeknél a pajzs ikon megjelenik a program végrehajtható program ikonján, ami azt jelenti, hogy ez a program a jogok növekedését igényli.

Az alkalmazás jogainak ellenőrzéséhez használhatja az alábbi listát.
STRING S \u003d új WindowsPrincipal (WindowsIdeentity.getcurrent ()). Isinrole (Windowsbuiltinrole.Administrator)? "Adminisztrátor": "Normál felhasználó"; Ha van konzol alkalmazása, akkor az intézkedés elve ugyanaz.

Általában vannak olyan módok, amelyek segítenek elérni a kiváltságok növelésének célját.

A kis cikk kiindulópontja bizonytalanított héj (fiók). Talán kihasználtuk vagy támadást végeztünk, és megkaptuk ezt a héjat.

Elvileg, a kezdeti pillanatban nem értjük az autót: Mit csinál, mi van, mi kapcsolódik hozzá, milyen szintű kiváltságok vannak, vagy akár mi az operációs rendszer.

Először is meg kell kapnunk azokat az információkat, amelyeket meg kell értenünk, hogy hol vagyunk, és mi van:

SystemInfo | FINDSTR / B / C: "OS NAME" / C: "OS VERSION"
Ez a csapat lehetővé teszi, hogy meghatározza, hogyan látható, az operációs rendszer neve és verziója. A paraméterek nélkül végezheti el, majd a parancs kimenete teljesebb lesz, de elég számunkra.

• hostName - Felhasználónév.
• echo% Felhasználónév% - Felhasználónév.

Ezután nézzük meg, hogy mely felhasználók még mindig ezen a fogadóban vannak, és részletesebb információkat kapnak a felhasználóiról.

• net felhasználók - egyéb felhasználók
• nET USER1 - A felhasználó részletes információi, ahol a felhasználó1 a felhasználó neve.

Miután információt kapott a számvitelről, nézzük meg a fogadó hálózati interakciójával kapcsolatos információkat.

Először megnézzük a rendelkezésre álló interfészeket és az útválasztási táblát.

• ipconfig / All - Információ a rendelkezésre álló interfészekről.
• Útvonal nyomtatás - Útválasztó asztal
• aRP -A - ARP asztali rekordok

Ezután lássuk az aktív hálózati kapcsolatokat és a tűzfalszabályokat.

• netstat -no - aktív hálózati kapcsolatok.

-A - Futtatás Ezzel a paraméterrel minden aktív TCP-kapcsolatot jelenít meg, valamint a TCP és az UDP portokat a rendszerhez hallgatva;
-n - A paraméter lehetővé teszi, hogy az aktív TCP-kapcsolatot a címekkel és a portszámokkal mutatja;
-o - Ugyanaz, mint az előző kulcs, megjeleníti az aktív TCP-kapcsolatokat, de a folyamatok kódjait hozzáadják a statisztikákhoz, már meghatározhatja, hogy mely alkalmazás használja a kapcsolatot.

• netsh tűzfal show állapot - tűzfal állapota
• netsh tűzfal megjelenítése konfiguráció - tűzfal konfiguráció

Végül röviden megfontoljuk, hogy mi működik egy veszélyeztetett gazda: menetrend szerinti feladatok, futási folyamatok, futó szolgáltatások és telepített illesztőprogramok.

SCHTASKS / QUERY / FO LIST / V
Hol
/ Lekérdezés - adatok kimenete az összes ütemezett feladatról,
/ FO LIST - Kimenet a listára.
/ V - A feladat visszavonása.

A következő parancs linkek futó folyamatok futtatási szolgáltatásokkal.

Tasklist / svc.
Hol,
/ SVC - megjelenítési szolgáltatások minden folyamathoz.

Látjuk a Windows futó szolgáltatásainak listáját is.

Nettó indítás.
Hasznos a kompromisszumos rendszer illesztőprogramjáról szóló információk megtekintése is.

Végrehajtás.
Ezután meg akarok említeni, valószínűleg a leghasznosabb Windows parancsot - WMIC-t. A WMIC parancs (Windows Management Instrumentation parancs) a berendezésekről és a rendszerről, a folyamatkezelésről és azok összetevőire vonatkozó információk fogadására szolgál, valamint a Windows Management Toolbox funkcióinak (Windows Management Instrumentation vagy WMI) segítségével módosíthatja a beállításokat. Jó leírás.

Sajnos néhány Windows konfiguráció nem fér hozzá WMIC-hez, ha a felhasználó nem szerepel az adminisztrátori csoportba (ami valóban jó ötlet). Minden XP verzió nem engedélyezte a WMIC-hozzáférést egy bizonytalan fiókból.

Éppen ellenkezőleg, a Windows 7 Professional és a Windows 8 Enterprise alapértelmezetten megengedte, hogy a felhasználók alacsony jogosultságokkal rendelkezzenek a WMIC használatához.

Egyedi program paraméterekkel:

Mielőtt továbblépné, az összegyűjtött információkon kell futtatni. Érdemes figyelmet fordítania a rendszerbe telepített javításokra is, mivel a rendszer lyukairól szóló bármilyen információ további támogatást nyújt a jogosultságuk növeléséhez. A Hotfix számnál a jogosultságok növelésére szolgáló sebezhetőséget kereshet.

Ezután megnézzük az automatikus telepítést. Ha szükség van egy nagy gépi flotta telepítésére és beállítására, akkor általában a műszaki személyzet nem mozog a gépről a gépre, hogy konfigurálja a személyes beállítást. Számos megoldás van az automatikus telepítéshez. Nem olyan fontos számunkra, hogy a módszerek és hogyan működnek, de fontos, hogy elhagyják a konfigurációs fájlokat, amelyeket számos bizalmas információt tartalmaz, például a termékkulcsot és a rendszergazdai jelszót. Mi az érdeklődésünk a legtöbbet az adminisztrátori jelszó, amelyet használhatunk a kiváltságaink növeléséhez.

Általában ezek a következő könyvtárak:

• c: sysprep.inf
• c: sysprep \\ sysprep.xml
• % Windir% \\ Panther \\ Unattend \\ Unattended.xml
• % Windir% \\ Panther \\ Unattended.xml

De érdemes ellenőrizni az egész rendszert.

Ezek a fájlok jelszavakat tartalmaznak a nyílt formában vagy kódolási alap64.
Példák:

Sysprep.inf - Jelszó nyitott formában.

Sysprep.xml - Jelszó a Base64 kódolásban.

"

Felügyelet nélküli.xml - Jelszó a Base64 kódolásban.

A tartományhoz csatlakoztatott gazdák esetében kereshet a Group.XML fájlt, amely titkosított AES256 jelszót tartalmaz, de amelyet visszafejthetünk, mert A kulcs az MSDN-en (https://msdn.microsoft.com/en-us/library/cc422924.aspx) és más források közzététele. De ez az, ha a helyi felhasználóknak a gazdagépeken történő létrehozásának politikáját használják, vagy például a jelszó feladat egy helyi rendszergazda.

Például itt vagyok:

Megnyitja azt, keressük a "Cpassword" paramétert.

Ezután meg kell dekódolni ezt a sorrendet. Például a Cryptool. Először is, a base64-et dekódoljuk.
A Base64 jellemzői az, hogy hossza több, mint 4. Ezért a 4-es blokkokat, és ha nincs elég karakter az utolsó blokkban, akkor a hiányzó "\u003d" szimbólumok.
2 "\u003d".

Távolítunk el olyan extra pontokat, amelyek megosztják a jeleket, és jelszót kapunk.

A Group.XML mellett itt számos más olyan szakpolitikai preferencia fájl, amely további tulajdonságokkal rendelkezhet "Cassword":

• Szolgáltatások \\ services.xml.
• STRESCEDTASKS \\ STARTTASTASKS.XML
• Nyomtatók \\ Printers.xml.
• Meghajtók \\ drives.xml
• Datasources \\ datasources.xml.

Mindazonáltal mindannyian szeretjük az automatizált megoldásokat, így a lehető leggyorsabban eljuthatunk a célvonalhoz. Két fő lehetőség van, attól függően, hogy milyen típusú héj / hozzáférés van, ami van. Van egy metasploit modul, amely végrehajtható a beállított munkameneten (https://www.rapid7.com/db/modules/post/windows/gather/credentials/gpp), vagy használhatja a Get-GPPSSWORD-t, amely része Powersploit.

Annak érdekében, hogy használhassuk, ellenőrizzük, hogy mindkét rendszerleíró bejegyzés telepítve van-e, és ha igen, akkor rendszerhéjat kaphatunk. Jelölje be:

Reg Query HKLM \\ Software \\ PoliCs \\ Microsoft \\ Windows \\ Installer \\ mindigstallevatated
Reg Query HKCU \\ Software \\ PoliCs \\ Microsoft \\ Windows \\ Installer \\ mindigstallevatated
A metasploit tartalmaz egy speciális kizsákmányolást / Windows / local / mindig_install_elevated modulot, amely létrehoz egy MSI fájlt egy speciális végrehajtható fájlba beágyazva, amelyet eltávolítanak és végrehajtanak a telepítő a rendszer jogosultságával. Az MSI fájl végrehajtása után leállítja a telepítést, hogy megakadályozza a rendszer működését. Ezenkívül, ha elindítja a telepítést a / csendes kulcs segítségével, akkor nem is hibát fog tenni.

Nos, néhány hasznos csapat keresése a rendszeren:

Az alábbi parancs keresi az egyes kulcsszavakat tartalmazó fájlrendszer-fájlneveket. Megadhatja a kulcsszavak számát.

Dir / s * pass * \u003d\u003d * cred * \u003d\u003d * vnc * \u003d\u003d * .config *
Keressen bizonyos típusú fájlok kulcsszavát, ez a parancs sok kimenetet generálhat.

Findstr / Si jelszó * .xml * .ini * .txt
Hasonlóképpen, az alábbi két parancsot használhatjuk a GREP nyilvántartási kulcsszavakhoz ebben az esetben a "Jelszó".

REG lekérdezés HKLM / F jelszó / t reg_sz / s
Reg Query HKCU / F jelszó / t reg_sz / s
Jelenleg már elég volt ahhoz, hogy szisztémás sétáljunk. De még mindig van egy pár igazgatója a támadásnak a kívánt eredmény eléréséhez: a Windows-ot és a fájlok és mappák engedélye. Célunk itt az, hogy gyenge jogosultságokat használjon a munkameneti jogosultságok növelésére.

Számos hozzáférési jogot fogunk ellenőrizni, ez segíteni fog ebben a hozzáférésch.exe-ben, amely a Microsoft Sysinternals Suite eszköze. A Microsoft Sysinternals számos kiváló eszközt tartalmaz. A csomag letölthető a Microsoft TechNet honlapján (https://docs.microsoft.com/ru-ru/sysinternals/downloads/sysinternals-suite).

Ellenőrizhetjük a szükséges jogosultságszinteket minden szolgáltatáshoz az AccessChk segítségével.

Láthatjuk az engedélyeket, amelyeket minden felhasználói szinten.

Az AccessChk automatikusan ellenőrizheti-e, hogy hozzáférjenek-e a Windows szolgáltatáshoz egy adott felhasználói szinten. Rendszerként, mint az alacsony jogosultságokkal rendelkező felhasználóként a "Felhasználók" ellenőrzését szeretnénk ellenőrizni. Győződjön meg róla, hogy ellenőrizték, hogy milyenek a felhasználók csoportjai.

C A név, mint a Windows szolgáltatás, például az SSDPSRV (Adja meg a "*" értéket az összes szolgáltatás megjelenítéséhez)
-D csak könyvtárak feldolgozása
-E kimenet csak kifejezetten beállítja az integritás szintjét (csak Windows Vista esetén)
-K mint nevét a rendszerleíró részleg, például a HKLM \\ Software
-n csak olyan objektumok kimenete, amelyek nem rendelkeznek hozzáférési szabályokkal
-p névként jelezte a név- vagy folyamatazonosítót (PID), például a cmd.exe (Adja meg, mint "*" az összes folyamat megjelenítéséhez)
-Q alacsonyabb a címsorban
-r kimenet csak olyan tárgyakat, amelyekhez az olvasáshoz való hozzáférés
- rekurzív kezelés
-V Kimeneti részletes információk
-w csak olyan objektumokat jelenít meg, amelyekre bejegyzés van

Van még egy érdekes csapat is:

Autorunsc.exe -a | Findstr / N / R "Fájl nem található"
Lehetővé teszi, hogy megtalálja a rendszerleíró adatbázis bejegyzését, amely automatikusan elindult, de most már nincs a rendszerben. A felvétel továbbra is maradhat, ha például a szolgáltatást helytelenül törölték. Minden alkalommal, amikor elindul, a rendszer sikertelenül elindítja ezt a fájlt. Ez a helyzet a hatáskörének bővítésére is használható. Ez egyszerűen a fájl helyett helyettesítheti.

Először: a Parvez által írt postainak eredményeit a Greyhathaterből; "A jogosultságok emelkedése a gyenge mappák engedélyeinek kihasználásával" (http://www.greyhathathacker.net/?p\u003d738).

Ez a példa egy DLL eltérítési eset. A programok általában nem tudunk működni magunkat, sok erőforrással rendelkeznek ahhoz, hogy csatlakozzanak (többnyire dll, hanem saját fájljaik is). Ha a program vagy szolgáltatás letölt egy fájlt a könyvtárból, amelyhez hozzáférhetünk az íráshoz, visszaélhetjük azzal, hogy a programot olyan kiváltságokkal működtethesse, amelyek alatt a program működik.

Általános szabályként a Windows alkalmazás előre definiált keresési útvonalakat használ a DLL kereséséhez, és ez az útvonalak egy adott sorrendben ellenőrzik. A DLL-lopás általában úgy fordul elő, ha rosszindulatú DLL-eket helyez el ezeknek az útvonalaknak. Ez a probléma megszüntethető azáltal, hogy megadja az abszolút útvonalak alkalmazását a szükséges DLL-hez.

Dll keresési sorrend:

1. Könyvtár, amellyel az alkalmazás fut
2. 32 bites rendszerkönyvtár (C: Windows \\ System32)
3. 16 bites rendszerkönyvtár (C: Windows \\ System)
4. Windows könyvtár (C: Windows)
5. Munkaügyi munkavégzés (CWD)
6. Könyvtárak a változó útvonal környezetében (rendszer, majd a felhasználó)

Néha az alkalmazások megpróbálják letölteni DLL fájlokat, amelyek az autóval hiányoznak. Ez több okból is előfordulhat, ha a DLL könyvtár csak bizonyos plug-in modulokhoz vagy komponensekhez szükséges, amelyek nincsenek telepítve. Ebben az esetben a Parvez megállapította, hogy egyes Windows-szolgáltatások megpróbálják letölteni a DLL-könyvtárakat, amelyek nem léteznek az alapértelmezett telepítésekben.

Mivel a DLL nem létezik, végül átmegyünk az összes keresési útvonalon. Az alacsony kiváltsággal rendelkező felhasználónak van egy kis esélye, hogy rosszindulatú DLL-t helyezzünk n. 1-4, 5. De ha hozzáférhetünk a könyvtárak bármelyikéhez, akkor nagyszerűek vagyunk.

Nézzük meg, hogyan működik a gyakorlatban, példánkban az Ikeext (Ipsec Ike és Authip Key modulok) szolgáltatást, amely megpróbálja letölteni a wlsctrl.dll-t.

Bármely katalógus "C: \\" A hitelesített felhasználók bejegyzéséhez hozzáférhet, esélyt ad nekünk.

C: \\ users \\ user1 \\ desktop\u003e accesschk.exe -dqv "C: Python27"
C: \\ Python27 Medium kötelező szint (alapértelmezett) RW BUILTIN \\ Rendszergazdák FILE_ALL_ACCESS RW NT AUTHORITY \\ SYSTEM FILE_ALL_ACCESS R BUILTIN \\ Users FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE SYNCHRONISE READ_CONTROL RW NT AUTHORITY \\ Hitelesített felhasználók FILE_ADD_FILE FILE_ADD_SUBDIRECTORY FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE FILE_WRITE_ATTRIBUTES FILE_WRITE_EA DELETE SYNCHRONISE READ_CONTROL
C: \\ users \\ user1 \\ Desktop\u003e ICACLS "C: Python27"
C: Python27 Educedin \\ adminisztrátorok: (ID) F Wletin \\ Administrators: (OI) (CI) (ID) F NT AUTHORICE \\ SYSTEM: (ID) F NT Forgrás \\ System: (OI) (CI) ( IO) (ID) f beépített \\ felhasználók: (OI) (CI) (ID) R NT FORGALEME \\ hitelesített felhasználók: (ID) C NT Hatóság \\ hitelesített felhasználók: (OI) (CI) (ID) (ID) (ID) c
F - teljes hozzáférés.
(OI) - öröklési tárgyak.
Ci) - öröklési tartályok.
(IO) - csak örökség.
(NP) - az öröklés megoszlásának tilalma.
I) - Az engedélyek öröklése az alaptartályból.

A cselekvés előtt ellenőriznie kell az IKEXT szolgáltatás állapotát. Ebben az esetben láthatjuk, hogy telepítve van az "AUTO_START"!

Sc qc ikeext
QueryServiceConfig SERVENE_NAME: IKEXT TYPE: 20 WIN32_SHARE_PROCESS START_TYPE: 2 AUTO_START ERRORE_CONTROL: 1 Normál bináris_path_name: c: Windows \\ System32 \\ svchost.exe -k Netsvcs load_order_group: Tag: 0 Display_Name: Ike és Authip IPSec billentyűzet modulok függőségek: BFE SERVICE_START_NAME: Lakosrendszer
Most már tudjuk, hogy rendelkezünk a szükséges feltételekkel, és megteremthetjük a rosszindulatú DLL-t és a Shell elfogást!

Metasploit -\u003e msfvenom használatát használjuk, ez például.

Miután excert.dll-t küldött a cél számítógépünkre, mindössze annyit kell tennie, hogy átnevezzük a wlbsctrl.dll-ben, és lépjen a "C: Python27" -re. Amint megtörtént, türelmesen várnunk kell az autó újraindítására (vagy megpróbálhatunk erőteljesen újraindítani), és szisztémás héjat kapunk.

Másolja az evil.dll c: \\ python27 \\ wlbsctrl.dll
Ezt követően csak a rendszer újraindítására vár.

Utolsó példainkért megnézzük az ütemezett feladatokat. Leírom az elvét, mert Mindenkinek különböző esetei lehetnek.

Megtaláljuk a folyamatot, a szolgáltatást, az alkalmazást futtató feladat ütemező rendszerről.
Ellenőrizze a mappához való hozzáférés jogait, ahol a célunk.

Accesschk.exe -dqv "path_k_seli"
Nyilvánvaló, hogy ez komoly konfigurációs probléma, de még rosszabb, hogy bármely felhasználó ellenőrzi a felhasználót (hitelesített felhasználó) hozzáférést biztosít a mappához. Ebben a példában egyszerűen felülírhatjuk a metasploitban generált bináris végrehajtható fájlfájlt.

Ezenkívül kódolhat.

Most csak egy rosszindulatú futtatható fájl betöltése és felülírja azt a végrehajtható fájl mappájába. Amint megtörtént, biztonságosan lefeküdhetünk, és kora reggel, hogy egy szisztémás sétáljon.

Ez a két példa meg kell adnia nekünk egy olyan gondolkodást, amelyre a fájlok és mappák engedélyeinek mérlegelése során meg kell keresni. Időre lesz szüksége ahhoz, hogy megtanulja az összes binpath útvonalat a Windows Services, az ütemezett feladatok és az autorun feladatokhoz.

Végül, egy pár tipp az accesschk.exe használatával.

Keresse meg az összes gyenge jogosultságot a lemezen lévő mappákhoz.

Accesschk.exe -uwdqs felhasználók c: \\ accesschk.exe -uwdqs "hitelesített felhasználók" C: \\
Keresse meg a lemez összes gyenge engedélyét.

Accesschk.exe -uwqs felhasználók C: \\ *. * AccessChk.exe -uwqs "hitelesített felhasználók" C: \\ *. *
Úgy néz ki, mint ez.

Sok program az indításkor az emeléshez szükséges jogok (pajzs ikon az ikonon), de valójában a szokásos rendszergazdai jogukért nem szükséges (például manuálisan megadta a szükséges jogokat a felhasználók számára a programkatalógushoz a programfájlokban és a nyilvántartásban a program által használt fiókok). Ennek megfelelően, ha elkezd egy ilyen program keretében az egyszerű felhasználó, ha figyelembe ellenőrzés engedélyezve van a számítógépen, az UAC kérés jelenik meg, és meg kell adnia a rendszergazda jelszót. A mechanizmus körül, sok egyszerűen kikapcsolja az UAC-t, vagy adja meg a felhasználót az adminisztrátornak a számítógépen a helyi adminisztrátorok csoportjának hozzáadásával. Természetesen mindkét módszer nem biztonságos.

Miért kell a szokásos alkalmazásnak adminisztrátori jogokra

Rendszergazdai jogokat lehet szükség a program módosítására bizonyos fájlok (naplók, konfigurációk stb.) A saját mappában a C: \\ Program fájlok (x86) Alapértelmezés szerint a felhasználóknak nincs joga a könyvtár szerkesztésére, illetve az ilyen program normál működéséhez adminisztrátori jogok szükségesek. A probléma megoldásához manuálisan kell az NTFS rendszergazdájára manuálisan rendelni a jogot a felhasználó (vagy csoportos felhasználók) módosításához / írásához a programhoz mellékelt mappához.

jegyzet. Valójában a gyakorlatban a változó alkalmazás adatai a saját könyvtárában a C: \\ programfájlok helytelen. Igazább az alkalmazásadatokat a felhasználói profilban tárolni. De ez a fejlesztők lustaság és inkompetenciája kérdése.

Olyan program futtatása, amely rendszergazdát igényel a normál felhasználótól

Már leírtuk korábban, amennyit csak tudsz, a RunaSinvoker paraméter használatával. Ez a módszer azonban nem rugalmas. Az Admin Password / Savecred (szintén nem biztonságos) megőrzésével is használható. Fontolja meg a rendszergazdai jogok nélküli programok egyszerűbb elindításának egyszerűbb módját (és adminisztrátora nélkül) az UAC (4,3 vagy 2 szint).

Például vegye be a Registry szerkesztési segédprogramot - regedit.exe (A C: \\ Windows \\ System32 könyvtárban található). Amikor a regedit.exe elindul, megjelenik az UAC ablak, és ha nem erősíti meg a kiváltságot, a Rendszerleíróadatbázis-szerkesztő nem indul el.

Hozzon létre egy fájlt az asztalon run-as-non-admin.bat A következő szöveggel:

cmd / min / c "set __compat_layer \u003d runaSinvoker && start" "% 1"

Most, hogy kénytelen elindítani az alkalmazást adminisztrátori jogok nélkül, és elnyomja az UAC kérését, egyszerűen húzza a kívánt exe fájlt az asztalon lévő BAT fájlhoz.

Ezt követően a Rendszerleíróadatbázis-szerkesztőnek az UAC kérelem megjelenése nélkül kell kezdődnie. A folyamatok menedzsere megnyitása, és adjon hozzá egy oszlopot Emelkedett. (Magasabb szintű engedélyekkel) látni fogja, hogy a rendszernek van egy regedit.exe folyamat, amelyet nem érzékeny állapotú (felhasználói jogokkal indított).

Próbálja meg szerkeszteni a paramétert a HKLM ágban. Hogyan látja a rendszerleíró adatbázis szerkesztéséhez való hozzáférést ebben a fiókban (ez a felhasználónak nincs joga a rendszerleíró adatbázis-fiókok írására). De hozzáadhatja és szerkesztheti a kulcsokat a saját felhasználói regisztrációs fiókjában - HKCU.

Hasonlóképpen, akkor futtathatja a BAT fájlt és egy konkrét alkalmazást, elegendő a végrehajtható fájl elérési útjának megadása.

run-app-as-non-admin.bat

Állítsa be az ApplicationPath \u003d "C: Program fájlok \\ MyApp \\ TestApp.exe"
cmd / min / c "set __compat_layer \u003d runaSinvoker && start" "% ApplicationPath%"

Azt is hozzá egy helyi menü, amely hozzáteszi, hogy az összes alkalmazás, hogy a dob is lehetséges anélkül, hogy növelnénk jogokat. Ehhez hozza létre a következő regfájlt, és importálja a rendszerleíró adatbázisba.

A Windows Rendszerleíróadatbázis-szerkesztő 5.00-as verziója

@ \u003d "Cmd / min / c \\" set __compat_layer \u003d runaSinvoker && start \\ "\\"% 1 \\ "\\" "

Ezt követően, hogy bármilyen alkalmazást indítsa el az adminisztrátori jogok nélkül, elegendő kiválasztani a "" elemet a helyi menüben.

Környezetváltozó __compat_layer és runaSinvoker

Környezetváltozó __compat_layer Lehetővé teszi a különböző kompatibilitási szintek telepítését az alkalmazásokhoz (fül Kompatibilitás Az exe fájl tulajdonságaiban). Ezzel a változó segítségével megadhatja a program futtatását kívánt kompatibilitási beállításokat. Például, hogy az alkalmazást kompatibilitási módban indítsa el a Windows 7 rendszerrel és a 640 × 480 felbontással, készlet:

sET __COMPAT_LAYER \u003d WIN7RTM 640X480

Az érdeklődésre számunkra, a __compat_layer változó kiemeli a következő paramétereket:

• Runasinvoker - A szülői folyamat kiváltságainak indítása UAC kérés nélkül.
• RunaShighest. - A felhasználó rendelkezésére álló maximális joggal rendelkező alkalmazás futtatása (az UAC-kérés megjelenik, ha a felhasználó rendszergazdai jogosultsággal rendelkezik).
• Runasadmin. - Adminisztrátori jogokkal rendelkező alkalmazás futtatása (AUC kérés mindig megjelenik).

Azok. A RunaSinvoker paraméter nem nyújt rendszergazdai jogokat, és csak blokkolja az UAC ablak megjelenését.