Vyžaduje zvýšenie úrovne prístupových práv. Základy zvyšovania privilégií v systéme Windows

Zvýšenie privilégií, možno jeden z kľúčových bodov, na ktorých závisí scenár ďalších zubov alebo útoku. Veľmi často v tomto štádiu, všetko končí, ak to nefunguje "Rozšírte svoje právomoci". Preto dnes budeme hovoriť o tom, ako zlepšiť používateľa, aby zvýšil ich privilégiá nielen pred správnymi, ale aj systémovými.

Úvod

Zvýšenie privilégií v systéme Windows a Linuxe je trochu inak. Napriek tomu, že oba operačné systémy vykonávajú obvyklý počet zraniteľností, výskumníci poznamenávajú, že plne kvalifikovaný server Windows je oveľa bežnejší ako aktualizovaný na súčasný stav Linuxu. Okrem toho, čas uvoľnenia okien opráv je často menej, čo robí zvýšenie privilégií na úlohách systému Windows pomerne zaujímavé a ambiciózne. Je to pre ňu, že sme venujeme náš príbeh.

možnosti

Aké sú naše príležitosti na zvýšenie sveta Windows? V prvom rade, v poslednom čase, tam bolo dostatok zraniteľnosti v jadre OS, čo robí proces zvýšenia privilégií jednoduchých, ak je na rukách vhodná pevná látka. Ak používate METASPLOIT, potom stačí len jeden tím, aby získal systémový shell. To všetko s vysokou pravdepodobnosťou však úspešne funguje len vtedy, ak systém nie je plne preukázaný. Ak sú všetky aktualizácie inštalované na stroji, potom, na rozdiel od Linuxu, nebude možné nájsť sumy binárne súbory a premenné životného prostredia sa zvyčajne neprenášajú na služby alebo procesy s vyššími privilégiami. Aký je výsledok nás?

Od správcu do systému, alebo čo každý vie

Zvyčajne, keď sa uvádzajú zvýšenie privilégií, metóda, ktorá používa plánovač úloh, okamžite prichádza na myseľ. V systéme Windows môžete pridať úlohu pomocou dvoch nástrojov: AT a SCHTASKS. Druhý začne úlohu v mene používateľa, ktorý pridal úlohu, zatiaľ čo prvý je v mene systému. Štandardný trik, o ktorom ste pravdepodobne počuli, čo vám umožnilo začať konzolu so systémovými právami:

V 13:01 / Interaktívna CMD

Druhá vec, ktorá príde na myseľ, je pridať službu, ktorá spustí požadovaný súbor / vykonať príkaz:

@echo off @break off title root CLS echo Vytvorenie služby. SC Vytvorte Evil BinAth \u003d "cmd.exe / k štart" Type \u003d vlastný typ \u003d INTERACT\u003e NUL 2\u003e & 1 echo Spustenie služby. SC START EVIL\u003e NUL 2\u003e & 1 ECHO stojace ... ping 127.0.0.1 -N 4\u003e NUL 2\u003e & 1 echo Demontáž služby. Echo. SC Odstrániť zlo\u003e NUL 2\u003e & 1

Treťou metódou je substitúcia C: Windows System32 Sethc.exe System Utility pre napríklad CMD. Ak je po tomto zvýšení a niekoľkokrát stlačte kláves Shift, potom sa konzola zobrazí so systémovými právami.

Pokiaľ ide o automatizované metódy, merasploit a jeho getsystem okamžite príde na myseľ. Alternatívna možnosť môže byť považovaná za PSEXEC zo sysinterls (PSEXEC -I -S -D CMD.EXE).

Pôjdeme rôznym spôsobom

Všetky tieto metódy majú všeobecnú nevýhodu: sú potrebné administratívne privilégiá. To znamená, že zvýšime výsady, ktoré už boli pod privilegovaným účtom. Vo väčšine prípadov, keď ste dostali práva administrátora, máte veľa možností na rukách, ako sa zvýšiť ešte vyššie. Takže toto nie je veľmi náročná úloha. Dnes budeme hovoriť o metódach zvýšenia privilégií, ktoré nepoužívajú žiadnu 0odoizúrovú zraniteľnosť, veria, že máme pravidelný systém a na rukách bežného neoprávneného používateľského účtu.

Lov za poverenia.

Jedným zo spoľahlivých a stabilných spôsobov zvýšenia privilégií a konsolidácie v systéme je získať heslá administrátorov alebo používateľov, ktorí majú vyššie privilégiá. A tu je čas na zapamätanie automatického inštalácie softvéru. Ak spravujete doménu, ktorá obsahuje rozsiahly park automobilov, určite nechcete chodiť a nainštalovať na každú z nich manuálne. ÁNO, A tentoraz to bude trvať toľko, že nestačí pre akékoľvek iné úlohy. Preto sa používajú bezobslužné inštalácie, ktoré vytvárajú súbory obsahujúce heslá admin v najčistejšej forme. Čo je len poklad pre pensets a votrelcov.

Bez dozoru

V prípade automatizovanej inštalácie na Kliente zostáva bezobslužný.xml súbor pomerne zvedavý pre nás, čo je zvyčajne buď v% windir% panther, alebo v% windir% panther a môže uložiť heslo správcu v otvorenej forme. Na druhej strane, aby sa tento súbor zo servera dostal ani žiadna autentifikácia. Je potrebné nájsť iba server "Windows Deployment Services". Aby ste to urobili, môžete použiť pomocný / scanner / derpc / windows_deployment _services skript z METASPLOIT. A hoci služby Windows Deployment Services nie je jediným spôsobom, ako vykonávať automatizované inštalácie, súbor UNATTED.xml je považovaný za štandard, takže jeho detekcia môže byť prirovnávaná k úspechu.

GPP.

Nastavenia politiky skupinovej skupiny XML (preferencia politiky skupiny) často obsahujú súbor šifrovaných poverení, ktoré možno použiť na pridanie nových používateľov, vytvorenie lopty a tak ďalej. Pre šťastie je metóda šifrovania zdokumentovaná, takže môžete ľahko získať heslá vo svojej čistej forme. Tím METASPLOIT už navyše urobil všetko pre vás - stačí používať / ewindows/gather/credentials/gpp.rb modul /postentály/gpp.rb. Ak máte záujem o detaily, všetky potrebné informácie sú k dispozícii na tomto odkazu.

Vlastné práva

Veľmi často sa zvýšenie privilégií ukáže, že je dôsledkom nesprávneho nakonfigurovaného vlastného práva. Napríklad, keď je užívateľom domény lokálny administrátor (alebo užívateľ napájania) na hostiteľovi. Alebo keď používatelia domény (alebo členovia skupín domén) sú miestne administrátori na všetkých hostiteľoch. V tomto prípade už naozaj nemusíte robiť nič. Takéto možnosti sa však tak často dotknú.

Vždyxinstallevated.

Niekedy nám administrátori umožňujú inštalovať programy samostatne nezávisle, zvyčajne sa vykonáva prostredníctvom nasledujúcich kľúčov databázy Registry:

HKLM \\ SOFTVÉROVÉ POLITIKY Microsoft Windows Installer

HKCU Softvér Politiky Microsoft Windows S \\ installer

Uvádzajú, že systém, ktorý musí byť súbor MSI inštalovaný so zvýšenými privilégiummi (systém NT). V súlade s tým, pomocou špeciálne vytvoreného súboru, môžete znova vykonávať akcie v mene systému a čerpať svoje privilégiá.

METASPLOIT obsahuje špeciálny exploit / Windows / Miestny / vždy_install_elevated modul, ktorý vytvára súbor MSI so špeciálnym spustiteľným súborom, ktorý je vložený, ktorý je odstránený a popravený inštalatérom so systémovými privilégiami. Po vykonaní súboru MSI zastaví inštaláciu (volaním špeciálne vytvorených VBS špeciálne vytvorených), aby ste zabránili operácii v systéme. Okrem toho, ak spustíte inštaláciu s kľovým kľúčom, používateľ dokonca nevyberie túto chybu.

Chýba Autorun.

Veľmi často sa stáva, že systém ukladá záznam súborov, ktorý je potrebné automaticky spustiť, aj keď sa súbor sám už ukázal v lete. Možno, že nejaká služba bola nesprávne vymazaná - neexistuje žiadny spustiteľný súbor a položka databázy Registry zostala, a na každom štarte sa systém neúspešne začal spustiť, skórovanie správy o prihlásení udalostí o Fatarch. Táto situácia môže byť tiež použitá na rozšírenie vašej autority. Po prvé, musíte nájsť všetky takéto osirotené záznamy. Napríklad pomocou pomôcky autoruncusc z sysinterls.

Autorunc.exe -a | Findstr / N / R "Súbor nebol nájdený"

Potom, ako ste uhádli, zostane len tak skĺznuť do miesta chýbajúceho súboru vášho kandidáta.

Magic Cavek

Áno, citácie nemôžu hrať len veľký vtip v SQL dotazov, čo vám umožní vykonávať injekciu, ale tiež pomáhajú zvýšiť privilégiá. Problém je pomerne starý a známy už od NT Times. Ide o to, že cesty k spustiteľným súborom niektorých služieb nie sú zarámované citáciami (napríklad ImagePath \u003d C: Programové súbory spoločné súbory siete Associates \\ Mcshield . V tomto prípade, ak útočník vytvorí súbor, ktorý pridá nové administráciu do systému alebo vykonať niektoré ďalšie akcie, a volá ho C: Program súbory common.exe, potom s následným spustením služby, je bežné. EXE, ktorá zostáva časťou cesty, bude vnímaná ako argument (argumenty). Je zrejmé, že v programových súboroch neschopný používateľ nemôže nič dať, ale spustiteľný servisný súbor môže byť v inom adresári, to znamená, že užívateľ bude mať možnosť skĺznuť jeho súbor.

S cieľom využiť túto techniku \u200b\u200bje potrebné nájsť zraniteľnú službu (ktorá nebude používať citácie na ceste k binárnemu). Toto sa vykonáva nasledovne:

WMIC Service Získajte meno, DisplayName, PATHNAME, STARTMODE | Findstr / I "Auto" | Findstr / I / V "C: Windows" | Findstr / I / V "" "

TRUE, NA XP bude vyžadovať privilégiá administrátora, takže je lepšie použiť nasledujúcu metódu: Získajte zoznam služieb - SC dotaz, potom sledujte informácie pre každú službu - SC QC ServiceName.

Všetko podľa plánu

Ďalším mechanizmom, ktorý môže pomôcť zvýšiť práva a o tom, čo je zvyčajne zabudnuté, je plánovač úloh. Utility Schtasks vám umožňuje zavesiť úlohy pre určité udalosti. Najzaujímavejšie pre nás je Onidle, OnLogon a Onstart. Ako nasledujú názvy, Onidle sa vykoná vždy, keď je počítač jednoduchý, OnLogon a Onstart - keď sa používateľské prihlasovacie údaje a keď sa systém spustí, resp. Každá z udalostí teda môže zavesiť samostatnú úlohu. Napríklad pri spustení systému kopírovanie škodlivého binárneho / keylogger / ... a spustiť ho. Pri prihlásení do systému - spustite skracovanie kreditnej karty. Stručne povedané, všetko je obmedzené na vašu fantáziu a úlohu.

Triky s povoleniami

Povolenia k prístupu k súboru - Toto je zvyčajne prvé ochranné prostriedky, ktoré nám bráni zvýšiť naše privilégiá. Bolo by lákavé len prepísať akýkoľvek systémový súbor (napríklad ten istý Sthc.exe spomenutý na samom začiatku článku) a okamžite získajte privilégiá. Ale všetko, čo sú len sny, v skutočnosti máme len povolenie na čítanie, ktoré nemáme čo do činenia s rovnomerným účtom. Nemali by ste však hnať môj nos, pretože s povoleniami nie je, nie všetko je tak hladké - tu, ako inde, existujú naše úskalia, o ktorých vám umožní urobiť nemožné.

Jeden zo systémových adresárov chránených týmto mechanizmom je obzvlášť zaujímavý z hľadiska privilégií - programových súborov. Usporiadaný užívatelia. Niekedy sa však stáva, že počas inštalácie inštalátorov nesprávne nastaví práva na súbory, s tým výsledkom, že všetci používatelia sú plným prístupom k spustiteľným súborom. Z toho vyplýva, že ste už uhádli.

Ďalšie obmedzenia - obvyklá smrteľník nie je dovolené písať do koreňa systému. Avšak, napríklad na XP pri vytváraní nového adresára v koreňovom adresári disku, zostáva vstavaná skupina používateľov File_APPEND_DATA a FILE_WRITE_DATA povolenia (aj keď vlastník priečinka je administrátorom):

Vstavaní užívatelia: (OI) (CI) R zabudovaný užívatelia: (CI) (ŠPECIÁLNY PRÍSTUP :) File_APPEND_DATA POUŽITÉ POUŽÍVATEĽOV: (CI) (ŠPECIÁLNY PRÍSTUP :) FILE_WRITE_DATA

Na "Sedem" sa vyskytuje takmer to isté, len povolenia dostávajú skupinu overených používateľov. Ako sa takéto správanie transformuje na problém? Len niektoré aplikácie sa postavili mimo chráneného adresára, ktorý uľahčuje vymeniť svoje spustiteľné súbory. Napríklad takáto kancelária sa stala metsploit rámca v prípade jeho inštalácie multiplayer. Táto chyba bola POFIXEN vo verzii 3.5.2 a nástroj sa presunul do programových súborov.

Ako hľadať takéto adresáre / súbory

Detekcia adresára s nesprávnymi oprávneniami je polovičný úspech. Treba však najprv nájsť. Ak to chcete urobiť, môžete použiť nasledujúce dva nástroje: AccessChk a CACLS / ICACLS. Ak chcete nájsť s AccessChk "Slabé" adresár, budete potrebovať tieto príkazy:

ACCESSCHK.EXE -UWDQS UŽÍVATEĽOV C: ACCESSCHK.EXE -UWDQS "OVLOŽENÝCH POUŽÍVANÍ" C: \\ t

Ak chcete vyhľadať súbory s "slabými" povoleniami, sú nasledovné:

ACCESSCHK.EXE -UWQS UŽÍVATEĽOV C: * * * ACCESSCHK.EXE -UWQ "OVEROVANÉ UŽÍVATEĽA" C: * *

To isté sa dá vykonávať pomocou CACLS / ICACLS:

CACLS "C: Programové súbory" / T | Findstr užívatelia.

Triky so službami

Ďalšou možnosťou, ako vyliezť do systému je vyššia, je použitie worldsonfiguration a servisných chýb. Ako prax ukazuje, nielen súbory a priečinky môžu mať nesprávne povolenia, ale aj služby pôsobiace v systéme. Ak chcete objaviť také, môžete použiť nástroj AccessChK z Mark Russinovich nevhodných pre vás:

ACCESSCHK.EXE -UWCQV *

Bude to viac zvlnení vidieť service_all_Access povolenie pre overených používateľov alebo používateľov energie. Ale aj veľké šťastie možno tiež považovať za nasledujúce:

• Service_change_config - môžeme zmeniť spustiteľný servisný súbor;
• Write_dac - môžete zmeniť povolenia, čo vedie k získaniu rozlíšenia service_change_config;
• Write_owner - môžete sa stať vlastníkom a meniť povolenia;
• Generic_write - zdedí rozlíšenie service_change_config;
• Generic_all - zdedí rozlíšenie service_change_config.

Ak sa z týchto povolení pre neprivilní používatelia zistia, že jeden (alebo niekoľko) sa zistí, že šanca na zvýšenie ich privilégií prudko zvyšujú.

Ako zvýšiť?

Predpokladajme, že ste našli vhodnú službu, je čas na to pracovať. To pomôže nástroj Console SC. Ak chcete začať, dostávame kompletné informácie o službe, o ktorú máte záujem, povedzme, toto je upchost:

SC QC UPNPHOST.

S pomocou tej istej utility ho zrušujeme:

SC CONFIG CONFIGHTU VULNSRV BINPATH \u003d "NET User John Dobrý deň / ADD && Net LocalGroup Administrators John / Add" Type \u003d Interakcia SC Config upnphost obj \u003d ". Localsystem" Heslo \u003d ""

Ako môžete vidieť, pri ďalšom spustení služby, namiesto svojho spustiteľného súboru, sieťový užívateľ John Ahoj / Add && Net LocalGroup Administrátori John / Add Command je vykonaný pridaním heslom Hello. Zostáva len manuálne reštartovať službu:

NET STOP UPPNPHOST NET START UPPNPHOST

To je všetko mágia.

Že nakoniec

Raz už dávno som si prečítal článok v časopise, v ktorom boli dané hlavné techniky na zvýšenie výsad v systéme Windows. Nedával som jej špeciálny význam, ale teória v mojej hlave bola uložená a raz som mi pomohol veľmi veľa. Takže, dúfam, a nájdete niečo nové pre seba, ktorý pomôže raz prekonať ďalšiu bariéru.

Časti výrobku boli podrobne opísané princíp činnosti kontroly používateľských kont. V tejto časti bude o nastavení UAC, keď počítač funguje autonómne, to znamená, nie je súčasťou domény Active Directory. Ak chcete konfigurovať kontrolu používateľských kont, miestna bezpečnostná politika sa nachádza v editore miestnej skupiny.

Existuje 10 skupinových politických nastavení zodpovedných za konfiguráciu ovládania používateľských kont. Ak chcete zmeniť nastavenia politiky, musíte sa otvoriť v snap "Editor lokálnej skupiny" Uzol Konfigurácia počítača Konfigurácia systému Windows Nastavenia zabezpečenia Lokálne zásady. V tomto článku nájdete aj spôsob, ako konfigurovať každý parameter politiky podľa systémového registra. Nasledujúca tabuľka zobrazuje predvolené hodnoty pre každú z nastavení politiky.

Nastavenia pre kontrolné parametre politiky skupiny Predvolené účty:

Parameter politiky skupiny	Predvolená hodnota
Kontrola účtu: Povoliť režim schvaľovania správcom	Zapnuté
Monitorovanie účtovníctva: Detekcia inštalácie aplikácií a zvýšenie správnej požiadavky	Zapnuté
Kontrola účtu: Prepnutie na zabezpečenú pracovnú plochu pri vykonávaní požiadavky na zvýšenie práva	Zapnuté
Kontrola účtu: Žiadosť o posilnenie administrátorov administrátorov	Žiadosť o súhlas s binárnymi údajmi nie z Windows
Monitorovanie účtovníctva: Žiadosť o práva Zvýšili používateľov	Žiadajte o poverenia
Monitorovanie účtovníctva: Právo len pre aplikácie UIACCESS nainštalované na bezpečnom mieste	Zapnuté
Kontrola účtu: Zlepšenie práv len pre podpísané a overené spustiteľné súbory	Zakázaný
Monitorovanie účtovníctva: Pri písaní do spisu alebo registra virtualizáciu pre umiestnenie používateľa	Zapnuté
Kontrola účtu: Povoliť aplikácie UIACCESS požiadať o zvýšenie práv bez použitia bezpečného pracovnej plochy	Zakázaný
Kontrola účtu: Používanie režimu schvaľovania správcu pre vstavaný účet administrátora	Zakázaný

Parametre skupinových politík, ktoré súvisia s kontrolou používateľského účtu (UAC), sú podrobne diskutované nižšie:

Všetci správcovia pracujú v režime schvaľovania správcom

Toto nastavenie politiky určuje charakteristiky všetkých politík kontroly účtu pre počítač. Závisí od tohto parametra, či sa účtujú administrátori v "režime schvaľovania správcu", to znamená, že budú dialógy s požiadavkou na zvýšenie úradu. Vypnite toto nastavenie, zhruba, úplne vypnúť funkčnosť kontroly používateľských kont. Keď sa táto politika zmení, musíte počítač reštartovať. Predvolená hodnota je povolená.

Možné hodnoty parametrov:

• Zahrnutý. Režim schvaľovania správcu je povolený umožniť vstavaný účet administrátora a všetkých ostatných používateľov, ktorí sú členmi skupiny. "Administrátori", Práca v režime schvaľovania správcu.
• Zakázaný. Režim schvaľovania správcom a všetkými príslušnými nastaveniami pre politiky kontroly účtov budú zakázané.

Zakázať "Enablelua" \u003d DWORD: 00000000

Detekcia inštalácie aplikácií a zvýšenie práv na zvyšovanie

Toto nastavenie definuje charakteristiky detekcie aplikácií pre počítač, ktorý kontrola, či programy používané na nasadenie aplikácií alebo nie. V predvolenom nastavení, ak používateľ vstúpi do pracovnej skupiny, je aktivovaná.

Možné hodnoty parametrov:

• Zahrnuté (predvolené pre domácnosť). V prípade, že inštalačný program aplikácie zistí, že je potrebné posilniť autoritu, používateľ je pozvaný na zadanie používateľského mena a hesla účtu administrátora. Ak používateľ zadá správne poverenia, operácia pokračuje s príslušnými právami. Pohľad na požiadavku závisí od ktorej skupiny patrí používateľovi.
• Zakázané (predvolené pre organizáciu). Keď je toto nastavenie zvolené, detekcia inštalačného programu aplikácie nevydá žiadosť o zvýšenie právomoci. Zvyčajne sa toto nastavenie aplikuje v organizáciách, ktorých počítače a užívatelia sú zahrnuté v doméne a nasadiť aplikácie delegované inštalačné technológie (softvér na inštaláciu skupinovej politiky - GPSI). Preto potreba zistiť inštalatér zmizne.

Aktuálne nastavenia politiky s registrom:

Zakázať "EnableInstallerDeection" \u003d DWORD: 00000000

Prepnutie na zabezpečenú pracovnú plochu pri vykonávaní požiadavky na zvýšenie práva

Tento politický parameter určuje, či sa na interaktívnej pracovnej ploche používateľa alebo na bezpečnú pracovnú plochu zobrazia žiadosti o zvýšenie autority alebo na bezpečnú pracovnú plochu pri iniciovaní požiadavky UAC. Predvolená hodnota je povolená. Keď sa táto politika zmení, musíte počítač reštartovať.

Možné hodnoty hodnôt:

• Zahrnutý. Všetky požiadavky na zvýšenie práv sa zobrazujú na bezpečnom stole bez ohľadu na parametre politiky správania pozvánky pre administrátorov a bežných používateľov.
• Zakázaný. Všetky požiadavky na zvýšenie práv sa zobrazujú na používateľovi interaktívnej pracovnej plochy.

Aktuálne nastavenia politiky s registrom:

Zakázať "bezponsonSecuredEsktop" \u003d DWORD: 00000000

Žiadosť o posilnenie práv pre administrátorov v administrátorovi

Aktuálne nastavenie vám umožňuje definovať akcie užívateľa, ktorý je súčasťou skupiny "Administrátori" Pri vykonávaní operácie, ktorá si vyžaduje zvýšené práva. Predvolená hodnota je nastavená. "Žiadosť o súhlas pre binárne súbory tretích strán (nie Windows)".

Možné hodnoty parametrov:

• Vylepšiť bez požiadavky. Umožňuje privilegované účty vykonávať operáciu, ktorá si vyžaduje zvýšenie práv bez potvrdenia súhlasu alebo zadania poverení. Odporúča sa používať túto možnosť len v prostrediach s maximálnymi obmedzeniami používateľov. Po výbere tohto nastavenia budú vlastné právomoci totožné s vstavaným účtom administrátora.
• . Pre každú operáciu, ktorá si vyžaduje zvýšenie práv, sa na zabezpečenej pracovnej ploche zobrazí návrh na zadanie mena a hesla privilegovaného používateľa. Ak sú zadané správne poverenia, operácia bude pokračovať s maximálnymi dostupnými užívateľskými právami.
• Žiadosť o súhlas na bezpečnom pracovnej ploche. Pre každú operáciu, ktorá si vyžaduje zvýšenie práv, sa na zabezpečenej pracovnej ploche zobrazí návrh. "Povoliť" alebo "Zakázať". Pri výbere možnosti "Povoliť"Operácia bude pokračovať s maximálnymi dostupnými užívateľskými právami.
• Žiadajte o poverenia. Pre každú operáciu, ktorá vyžaduje zvýšenie úradu, sa zobrazí návrh na zadanie používateľského mena a hesla účtu administrátora. Pri zadávaní správnych poverení bude operácia pokračovať s vyvýšenými silami.
• Súhlasiť. Keď je táto možnosť vybratá, pre akúkoľvek operáciu, ktorá vyžaduje zvýšenie práva, používateľ bude ponúknuteľný, aby ste zvolili stlačte tlačidlo: "Povoliť" alebo "Zakázať". Stlačte tlačidlo "Povoliť"
• Žiadosť o súhlas pre binárne súbory tretích strán (nie Windows). Pri výbere tejto možnosti sa výber zobrazí na bezpečnom pracovnej ploche: "Povoliť" alebo "Zakázať"V prípade, že operácia na uplatňovanie tretej strany (nie Microsoft) výrobcu si vyžaduje zvýšenie práv. Stlačte tlačidlo "Povoliť"Operácia bude pokračovať v maximálnych dostupných privilégiách používateľov.

Aktuálne nastavenia politiky s registrom:

Zdvihnite bez výzvy "ConsentPromptBehaviorudmin" \u003d DWORD: 00000000; Výzva na poverenia na zabezpečenej pracovnej ploche, "ConsentPromptPromptBehAviorudmin" \u003d DWORD: 00000001; žiadosť o súhlas s Bezopsnom desktopom; "ConsentPromptBeHAVIORADMIN" \u003d DWORD: 00000002; Prompt na poverenia; \u003d DWORD: 00000003; žiadaný súhlas; "ConsentPrompromptBehaviorudmin" \u003d DWORD: 00000004; Žiadosť o binárne údaje nie sú z Windows; "ConsentPromptBehaviorudmin" \u003d DWORD: 00000005

Správanie žiadosti o zvýšenie práv pre bežných používateľov

Tento politický parameter určuje opatrenia vykonané, keď obyčajný používateľ spolupracuje s aplikáciami, ktoré si vyžadujú zvýšenie práv. Predvolená hodnota - "Žiadosť o poverenia na bezpečnom pracovnej ploche".

Možné hodnoty parametrov:

• Žiadajte o poverenia. Pomocou tohto parametra sa obvyklý používateľ vyzýva, aby vybral účet administrátora a zadajte heslo na vykonanie sledovania. Operácia bude pokračovať len vtedy, ak sú poverenia zadané správne.
• Automaticky zakázať žiadosti o zvýšenie práv. Keď je tento parameter zvolený, zobrazí sa chybové hlásenie pre bežného používateľa v súvislosti s zákazom pri vykonávaní operácie, ktorá si vyžaduje zvýšenie úradu. Organizácie, ktorých desktopy sú používané konvenčnými užívateľmi, si môžete vybrať tento parameter politiky, aby sa znížil počet hovorov na podporu služby.
• Žiadosť o poverenia na bezpečnom pracovnej ploche. Výberom tohto parametra sa navrhuje obvyklý používateľ na výber účtu administrátora a zadajte heslo na vykonanie sledovania len na bezpečnom pracovnej ploche. Operácia bude pokračovať len vtedy, ak sú poverenia zadané správne.

Aktuálne nastavenia politiky s registrom:

; Žiadosť o poverenia "ConsentPromptBehaVioruzér" \u003d DWORD: 00000003

Zlepšite práva pre aplikácie UIACCESS len pri inštalácii na bezpečných miestach

Súčasný parameter politiky vám umožňuje spravovať umiestnenie aplikácií, ktoré požadujú vykonanie na úrovni integrity, ktorá definuje atribút používateľského rozhrania užívateľského rozhrania (UIACCESS) v bezpečnom mieste systému súborov. V predvolenom nastavení je toto nastavenie aktivované a pri aplikáciách so špeciálnymi funkciami, pre atribút UIACCESS v zjavtení sa hodnota nastaví na hodnotu TRUE na ovládanie okna rozšírenia. Ak majú aplikácie falošnú hodnotu, to znamená, že ak je atribút spustený alebo žiadny zjavný pre montáž, aplikácia nebude môcť pristupovať k zabezpečenému užívateľskému rozhraniu. Iba nasledujúce priečinky sa považujú za bezpečné:

... Programové súbory, vrátane podpriečinkov

... Windows System32 \\ t

... Programové súbory (x86), vrátane podpriečinkov pre 64-bitové verzie systému Windows

Možné hodnoty parametrov:

• Zahrnutý. Aplikácia začne s úrovňou integrity UIAccess len vtedy, ak je v priečinku Secure System System.
• Zakázaný. Aplikácia začne s úrovňou integrity UIACCESS, aj keď nie je v priečinku Bezpečný súborový systém.

Aktuálne nastavenia politiky s registrom:

Zakázať "EnableCureuiapaThs" \u003d DWORD: 00000000

Zlepšenie práv len pre podpísané a overené spustiteľné súbory

Toto nastavenie politiky kontroly skupiny Account umožňuje určiť, či skontrolovať overenie interaktívnych aplikácií s otvorenou kľúčovou infraštruktúrou (verejná kľúčová infraštruktúra PKI), ktorá si vyžaduje zvýšenie úradu. Úlohou PKI je definovať politické politiky digitálneho certifikátu, vydávajúce ich a zrušenie, ukladanie informácií potrebných na následné overenie správnosti osvedčení. Aplikácie, ktoré podporujú PKI, zahŕňajú: chránený e-mail, platobné protokoly, elektronické kontroly, elektronické zdieľanie informácií, ochrana údajov v sieťach IP protokolu, elektronické formuláre a dokumenty s elektronickým digitálnym podpisom. Ak je táto kontrola povolená, programy sa iniciujú kontrolou cesty certifikátu. Hodnota tohto predvoleného nastavenia je vypnutá.

Možné hodnoty parametrov:

• Zahrnutý. Pred vykonaním tohto súboru iniciuje kontrolu certifikátov PKI. V podstate sa toto nastavenie používa v organizáciách s doménou, ak administrátor umiestnil certifikáty PKI v úložisku spoľahlivých vydavateľov.
• Zakázaný. Pri inštalácii tohto parametra, monitorovanie účtu nezačína overenie reťazca certifikátu PKI certifikátu pred povolením vykonania tohto spustiteľného súboru.

Aktuálne nastavenia politiky s registrom:

Zakázať "TALIMATEADMINCOODESIGNUTREACIE" \u003d DWORD: 00000000

Ak neposkytujete zapisovať do súboru alebo registra, virtualizáciu v umiestnení používateľa

Tento parameter spravuje zlyhania nahrávania aplikácií na určité miesta v registri a súborovom systéme. V prípade, že toto nastavenie je povolené, pre zastarané aplikácie, ktoré sa snažia čítať alebo písať informácie pomocou chránených systémových oblastí, kontroly účtu virtualizuje register a súborový systém. Vďaka tejto konfigurácii vám UAC umožňuje znížiť nebezpečenstvo zastaraných aplikácií, ktoré sú vykonané na mene administrátora a počas realizácie písať údaje do priečinka% ProgramFiles%,% windir%; % Windir% system32 alebo v sekcii System Registry Software HKLM \\ t Predvolená hodnota je povolená.

Možné hodnoty parametrov:

• Zahrnutý. Prihlášky sú presmerované počas realizácie do užívateľom definovaného umiestnenia v súbore a registri.
• Zakázaný. Vykonávanie aplikácií, ktoré zapisujú údaje na bezpečné umiestnenie končí chybou a nebudú vykonané.

Aktuálne nastavenia politiky s registrom:

Zakázať "EnableVirtualizácia" \u003d DWORD: 00000000

Povoliť uiAccess aplikácie požiadať o zvýšenie práv bez použitia bezpečnej pracovnej plochy

Tento nový parameter politiky, ktorý sa objavil v operačných systémoch Windows 7 a Windows Server 2008 R2 určuje, či aplikácie UIAccess môžu automaticky vypnúť bezpečný stôl na požiadavky na zvýšenie oprávnenia používaného obvyklého používateľa. Predvolená hodnota je vypnutá.

Možné hodnoty parametrov:

• Zahrnutý. Keď je táto konfigurácia zvolená, program UIACCESS, vrátane diaľkového asistenta systému Windows, automaticky vypne bezpečné pracovné počítače na zvýšenie oprávnenia. Ak je nastavenie politiky "Účtovné monitorovanie: Prepínanie na zabezpečenú pracovnú plochu pri vykonávaní správnej požiadavky na vylepšenie" je povolená, ponuka sa zobrazí na interaktívnom pracovnej ploche používateľa, a nie na bezpečnej ploche.
• Zakázaný. Keď je tento parameter zvolený, bezpečná plocha môže byť zakázaná len užívateľom interaktívnej pracovnej plochy alebo vypnutím "politiky kontroly účtu: Prepnutie na zabezpečenú pracovnú plochu pri vykonávaní nárastu práv."

Aktuálne nastavenia politiky s registrom:

Zakázať "EnableUIADEKTOPTOGGLE" \u003d DWORD: 00000000

Režim schválenia správcom pre vstavaný účet administrátora

Toto nastavenie určuje, či sa používateľské kontá uplatňujú v režime schválenia administrátora do vstavaného účtu "Administrator". Tento vložený predvolený účet umožňuje užívateľovi prihlásiť sa v režime kompatibility systému Windows XP, ktorý vám umožní spúšťať všetky aplikácie s plnou práv správcu. V predvolenom nastavení je tento parameter politiky vypnutý.

Možné hodnoty parametrov:

• Zahrnutý. Keď je zvolený tento parameter, režim schvaľovania správcu sa použije pre integrovaný účet administrátora. V rovnakej dobe, akákoľvek operácia, ktorá si vyžaduje zvýšenie práv, bude sprevádzaná žiadosťou o potvrdenie operácie.
• Zakázaný. Zabudovaný účet administrátora vykoná všetky aplikácie s plnou práv správcu.

Aktuálne nastavenia politiky s registrom:

Zakázať "filtradministratetoken" \u003d DWORD: 00000000

Záver

Tento článok rozpráva o všetkých možných nastaveniach pre monitorovanie používateľských účtov. Zohľadňujú sa všetky desať bezpečnostných politík, ktoré sú zodpovedné za všetky možné akcie spojené s UAC. Okrem založenia kontroly účtu pomocou politiky skupiny sú tiež považované za registráciu vylepšujúcich ich ekvivalentné.

Ukážkový(Kontrola používateľského účtu) - Technológia na monitorovanie účtov, ktoré sa objavili prvýkrát Windows Vista. A staršie. Táto technológia zakazuje programy na vykonávanie činností, ktoré si vyžadujú práva správcu. Pri vykonávaní programu takýchto akcií je jej práca pozastavená a užívateľ je vydaný okno s požiadavkou na zabezpečenú pracovnú plochu (s cieľom kliknúť na program ok programovať). Ak napríklad váš program bude musieť vykonať zmeny v sekcii databázy Registry HKEY_LOCAL_MACHINE, Bude potrebovať práva správcu.
Ak chcete vyriešiť tento problém, môžete použiť implementáciu zjavného súboru do projektu, ktorý operačný systém bude čítať a automaticky určiť parametre, ktoré musíte začať.
Zvážte implementáciu zjavného spisu v žiadosti " Formulár systému Windows" Ak to chcete urobiť, otvorte Visual Studio (v tomto príklade sa používa verzia na rok 2012) a vytvorte projekt " Formulár systému Windows" Otvorené " Riešenie Explorer."(Prehliadač riešení), ktorý poskytuje objednanú prezentáciu projektov a ich súborov, prejdite do menu" vyhliadka» - « Observer Riešenia" Spustite pravé tlačidlo myši v " Pozorujúce riešenia»Podľa názvu projektu a vyberte z kontextového menu, položky" Pridať» - « Vytvorte položku ...».

Budete mať nové okno " Pridanie nového prvku - ...»Nájdite Visual C Girement s názvom" Manifest Application Application", Vyberte ho a kliknite na tlačidlo" Pridať».

V " Pozorujúce riešenia"Máte novú položku s názvom manifestu. \\ T Bude sa tiež automaticky otvoriť v editore kódu.

Ak chcete nakonfigurovať práva potrebné na vykonanie žiadosti, je potrebné určiť úroveň bezpečnosti a opísať prvok " požadovanieEdExecutionLevel" Tento prvok nemá žiadne doplnkové prvky a má tieto atribúty:
1) Úrovni.- povinné. Nastaví úroveň zabezpečenia požadovanej v aplikácii. Pre tento atribút sú k dispozícii nasledujúce hodnoty:

• aSINVOKER- Aplikácia spúšťa práva rodičovských procesov. To znamená, že ak sa program spustí z aplikácie, ktorá už beží s právami správcu, automaticky bude mať rovnaké práva. Tento režim sa odporúča Microsoft vo väčšine prípadov. Tí. Ide o tie programy, ktoré nevyžadujú práva správcu;
• najnovší- Aplikácia začína s vyššími právami, než má aktuálny používateľ. S takými právami spúšťa regedit.exe, mmc.exe;
• množstvoMInistrátor.- Požadované práva správcu. Tí. Potrebné pre aplikácie, ktoré nemôžu fungovať bez práv správcu.

Inštalácia aplikácií " ClickOnce.»Je možné len s hodnotou" Asinviekoker ". S akoukoľvek inou hodnotou bude inštalácia nemožná.

2) uIACCESS.- Voliteľné. Indikácia, či aplikácia vyžaduje prístup k zabezpečeným prvkom užívateľského rozhrania na implementáciu špeciálnych funkcií. Dostupné hodnoty " pravda."A" falošný", Predvolená hodnota" falošný". Hodnota" pravda."Musíme mať len podpísané aplikácie a začali od priečinkov" Program Files "a" Windows System32 ". Najčastejšie to nie je potrebné.
Aby program mohol zvýšiť právo na úroveň administrátora, nahradiť v atribúte " Úrovni."Predvolená hodnota" aSINVOKER"Na" množstvoMInistrátor.».

Pripojte riešenie kliknutím na tlačidlo " F6" Ak ste všetci urobili správne, potom v operačných systémoch systému Windows Vista a staršie, ikona štítu sa objaví na ikonu spustiteľného programu programu, čo znamená, že tento program si vyžaduje zvýšenie práv.

Ak chcete skontrolovať práva na vašu žiadosť, môžete použiť nižšie uvedený zoznam.
String S \u003d Nový WindowsPrinciPal (WindowsIdentity.GetCurrent ()). Isinrole (WindowsBuiltinrole.administrator)? "Administrator": "Normálny používateľ"; Ak máte aplikáciu konzoly, potom je to isté zásada akcie.

Vo všeobecnosti existujú spôsoby, ako nám pomôcť dosiahnuť cieľ zvyšujúcich sa privilégií.

Východiskovým bodom pre tento malý článok je neprivivnednou shell (účet). Možno sme použili vykorisťovať alebo vykonali útok a dostal tento shell.

V zásade, v počiatočnom okamihu, nechápeme auto: Čo robí, čo je spojené s, akú úroveň privilégií máme alebo dokonca to, čo je operačný systém.

Po prvé, musíme získať informácie, ktoré potrebujete pochopiť, kde sme vôbec a čo máme:

SystemInfo | Findstr / B / C: "Názov OS" / C: "OS verzia"
Tento tím vám umožňuje zistiť, ako možno vidieť, meno a verziu OS. Môžete to vykonať bez parametrov, potom výstup príkazu bude kompletnejší, ale stačí pre nás.

• hostname - Username.
• echo% username% - používateľské meno.

Ďalej pozrime sa, ktoré používatelia sú stále na tomto hostiteľovi a získajú podrobnejšie informácie o vašom používateľovi.

• nET Používatelia - ostatní používatelia
• nET User1 - Podrobné informácie o používateľovi, kde používateľ1 je názov vášho používateľa.

Po prijatí informácií o účtovníctve, pozrime sa na informácie o sieťovej interakcii tohto hostiteľa.

Najprv sa pozeráme na dostupné rozhrania a smerovaciu tabuľku.

• iPCONFIG / All - Informácie o dostupných rozhraniach.
• trasa Print - smerovacia tabuľka
• aRP -A - ARP Záznamy tabuľky

Poďme vidieť aktívne sieťové pripojenia a pravidlá firewallu.

• netstat -No - aktívne sieťové pripojenia.

-A - beh s týmto parametrom zobrazí všetky aktívne pripojenia TCP, ako aj porty TCP a UDP počúvali systém;
-N - Parameter vám umožňuje zobraziť aktívne pripojenia TCP s adresy a čísla portov;
-O - \u200b\u200bto isté ako predchádzajúci kľúč, zobrazí aktívne pripojenia TCP, ale kódy procesov sú pridané do štatistiky, môžete presne určiť, akú aplikáciu používa pripojenie.

• netsh Firewall Zobraziť stav - Stav brány firewall
• netsh Firewall Zobraziť konfiguráciu - Konfigurácia brány firewall

Nakoniec, stručne zvážime, čo funguje na kompromitovanom hostiteľovi: naplánované úlohy, bežiace procesy, bežiace služby a inštalované ovládače.

Schtasks / Query / Fo Zoznam / V
Kde
/ Dotaz - výstup údajov na všetky naplánované úlohy,
/ Zoznam pre zoznam - výstup do zoznamu.
/ V - podrobnosti o výberom úlohy.

Nasledujúce príkazy prepojenia spúšťacie procesy s bežeckými službami.

TAKTList / SVC.
Kde,
/ SVC - Display Services pre každý proces.

Uvidíme aj zoznam služieb Windows Beh.

NET START.
Je tiež užitočné zobraziť informácie o ovládače kompromisného systému.

Vodiča.
Ďalej chcem spomenúť, pravdepodobne najužitočnejší príkaz systému Windows - WMIC. Príkaz WMIC (príkaz na správu Windows Management) sa používa na prijímanie informácií o zariadení a systému, riadení procesov a ich komponentov, ako aj zmeny nastavení pomocou funkcií ovládania nástrojov Windows Management (Instrumentation Windows Management alebo WIMI). Dobrý popis.

Bohužiaľ, niektoré konfigurácie systému Windows nie sú povolené prístup k WMIC, ak užívateľ nie je zahrnutý do skupiny Administrators (čo je naozaj dobrý nápad). Každá verzia XP neumožňovala WMIC prístup z neprivivnedného účtu.

Naopak, Windows 7 Professional a Windows 8 Enterprise štandardne umožnil používateľom s nízkymi privilégiami používať WMIC.

Podľa vlastných parametrov programu:

Predtým, než pôjdete ďalej, je potrebné spustiť zozbierané informácie. Stojí tiež za to, že je potrebné venovať pozornosť náplasti nainštalovaným v systéme, pretože akékoľvek informácie o diery v systéme nám poskytnú dodatočnú podporu na zvýšenie ich privilégií. Na čísle rýchlej opravy môžete hľadať zraniteľnosť zvýšiť privilégiá.

Ďalej sa pozrieme na automatickú inštaláciu. Ak je potrebné inštalovať a nastaviť veľký flotilový park strojov, potom sa spravidla nepohybuje technický personál zo zariadenia k stroju na konfiguráciu osobného. Existuje niekoľko riešení pre automatickú inštaláciu. Nie je to pre nás tak dôležité, že je to pre metódy a spôsob práce, ale je dôležité, aby opustili konfiguračné súbory, ktoré sa používajú na proces inštalácie obsahujúcim mnoho dôverných informácií, ako je napríklad kľúčový kľúč a administrátorské heslo. Čo nás najviac zaujímajú, je heslo správcu, ktoré môžeme použiť na zvýšenie našich privilégií.

Sú to pravidlo tieto adresáre:

• c: sysprep.inf
• c: sysprep sysprep.xml
• % Windir% panther \\ cantend \\ tOwnded.xml
• % Windir% panther \\ t

Ale stojí za to skontrolovať celý systém.

Tieto súbory obsahujú heslá v otvorenej forme alebo kódovaní base64.
PRÍKLADY:

Sysprep.inf - heslo v otvorenej forme.

Sysprep.xml - Heslo v kódovaní base64.

"

UNATTEDED.XML - HESLOSTI V BASE64 Kódovanie.

Tiež pre hostiteľov pripojených k doméne môžete vyhľadávať v súbore Group.xml, ktorý obsahuje šifrované heslo AES256, ale ktoré môžu byť dešifrované, pretože Kľúč je zaslaný na MSDN (https://msdn.microsoft.com/en-us/library/cc422924.aspx) a ďalšie zdroje. Ale toto je použitie politiky vytvárania miestnych používateľov na hostiteľov alebo napríklad úloha hesla je miestnym administrátorom.

Napríklad, ležím tu:

Otvorenie ho, hľadáme parameter "CPassword".

Potom potrebujete dešifrovať túto sekvenciu. Používame napríklad Cryptool. Po prvé, dekkáme base64.
Vlastnosti Base64 je, že jeho dĺžka by mala byť viac ako 4. Preto považujeme bloky 4, a ak nie je dostatok znakov v poslednom bloku, potom chýbajúce "\u003d" symboly.
Mám 2 "\u003d".

Odstraňujeme ďalšie body, ktoré zdieľajú značky a získajú heslo.

Okrem skupiny.xml, tu je niekoľko ďalších súborov preferencií politiky, ktoré môžu mať ďalší súbor atribútov "CPassword":

• Služby Služby.xml.
• PLYNULDTASKS PARMEDTASKS.XML
• Tlačiarne tlačiarne.xml.
• Pohony drives.xml
• Datasources datasources.xml.

Všetci milujeme automatizované riešenia, takže sa môžeme dostať na cieľovú čiaru čo najrýchlejšie. Existujú dve hlavné možnosti, v závislosti od typu plášťa / prístupu, ktoré máme. K dispozícii je modul METASPLOIT, ktorý môže byť vykonaný cez set reláciu (https://www.rapid7.com/db/modules/Post/windows/gather/credentials/GPP), alebo môžete použiť GET-GPPSSWORD, ktorý je súčasťou Powersploit.

Aby sme mohli používať ho, musíme overiť, či sú nainštalované záznamy registra, a ak áno, môžeme získať systémový shell. Skontrolujte:

REG QUERY HKLM SOFTVÉROVANÉ POLOŽKY Microsoft Windows Installer
Reg Query HKCU softvér Politiky Microsoft Windows Installer
METASPLOIT obsahuje špeciálny exploit / Windows / Miestny / vždy_install_elevated modul, ktorý vytvára súbor MSI so špeciálnym spustiteľným súborom, ktorý je vložený, ktorý je odstránený a popravený inštalatérom so systémovými privilégiami. Po vykonaní súboru MSI zastaví inštaláciu, aby sa zabránilo operácii v systéme. Okrem toho, ak spustíte inštaláciu s / kľubným kľúčom, nebude to ani chybu.

No, niekoľko užitočných tímov vyhľadávanie systému:

Nižšie uvedený príkaz bude vyhľadávať v názvoch súborov súborov obsahujúcich niektoré kľúčové slová. Môžete zadať ľubovoľný počet kľúčových slov.

DIR / S * PASS * \u003d\u003d * CRED * \u003d\u003d * VNC * \u003d\u003d * .config *
Vyhľadajte konkrétne typy súborov podľa kľúčového slova, tento príkaz môže generovať veľa výstupov.

Findstr / Si heslo * .xml * .ini * .txt
Podobne môžu byť uvedené dve príkazy nižšie pre kľúčové slová Registry Grep v tomto prípade "Heslo".

Reg Query HKLM / F Heslo / T Reg_sz / S
Reg Query HKCU / F HESLO / T REG_SZ / S
V súčasnej dobe, keď už máme dosť na to, aby sme získali systémové prechádzky. Ale stále existuje dvojica režiséra útoku na získanie požadovaného výsledku: Budeme sa pozrieť na Windows a povolenie pre súbory a priečinky. Naším cieľom je použiť slabé povolenia na zvýšenie privilégií session.

Budeme skontrolovať veľa prístupových práv, čo pomôže AccessChk.exe v tomto, čo je nástroj z balíka Microsoft SysInternals Suite. Microsoft SysInterns obsahuje mnoho vynikajúcich nástrojov. Balík je možné stiahnuť z webovej stránky spoločnosti Microsoft TechNET (https://docs.microsoft.com/ru-ru/sysInternals/downloads/sysInternals-suite).

Môžeme skontrolovať požadované úrovne privilégií pre každú službu pomocou ACCESSCHK.

Môžeme vidieť povolenia, ktoré každá úroveň používateľa.

AccessChK môže automaticky skontrolovať, či máme prístup k službe systému Windows s konkrétnou úrovňou používateľa. Ako pravidlo, ako užívateľ s nízkymi privilégiami, chceme skontrolovať "používateľov". Uistite sa, že skontrolujú, aké skupiny používateľov patríte.

C Ako názov je služba systému Windows, ako je SSDPSRV (zadať "*" zobraziť všetky služby)
-D spracovanie iba adresárov
-e výstup iba výslovne nastavené úrovne integrity (len pre systém Windows Vista)
-K ako názov je určený sekciou databázy Registry, napríklad softvér HKLM
-n výstupné objekty, ktoré nemajú prístupové pravidlá
-P ako názov uviedol názov alebo identifikátor procesu (PID), napríklad CMD.EXE (zadajte ako "*" zobraziť všetky procesy)
-Q nižšie
-R výstup iba objekty, ku ktorým je prístup k čítaniu
rekurzívna liečba
-V výstup podrobné informácie
-W zobraziť iba objekty, ku ktorým je vstup

Je tu aj ďalší zaujímavý tím:

Autorunc.exe -a | Findstr / N / R "Súbor nebol nájdený"
Umožňuje nájsť položku v registri súboru, ktorý sa začal automaticky, ale teraz už nie je v systéme. Nahrávanie by mohlo zostať, ak napríklad služba bola nesprávne odstránená. Zakaždým, keď spustíte, systém neúspešne spustil tento súbor. Táto situácia môže byť tiež použitá na rozšírenie vašej autority. Je to jednoducho namiesto tohto súboru, môžete nahradiť náš.

Po prvé: replikujte výsledky príspevku, ktorý napísal Parvez z GreyHathacker; "Zdvihnite privilégiá využívaním slabých priečinkov" (http://www.greyhacker.net/?p\u003d738).

Tento príklad je špeciálny prípad únosu DLL. Programy zvyčajne nemôžu fungovať sami seba, majú veľa zdrojov, ktoré potrebujú pripojiť (väčšinou DLL, ale aj ich vlastné súbory). Ak program alebo služba stiahne súbor z adresára, ktorý máme prístup k písaniu, môžeme ho zneužiť, aby spustila škrupinu s privilégiami, pod ktorými program funguje.

Spravidla aplikácia Windows bude používať preddefinované cesty vyhľadávania nájsť DLL a tieto cesty skontroluje v konkrétnom poradí. DLL krádež sa zvyčajne vyskytuje umiestnením škodlivých DLL jednou z týchto ciest. Tento problém môže byť odstránený špecifikovaním aplikácie absolútnych ciest na požadované DLL.

DLL Vyhľadať objednávky:

1. Adresár, s ktorým je aplikácia beží
2. 32-bitový systémový adresár (C: Windows System32)
3. 16-bitový systémový adresár (C: Windows System)
4. Directory Windows (C: Windows)
5. Pracovný pracovný adresár (CWD)
6. Adresáre v prostredí cesty premennej (systém potom používateľ)

Niekedy sa aplikácie snažia stiahnuť DLL súbory, ktoré chýbajú autom. To sa môže vyskytnúť z niekoľkých dôvodov, napríklad, ak je knižnica DLL potrebná len pre niektoré zásuvné moduly alebo komponenty, ktoré nie sú nainštalované. V tomto prípade Parvez zistil, že niektoré služby systému Windows sa snažia stiahnuť knižnice DLL, ktoré neexistujú v predvolených inštaláciách.

Keďže DLL neexistuje, nakoniec prechádzame všetkými vyhľadávacími cestami. Ako užívateľ s nízkym privilégiám máme malú šancu dať škodlivé Dll v n. 1-4, 5. Ale ak máme prístup k napísaniu niektorým z adresárov, potom naše šance na víťazstvo sú skvelé.

Pozrime sa, ako to funguje v praxi, pre náš príklad, budeme používať službu IKEEXT (IPSEC IKE a AUTHIP kľúčové moduly) služby, ktorá sa snaží stiahnuť wlbsctrl.dll.

Akýkoľvek katalóg v "C:" pristupuje k záznamu pre overených používateľov, dáva nám šancu.

C: používatelia užívateľov 1 pracovná plocha\u003e ACCESSCHK.EXE -DQV "C: PYTHON27"
C: \\ Python27 Medium Povinné Level (Predvolené) RW BUILTIN \\ Administrators FILE_ALL_ACCESS RW NT AUTHORITY \\ SYSTEM FILE_ALL_ACCESS R BUILTIN \\ Users FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE synchronizač READ_CONTROL RW NT AUTHORITY \\ Authenticated Users FILE_ADD_FILE FILE_ADD_SUBDIRECTORY FILE_LIST_DIRECTORY FILE_READ_ATTRIBUTES FILE_READ_EA FILE_TRAVERSE FILE_WRITE_ATTRIBUTES FILE_WRITE_EA DELETE synchronizač READ_CONTROL
C: používatelia užívateľov 1 pracovnej plochy\u003e ICACLS "C: PYTHON27"
C: PYTHON27 Nastavený administrátori: (ID) F zabudovaný administrátori: (OI) (CI) (IO) (ID) F NT Authority System: (ID) F NT Authority \\ System: (OI) (CI) (CI) ( IO) (ID) F VYKAZOVANÍ UŽÍVATEĽOV: (OI) (CI) (ID) R NT AUTIDÁRI AUTIVOTNÝCH UŽÍVATEĽOV: (ID) C NT Authority Authed Outentifikovaný používatelia: (OI) (CI) (IO) (ID) C
F - Úplný prístup.
(OI) - Odedenie predmetov.
(CI) - Kontajnery z dedičstva.
(IO) - iba dedičstvo.
(NP) - Zákaz distribúcie dedičstva.
I) - dedičstvo povolení od materskej kontajnera.

Pred pokračovaním do konania musíte skontrolovať stav služby IKEXT. V tomto prípade môžeme vidieť, že je nainštalovaný na "AUTO_START"!

SC QC IKEXT
QueryServiceConfig Success Services_name: IKEXT Typ: 20 Win32_share_process Start_Type: 2 Auto_start ERROR_CONTROL: 1 Normal Binary_start_Name: C: Windows System32 svchost.exe -k Netsvcs Load_orded_Group: Tag: 0 Display_name: IKE a AUTHIP IPSEC Keeking Moduly Závislosti: BFE Service_start_name Localsystem
Teraz vieme, že máme potrebné podmienky, a môžeme vytvoriť škodlivú DLL a Shell Inteception!

Používame METASPLOIT -\u003e MSFVENOM, to je napríklad.

Po odoslaní Evil.dll na náš cieľový počítač, všetko, čo potrebujeme, je premenuje ho v wlbcctrl.dll a presunúť sa na "c: python27". Akonáhle sa to robí, musíme trpezlivo čakať na reštart auto (alebo sa môžeme pokúsiť reštartovať násilne), a dostaneme systémový shell.

Kopírovať Evil.dll C: python27 wlbsctrl.dll
Potom zostáva len čakať na reštart systému.

Pre nášho posledného príkladu sa pozrieme na plánované úlohy. Popíšem zásadu, pretože Každý môže mať rôzne prípady.

Nájdeme proces, servis, aplikáciu spustenú plánovač úloh zo systému.
Skontrolujte práva prístupu do priečinka, kde je naším cieľom.

ACCESSCHK.EXE -DQV "PATH_K_SELI"
Je jasné, že je to vážny konfiguračný problém, ale ešte horší skutočnosť, že každý užívateľ kontroluje užívateľa (overený používateľ) má prístup k tomuto priečinku. V tomto príklade môžeme jednoducho prepísať binárny spustiteľný súbor súborov generovaný v METASPLOIT.

Môžete kódovať navyše.

Teraz zostáva len načítať škodlivý spustiteľný súbor a prepísať ho do priečinka spustiteľného súboru. Akonáhle sa to robí, môžeme bezpečne ísť do postele a skoro ráno, aby sme získali systémový prešiel.

Tieto dva príklady by nám mali dať predstavu o zraniteľnostiach, ktoré je potrebné hľadať pri posudzovaní povolení pre súbory a priečinky. Budete potrebovať čas, aby ste sa naučili všetky trasy BINPATH pre služby Windows, naplánované úlohy a úlohy Autorun.

Nakoniec, pár tipov na použitie ACCESSCHK.EXE.

Nájdite všetky slabé povolenia pre priečinky na disku.

ACCESSCHK.EXE -UWDQS UŽÍVATEĽOV C: ACCESSCHK.EXE -UWDQS "OVLOŽENÝCH POUŽÍVANÍ" C: \\ t
Nájdite všetky slabé povolenia pre súbory na disku.

ACCESSCHK.EXE -UWQS UŽÍVATEĽOV C: * * * ACCESSCHK.EXE -UWQ "OVEROVANÉ UŽÍVATEĽA" C: * *
Vyzerať takto.

Mnoho programov počas spustenia vyžadujú zvyšovanie práv (ikona štítu na ikonu), ale v skutočnosti, pre ich normálne práva správcu, nie je potrebné (napríklad, manuálne poskytli potrebné práva používateľom používateľom programu programu v programových zariadeniach a registri Pobočky, ktoré program používa). V súlade s tým, keď spustíte takýto program z jednoduchého používateľa, ak je na počítači povolená kontrola účtu, zobrazí sa požiadavka UAC a budete musieť zadať heslo správcu. Ak sa chcete dostať okolo tohto mechanizmu, mnohí jednoducho vypnú UAC alebo poskytnite užívateľovi správnemu správcovi v počítači pridaním do lokálnej skupiny administrátorov. Samozrejme, že obe tieto metódy sú nebezpečné.

Prečo môže obvyklá aplikácia potrebovať práva správcu

Program môže vyžadovať práva administrátora na úpravu určitých súborov (protokolov, konfigurácií atď.) Vo vašom vlastnom priečinku v C: Program súbory (X86) SOMEAPP). V predvolenom nastavení nemajú užívatelia žiadne práva na úpravu tohto adresára, resp. Pre normálnu prevádzku takéhoto programu, práva správcu sú potrebné. Ak chcete vyriešiť tento problém, musíte manuálne na administrátora NTFS manuálne priradiť právo zmeniť / zapísať pre používateľa (alebo skupiny skupiny) do priečinka s programom.

Poznámka. V skutočnosti, prax ukladanie meniacich sa dát aplikácie vo svojom vlastnom adresári v C: Programové súbory je nesprávne. Je vhodnejšie uložiť údaje aplikácie v užívateľskom profile. Ale toto je otázka lenivosti a nekompetentnosti vývojárov.

Spustenie programu, ktorý vyžaduje správcu priamo od normálneho používateľa

Už sme už popísali, ako môžete pomocou parametra RunasinVOKER. Táto metóda však nie je flexibilná. Môžete tiež použiť so zachovaním hesla správcu administrátora (tiež nebezpečné). Zvážte jednoduchšiu metódu núteného spustenia akéhokoľvek programu bez práv administrátora (a bez podania správcu) s UAC (4,3 alebo 2 úrovne).

Užívajte napríklad pomôcku na úpravu databázy Registry - regedit.exe (Nachádza sa v adresári C: Windows System32). Keď sa spustí regedit.exe, zobrazí sa okno UAC a ak nepotvrdíte privilégium, editor databázy Registry sa nespustí.

Vytvorte súbor na pracovnej ploche beh-as-non-admin.bat S nasledujúcim textom:

cMD / MIN / C "SET __COMPAT_LAYER \u003d RUNASINVOKER && START" "% 1"

Teraz pre nútené spustiť aplikáciu bez práva správcu a potlačenie požiadavky UAC, jednoducho presuňte požadovaný súbor EXE na tento súbor BAT na pracovnej ploche.

Potom by mal editor databázy Registry začať bez vzhľadu požiadavky UAC. Otvorenie správcu procesov a pridajte stĺpec Vyvýšený (S vyššou úrovňou povolení) uvidíte, že systém má proces regedit.exe s necitlivým stavom (spusteným s užívateľskými právami).

Skúste upravovať akýkoľvek parameter v pobočke HKLM. Ako vidíte prístup k editovaniu databázy Registry v tejto pobočke (tento používateľ nemá žiadne práva na písanie do vetvy systému databázy Registry). Môžete však pridať a upravovať klávesy vo vlastnom užívateľskej registri pobočky - HKCU.

Podobne môžete bežať cez súbor BAT a špecifickú aplikáciu, stačí zadať cestu k spustiteľnému súboru.

beh-app-as-non-admin.bat

Nastavte ApplicationPath \u003d "C: Programové súbory MYAPPMAPP.EXE"
cMD / MIN / C "SET __COMPAT_LAYER \u003d RUNASINVOKER && START" "% APLIKÁCIE%"

Môžete tiež pridať kontextové menu, ktorá pridáva do všetkých aplikácií, ktoré spustenie je možné bez zvýšenia práv. Ak to chcete urobiť, vytvorte ďalší súbor REG a importujte ho do registra.

Windows Registry Editor verzie 5.00

@ \u003d "Cmd / min / c" set __compat_layer \u003d RUNAASINVOKER && START ""% "1 \\" "

Potom, aby ste spustili akúkoľvek aplikáciu bez administračných práv, stačí vybrať položku "" v kontextovej ponuke.

Premenná životného prostredia __COMPAT_LAYER A RUNSINVOKER

Premenná životného prostredia __Compat_LAYER Umožňuje inštalovať rôzne úrovne kompatibility pre aplikácie (karta Kompatibilita V objekte EXE súboru). Pomocou tejto premennej môžete zadať nastavenia kompatibility, s ktorým chcete program spustiť. Ak chcete napríklad spustiť aplikáciu v režime kompatibility so systémom Windows 7 a rozlíšenie 640 × 480, SET:

nastaviť __Compat_layer \u003d win7rtm 640x480

Premenná __Compat_Layer z nás zvýrazní nasledujúce parametre:

• Runasinviek - Spustenie aplikácie s výsadami rodičovského procesu bez požiadavky UAC.
• Runashighest. - Spustite aplikáciu s maximálnymi právami k dispozícii užívateľovi (požiadavka UAC, ak má užívateľ práva správcu).
• Runasadmin. - Spustite žiadosť s právami správcu (vždy sa zobrazí požiadavka AUC).

Tí. Parameter RunasinVera neposkytuje práva správcu a blokuje iba vzhľad okna UAC.