通过任意文件覆盖漏洞直接获取系统操作的最高权限
任意文件覆盖一直被视为关键漏洞,因为它可能导致权限升级。在Windows系统中,这通常意味着模拟管理员或系统运行。
如果标准用户能够通过某种“利用”来更改特殊受保护文件的权限(通过授予他修改甚至更好的完全控制权限),则他可以更改目标文件的内容,以便将恶意代码注入到服务可执行文件、脚本、dll等。
但是随着时间的推移,“利用后”攻击面受到限制,例如,系统文件受特殊的“受信任的安装程序”组保护,甚至系统/管理员也只能对其进行读取和执行访问。
不过最近,攻击者通过成功更改System32中“license.rtf”文件的权限之后,可能使用Forshaw的“ DiaghubCollector利用”,因为该文件不受受信任的安装程序的保护。
第三方软件始终是一个选项,因为通常它们不受“受信任的安装程序”的保护。攻击者应枚举所有已安装的软件和可执行文件,识别哪些运行在高语境(highcontext)中,以及如何配置它们。一个典型的例子是服务可执行文件,它以SYSTEM身份运行,并且可由标准用户启动。在我的惠普笔记本电脑上,我拥有满足所有要求的“惠普软件框架服务(HPSoftware Framework)”,HP Software Framework提供了一套通用的软件接口,可以集中并简化对硬件、BIOS 和 HP设备驱动程序的访问。
另一个不错的选择是“ Dropbox Updater Service”,它以每小时一次的系统权限(在标准安装中)作为预定任务运行。
但是如果攻击者只想依靠标准的Windows操作系统软件呢?它变得越来越困难与微软补丁,但显然有一些可能性。例如,还记得“ALPC任务调度程序”漏洞吗?
最终结果是覆盖“Printconfig.dll”,其中SYSTEM拥有完全控制权,启动XPS打印作业(将加载修改后的Printconfig.dll),并在SYSTEM用户上下文中执行代码。结果,它仍然可以使用。
接下来,我将向你展示如何使用相对简单的多合一Powershell脚本从printconfig.dll中“滥用”。
“Microsoft XPS Document Writer”是一种特殊的打印机驱动程序:“MicrosoftXPS文档编写器(MXDW)是一种打印到文件的驱动程序,该驱动程序使Windows应用程序可以从带有Service Pack 2(SP2)的WindowsXP开始的Windows版本上创建XML Paper Specification(XPS)文档文件。”
这个驱动程序位于不同的位置(在本例中为Win 2019服务器):
有趣的是第一个文件,因为它是最新的文件,并且与我们的体系结构(X64)相匹配。
因此,如果我们能够完全控制此文件,则可以使用修改后的dll覆盖该文件,启动XPS打印作业,该作业将加载dll并以SYSTEM用户身份执行代码(例如,反向shell)。
出于保密原因,我不会告诉你构建和编译DLL,而是向你展示代码的相关部分:
加载库时总是调用DLLMain(),它将在本地主机端口4444上执行我们的反向shell。
我们只需要编译DLL并将其转换为b64中的二进制文件,因为我们会将其插入到ps1脚本中:
现在我们的脚本是“xps.ps1”,必须包含一些c#代码,因为它更容易调用和操作API函数:
在$ddlB64变量中,我们将分配之前保存在“out.64”中的dll的b64字符串。
现在,出于测试目的,以SYSTEM用户身份,只需更改“ printconfig.dll”的权限。请记住,要进行备份!
让我们继续:
是的,它绝对有效!通过以没有特殊权限的标准用户身份启动XPS打印作业,获得了SYSTEM用户的反向shell!
为了摆脱文件对话框,我们可以在StartJob()方法中指定一个文件名:
但你猜怎么着?你将模拟“NT AUTHORITY\LOCAL SERVICE”!
在本例中,将调用允许后台打印XPS文件的驱动程序“printfilterpipelinesvc.exe”,并以“本地服务”帐户而非“系统”帐户运行该驱动程序!
但是攻击者怎么才能覆盖任意文件?
如上所述,我将通过一个真实的示例向你展示如何利用“Printconfig” dl。但是。这个iPhone有什么关系呢?
为此,我特意寻找了可以通过硬链接利用的特权文件操作。
通过努力,我们发现了目录c:\programdata\apple\lockdown。
iTunes软件安装的“苹果移动设备服务”使用此文件夹,该服务以“本地系统”特权运行,负责处理通过USB端口与苹果设备(iPhone,iPad等)的通信。
如下所示,标准用户可以在以下目录中添加文件:
每次插入新设备时,驱动程序都会以
现在,插入我们的苹果设备。将生成“配对证书”,并且在此文件上设置的权限如下:
如你所见,用户仅对此文件具有读取权限。
现在你会发现一个有趣的事情,如果你拔下设备的插头,然后再次插入,则会发生一些神奇的事情,从而授予用户对该文件的完全控制权限:
我们使用Sysinternals的“procmon”工具观察到这种有趣的行为:
SetSecurity调用是从提升的上下文(SYSTEM)发出的,它将授予用户对资源的完全控制权。所以这个会不会成为一个漏洞,被攻击者利用呢?
答案是肯定的,只需输入 “NATIVE HARDLINKS“即可。
标准的Windows用户不需要特殊的权限即可创建此类链接,我们可以使用Forshaw的实用程序来管理它们。
那么,为什么不在此文件上设置“本机硬链接(“native hardlink”)”,并让其指向只有SYSTEM才能完全控制的资源呢?
这是我们要做的,将我们的
现在,我们只需要插入我们的苹果设备即可更改目标文件的权限:
是的,它起作用了!
至此,我们已经完成了所有的工作,只需要将目标文件更改为printconfig.dll,然后用我们自己的dll覆盖它,开始XPS打印作业,最后享受SYSTEMshell。你可以观看POC的视频,链接请点击这里。
边界条件
1. 你需要在Windows计算机上具有用户shel程序访问权限;
2. iTunes和Apple Mobile DeviceService应该一起安装,为此我们使用最新的iTunes版本(在撰写本文时为12.10.3)对其进行了测试。
3. 出于测试目的,你需要对计算机进行物理访问才能插入苹果设备,但这并不是必须的。因为你可以删除.plist文件,创建指向目标dll的相同.plist文件的硬链接,然后等待设备插件。我们观察到有时即使没有配对设备也会设置完全权限,但是我们需要对其进行更多研究。
注意
在Windows未来发布的版本在,通用硬链接滥用中将不再起作用。因为,在最新的“Insider”预览中,MS添加了一些补充检查,因此,如果你无权访问目标文件,则在尝试创建硬链接时会收到拒绝访问错误。
微软在每一个新系统正式发行之前,都会向开发者提供预览版系统,以便更快的找到 Bug 并解决。而 Windows Insider 的开放注册让更多的人加入到Windows 10的改进和完善的工作中来,让Windows 更加适应消费者的需求。
推荐系统
雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载
系统大小:0MB系统类型:WinXP雨林木风在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业知名品牌,雨林木风WindowsXP其系统口碑得到许多人认可,积累了广大的用户群体,是一款稳定流畅的系统,雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载,有需要的朋友速度下载吧。
系统等级:进入下载 >萝卜家园win7纯净版 ghost系统下载 x64 联想电脑专用
系统大小:0MB系统类型:Win7萝卜家园win7纯净版是款非常纯净的win7系统,此版本优化更新了大量的驱动,帮助用户们进行舒适的使用,更加的适合家庭办公的使用,方便用户,有需要的用户们快来下载安装吧。
系统等级:进入下载 >雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载
系统大小:1.01GB系统类型:WinXP雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载,雨林木风WinXP系统技术积累雄厚深耕多年,采用了新的系统功能和硬件驱动,可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,加固了系统安全策略,运行环境安全可靠稳定。
系统等级:进入下载 >萝卜家园win10企业版 免激活密钥 激活工具 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,(win10企业版,win10 ghost,win10镜像),萝卜家园win10企业版 免激活密钥 激活工具 ghost镜像 X64位系统下载,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园
系统等级:进入下载 >萝卜家园windows10游戏版 win10游戏专业版 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园windows10游戏版 win10游戏专业版 ghost X64位 系统下载,萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园win10国内镜像版,基于国内用户的习惯,做
系统等级:进入下载 >windows11下载 萝卜家园win11专业版 X64位 V2023官网下载
系统大小:0MB系统类型:Win11萝卜家园在系统方面技术积累雄厚深耕多年,windows11下载 萝卜家园win11专业版 X64位 官网正式版可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,使得软件在WINDOWS11系统中运行得更加流畅,加固了系统安全策略,WINDOWS11系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。
系统等级:进入下载 >
相关文章
- 如何解决锐龙2200g死机蓝屏
- Win8.1本地搜索为什么无法使用
- Win8.1无线网络不稳定/掉线怎么办
- 电脑机箱漏电怎么消除?电脑机箱漏电是哪里的问题?
- 电脑开不了机怎么办?电脑无法开机怎么解决?
- 硬盘双击无法打开的问题该怎么办
- 风行下载速度慢甚至是为0怎么办?风行播放器下载问题及解决方法汇总
- 苹果回应新的iOS恶意软件YiSpector:已在iOS8.4中解决该问题
- 没有路由器怎么连无线 160wifi 解决没有路由器连接无线问题
- 维棠FLV下载视频失败问题汇总及解决方法
- Word2016 出现“此功能看似已中断 并需要修复”问题解决方案(图文)
- Cisco管理的35个常见问题及解答
- NanoStudio怎么用?NanoStudio使用方法及常见问题
- IE浏览器登录网上银行时出现崩溃问题的解决办法
热门系统
推荐软件
推荐应用
推荐游戏
热门文章
常用系统
- 1win11最新娱乐版下载 技术员联盟x64位 ghost系统 ISO镜像 v2023
- 2电脑公司windows7纯净版 ghost x64位 v2022.05 官网镜像下载
- 3外星人系统Win11稳定版系统下载 windows11 64位稳定版Ghost V2022
- 4win11一键装机小白版下载 外星人系统 x64位纯净版下载 笔记本专用
- 5萝卜家园Ghost win10 64位中文版专业版系统下载 windows10纯净专业版下载
- 6【国庆特别版】番茄花园Windows11高性能专业版ghost系统 ISO镜像下载
- 7青苹果系统 GHOST WIN7 SP1 X64 专业优化版 V2024
- 8深度技术ghost win7纯净版最新下载 大神装机版 ISO镜像下载
- 9雨林木风windows11中文版免激活 ghost镜像 V2022.04下载